Блог

Подходы к анализу поведения объектов

Основные подходы к реализации поведенческой аналитики можно условно разделить на два: математический и сигнатурный. Николай Перетягин, менеджер по продукту NGR Softlab, рассказал о том, как они работают и в чем их преимущества и недостатки.


Математический подход

Этот подход заключается в:

  • переводе параметров поведения объектов контроля на язык математики;
  • накоплении статистических данных;
  • построении устоявшегося паттерна поведения с использованием чисел;
  • прогнозировании будущих значений параметров и выявлении отклонений, если прогноз не сбылся.

Некоторые решения позволяют одинаково хорошо отслеживать отклонения как в индивидуальном, так и в групповом поведении при реализации математического подхода. Такой подход демонстрирует, что для объекта является нормальным, а что нет в определенный период времени, независимо от того, подпадает такое поведение под какой-то известный вектор атаки или нет. В первую очередь здесь ведется сбор статистики и анализ накопленных данных без привязки к событиям безопасности.

Преимуществами математического подхода являются универсальность, адаптивность, возможность работы с любыми данными.

К недостаткам можно отнести высокий порог входа и низкая степень интерпретируемости «с первого взгляда», поскольку для интерпретации результатов анализа необходимо знание инфраструктуры, бизнес-процессов компании.


Сигнатурный подход

Подход заключается в:

  • формировании набора сигнатур (правил, условий и их комбинаций), которые отслеживают отклонения в предопределенных параметрах поведения;
  • отслеживании цепочки возникновения определенных событий и выполнения заданных условий;
  • формировании события безопасности (которое предстоит в дальнейшем расследовать) в результате «срабатывания» сигнатуры.

Часто решения с сигнатурным подходом работают только с индивидуальным поведением, редко — с поведением группы.

Такой подход в первую очередь направлен на демонстрацию цепочки возникновения потенциально опасных событий в достаточно короткий период (обычно в горизонте от нескольких минут до нескольких дней). для их дальнейшего анализа и расследования

Сигнатурный подход не демонстрирует или демонстрирует косвенно, что для объекта является нормальным, а что нет в определенный период времени, так как аномалии выявляются, только если они подпали под какое-то правило. Здесь статистика копится только при срабатывании правил (сигнатур) и очень зависит от возникновения событий безопасности.

К преимуществам относятся высокая точность выявления определенных видов угроз, низкий порог входа со стороны пользователя, высокая степень интерпретируемости результата, если сработало какое-то условие, т.к. оно призвано выявить конкретное событие (отклонение).

А минусами являются отсутствие сведений о поведении объекта, которое не подпало под правило, ограниченные наборы параметров поведения для анализа и входных данных.

Можно заключить, что для получения наилучшего результата следует использовать оба подхода к анализу поведения объектов контроля, и некоторые ИБ-решения позволяют это делать. Так, в нашу аналитическую платформу Dataplan мы включили инструменты, позволяющие применять их вместе. Универсальным инструментом, использующим математический подход, является модуль xBA Application, а при необходимости дополнительного отслеживания значений критичных параметров в соответствии с заданными условиями — используется базовый модуль аналитики данных.