Журнал "Information Security/ Информационная безопасность" #3, 2022

Использованные нами методы машинного обуче- ния достаточно прозрачны, и получаемым результатам вполне можно доверять. Даже те события, кото- рые были отнесены заказчи- ком к False Positive, – это не случайные ошибки, а также нетипичные события, хотя и оказавшиеся легитимными в конкретных условиях. Важно понимать, что, когда мы используем знание только об известных атаках, обучаясь на ретроспективно размеченных данных, мы оказываемся на шаг позади атакующих. ных за прошедшую неделю, адаптируясь к меняющемуся трафику. Переобучение каждой модели происходит независимо от работающей копии, так что новая модель заменяет теку- щую после обучения, что поз- воляет системе продолжать непрерывно работать в реаль- ном времени. В результате такого режима обучения система выделяет в реальном трафике широкий спектр аномальных событий, из которых формируются инциден- ты, прошедшие незамеченными для штатных СЗИ: сканирова- ния, атаки, инфраструктурные проблемы, обращения к тор- рентам, элементы DDoS-атак и даже майнинг криптовалюты. При этом со стороны заказ- чика не требуются дополнитель- ные человеческие ресурсы для того, чтобы использовать систе- му с машинным обучением. Мы изначально закладывали высо- кий уровень автоматизации: система сама подключается к источникам данных и продол- жает работать в автономном режиме. Результаты передают- ся в SIEM или IRP/SOAR заказ- чика. False Positive и False Negative Использованные нами мето- ды машинного обучения доста- точно прозрачны, и получаемым результатам вполне можно доверять. При этом система не становится заложником каче- ства учителя или обучающей выборки, как в случае исполь- зования нейросетей – они могут быть отравлены некорректным обучением или оказаться неустойчивыми в случае силь- ного отклонения трафика от обучающего. В качестве проверки на этапе экспериментов мы добавляли во входные данные априорные аномалии и добивались, чтобы такие вручную добавленные события выявлялись системой в полном объеме. При этом уровень False Posi- tive принципиально оценить довольно сложно, ведь клас- сические метрики для нашего случая не подходят из-за отсут- ствия разметки входных дан- ных. Поэтому мы перешли на оценку False Positive по обрат- ной связи от заказчиков. Например, после работы моде- ли в течение нескольких недель обнаруживались 10–20 инци- дентов в неделю. Все они авто- матически отправлялись в SIEM заказчика и анализиро- вались специалистами. Часть инцидентов была отнесена к False Positive, часть – к инфраструктурным инциден- там, часть – к вредоносной активности. Информация о такой квалификации инци- дентов снова поступает на вход модели, и эта обратная связь позволяет ей дообучаться под конкретные инфраструктурные условия и за счет этого повы- шать качество своей работы. Впрочем, из общения с заказ- чиками мы знаем, что некоторое количество ложноположитель- ных инцидентов даже полезно, поскольку это придает уверен- ность в том, что опасные ано- малии точно были обнаружены. Отмечу, что даже те события, которые были отнесены заказ- чиком к False Positive, – это не случайные ошибки, а также нетипичные события, хотя и ока- завшиеся легитимными в кон- кретных условиях. Поскольку инфраструктура заказчика живет и функционирует, у нее есть типовое поведение, но также присутствуют и редкие процессы, которые мы как раз и выделяем в аномалии. Перед тем как на основе дан- ных о найденных отклонения создавать новые инциденты в SIEM или SOAR, система учи- тывает уже существующие инциденты. Это делается, во- первых, чтобы не дублировать аналитические данные, а во- вторых, при возможности обо- гатить существующий инцидент полученной информацией. Планы развития Разработка модели стала для компании Security Vision первым опытом анализа сетевого тра- фика. Пока мы видим эту функ- циональность как дополнитель- ный слой, который хотя и не заменит существующие систе- мы защиты, но позволит уви- деть совершенно атипичные события, пропущенные другими системами. При этом наша разработка оформлена в готовый коробоч- ный продукт, который незамед- лительно может приступить к работе в реальной инфраструк- туре заказчиков. Но работа по развитию систе- мы продолжается. Мы добав- ляем в модель процессинг новых типов более высокоуров- невых событий, повышаем сте- пень автоматизации и автоном- ности, включаем новые модели. Возможно, мы также попробуем использовать нейронные сети в качестве одного из модулей. Важно понимать, что, когда мы используем знание только об известных атаках, обучаясь на ретроспективно размеченных данных, мы оказываемся на шаг позади атакующих. Но если заглянуть вперед, скажем на три года, то можно увидеть, как методы машинного обучения без учителя полноценно допол- няют другие СЗИ, выявляя новые, не известные ранее типы атак. Системы, основанные на элементах искусственного интеллекта, конечно, вряд ли в обозримом будущем полноцен- но заменят даже первую линию SOC, но уже сейчас они могут стать полезным и даже обяза- тельным инструментом для спе- циалистов по информационной безопасности. l • 45 ТЕХНОЛОГИИ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ Security Vision см. стр. 60 NM Реклама Рис. Получение и обработка данных