Основные подходы к реализации поведенческой аналитики можно условно разделить на два: математический и сигнатурный. Николай Перетягин, менеджер по продукту NGR Softlab, рассказал о том, как они работают и в чем их преимущества и недостатки.
Математический подход
Этот подход заключается в:
Некоторые решения позволяют одинаково хорошо отслеживать отклонения как в индивидуальном, так и в групповом поведении при реализации математического подхода. Такой подход демонстрирует, что для объекта является нормальным, а что нет в определенный период времени, независимо от того, подпадает такое поведение под какой-то известный вектор атаки или нет. В первую очередь здесь ведется сбор статистики и анализ накопленных данных без привязки к событиям безопасности.
Преимуществами математического подхода являются универсальность, адаптивность, возможность работы с любыми данными.
К недостаткам можно отнести высокий порог входа и низкая степень интерпретируемости «с первого взгляда», поскольку для интерпретации результатов анализа необходимо знание инфраструктуры, бизнес-процессов компании.
Сигнатурный подход
Подход заключается в:
Часто решения с сигнатурным подходом работают только с индивидуальным поведением, редко — с поведением группы.
Такой подход в первую очередь направлен на демонстрацию цепочки возникновения потенциально опасных событий в достаточно короткий период (обычно в горизонте от нескольких минут до нескольких дней). для их дальнейшего анализа и расследования
Сигнатурный подход не демонстрирует или демонстрирует косвенно, что для объекта является нормальным, а что нет в определенный период времени, так как аномалии выявляются, только если они подпали под какое-то правило. Здесь статистика копится только при срабатывании правил (сигнатур) и очень зависит от возникновения событий безопасности.
К преимуществам относятся высокая точность выявления определенных видов угроз, низкий порог входа со стороны пользователя, высокая степень интерпретируемости результата, если сработало какое-то условие, т.к. оно призвано выявить конкретное событие (отклонение).
А минусами являются отсутствие сведений о поведении объекта, которое не подпало под правило, ограниченные наборы параметров поведения для анализа и входных данных.
Можно заключить, что для получения наилучшего результата следует использовать оба подхода к анализу поведения объектов контроля, и некоторые ИБ-решения позволяют это делать. Так, в нашу аналитическую платформу Dataplan мы включили инструменты, позволяющие применять их вместе. Универсальным инструментом, использующим математический подход, является модуль xBA Application, а при необходимости дополнительного отслеживания значений критичных параметров в соответствии с заданными условиями — используется базовый модуль аналитики данных.
Математический подход
Этот подход заключается в:
- переводе параметров поведения объектов контроля на язык математики;
- накоплении статистических данных;
- построении устоявшегося паттерна поведения с использованием чисел;
- прогнозировании будущих значений параметров и выявлении отклонений, если прогноз не сбылся.
Некоторые решения позволяют одинаково хорошо отслеживать отклонения как в индивидуальном, так и в групповом поведении при реализации математического подхода. Такой подход демонстрирует, что для объекта является нормальным, а что нет в определенный период времени, независимо от того, подпадает такое поведение под какой-то известный вектор атаки или нет. В первую очередь здесь ведется сбор статистики и анализ накопленных данных без привязки к событиям безопасности.
Преимуществами математического подхода являются универсальность, адаптивность, возможность работы с любыми данными.
К недостаткам можно отнести высокий порог входа и низкая степень интерпретируемости «с первого взгляда», поскольку для интерпретации результатов анализа необходимо знание инфраструктуры, бизнес-процессов компании.
Сигнатурный подход
Подход заключается в:
- формировании набора сигнатур (правил, условий и их комбинаций), которые отслеживают отклонения в предопределенных параметрах поведения;
- отслеживании цепочки возникновения определенных событий и выполнения заданных условий;
- формировании события безопасности (которое предстоит в дальнейшем расследовать) в результате «срабатывания» сигнатуры.
Часто решения с сигнатурным подходом работают только с индивидуальным поведением, редко — с поведением группы.
Такой подход в первую очередь направлен на демонстрацию цепочки возникновения потенциально опасных событий в достаточно короткий период (обычно в горизонте от нескольких минут до нескольких дней). для их дальнейшего анализа и расследования
Сигнатурный подход не демонстрирует или демонстрирует косвенно, что для объекта является нормальным, а что нет в определенный период времени, так как аномалии выявляются, только если они подпали под какое-то правило. Здесь статистика копится только при срабатывании правил (сигнатур) и очень зависит от возникновения событий безопасности.
К преимуществам относятся высокая точность выявления определенных видов угроз, низкий порог входа со стороны пользователя, высокая степень интерпретируемости результата, если сработало какое-то условие, т.к. оно призвано выявить конкретное событие (отклонение).
А минусами являются отсутствие сведений о поведении объекта, которое не подпало под правило, ограниченные наборы параметров поведения для анализа и входных данных.
Можно заключить, что для получения наилучшего результата следует использовать оба подхода к анализу поведения объектов контроля, и некоторые ИБ-решения позволяют это делать. Так, в нашу аналитическую платформу Dataplan мы включили инструменты, позволяющие применять их вместе. Универсальным инструментом, использующим математический подход, является модуль xBA Application, а при необходимости дополнительного отслеживания значений критичных параметров в соответствии с заданными условиями — используется базовый модуль аналитики данных.