New-Scale Fusion: Машинное обучение для поведенческого анализа

Современный ландшафт киберугроз требует от организаций постоянного совершенствования методов обнаружения атак.New-Scale Fusion предлагает инновационный подход, основанный наповеденческом анализе, позволяющий выявлять аномалии и сложные атаки, которые не обнаруживаются традиционными средствами защиты.

Архитектура и компоненты New-Scale Fusion для поведенческого анализа

New-Scale Fusion использует модульную архитектуру, состоящую из нескольких ключевых компонентов, предназначенных для сбора, обработки и анализа данных, необходимых дляповеденческого анализа.

Сбор и интеграция данных

Система интегрируется с широким спектром источников данных, включая:

  • Логи событий безопасности (SIEM).
  • Данные сетевого трафика (NetFlow, PCAP).
  • Данные аутентификации (Active Directory, LDAP).
  • Облачные сервисы (AWS, Azure, GCP).
  • Конечные точки (EDR).

Эта интеграция обеспечивает всестороннее представление о деятельности пользователей и сущностей в организации.

Нормализация и обогащение данных

Собранные данные проходят этапы нормализации и обогащения. Нормализация преобразует данные из различных источников в единый формат, что упрощает их дальнейшую обработку. Обогащение добавляет контекстную информацию к данным, например, географическое местоположение IP-адресов, данные об активах и информацию об угрозах из сторонних источников. Это приводит к созданию взаимосвязи между данными в организации.Анализ поведения сети становится более эффективным.

Этот процесс повышает точностьповеденческого анализа и позволяет выявлять более сложные аномалии.

Механизм аналитики

ЯдромNew-Scale Fusion является механизм аналитики, который используетмашинное обучение иискусственный интеллект для выявления аномалий в поведении.

Модели поведения и алгоритмы машинного обучения

New-Scale Fusion использует широкий спектр моделей поведения, каждая из которых предназначена для анализа определенного аспекта деятельности пользователей и сущностей. Модели постоянно обучаются и адаптируются к изменениям в поведении.

Моделирование нормального поведения пользователя

Эта модель определяет нормальное поведение каждого пользователя на основе его предыдущей деятельности. Для обучения модели используются следующие данные:

  • Время входа в систему и выхода из нее.
  • Приложения и ресурсы, к которым пользователь обычно обращается.
  • Объем данных, которые пользователь обычно передает и получает.
  • Географическое местоположение, с которого пользователь обычно входит в систему.

Для обучения модели используются различные алгоритмымашинного обучения, включая:

  • Кластеризацию (например, K-Means) для выявления групп пользователей с похожим поведением.
  • Регрессию (например, линейную регрессию) для прогнозирования ожидаемого поведения пользователя.
  • Профилирование на основе скрытых марковских моделей.

Отклонение от нормального поведения определяется на основе статистических показателей, таких как стандартное отклонение и Z-оценка. Параметры модели настраиваются для минимизации ложных срабатываний и повышения точности обнаружения аномалий.

Пример показателя: Z-оценка для количества загруженных данных пользователем в течение дня. Высокая Z-оценка указывает на аномальную активность.

Моделирование доступа к ресурсам

Эта модель анализирует шаблоны доступа пользователей к ресурсам, таким как файлы, базы данных и приложения. Для обучения модели используются следующие данные:

  • Список ресурсов, к которым пользователь имеет доступ.
  • Время и частота доступа к ресурсам.
  • Тип доступа (чтение, запись, удаление).

Для обучения модели используются следующие алгоритмымашинного обучения:

  • Анализ социальных сетей для выявления групп пользователей, имеющих доступ к одним и тем же ресурсам.
  • Алгоритмы поиска ассоциативных правил для выявления неожиданных комбинаций доступа к ресурсам.

Отклонение от нормального поведения определяется на основе частоты и типа доступа к ресурсам, а также на основе сравнения поведения пользователя с поведением других пользователей, имеющих доступ к тем же ресурсам. Параметры модели настраиваются для учета ролей пользователей и прав доступа.

Пример показателя: частота доступа пользователя к конфиденциальным файлам в нерабочее время.

Моделирование сетевого трафика

Эта модель анализирует сетевой трафик для выявления аномалий, таких как необычные соединения, большие объемы данных и подозрительные протоколы. Для обучения модели используются следующие данные:

  • IP-адреса и порты источника и назначения.
  • Протоколы связи (TCP, UDP, HTTP).
  • Объем данных, переданных и полученных.
  • Время и продолжительность соединений.

Для обучения модели используются следующие алгоритмымашинного обучения:

  • Кластеризацию (например, DBSCAN) для выявления групп сетевых соединений с похожими характеристиками.
  • Обнаружение аномалий на основе статистических методов (например, анализ временных рядов).
  • Автокодировщики для выявления аномального трафика.

Отклонение от нормального поведения определяется на основе статистических показателей, таких как частота и объем трафика, а также на основе сравнения сетевого трафика с известными шаблонами атак. Параметры модели настраиваются для учета особенностей сетевой инфраструктуры организации.

Пример показателя: объем трафика, отправленного на неизвестный IP-адрес.

Применение ИИ для выявления сложных атак

New-Scale Fusion используетИскусственный Интеллект для корреляции аномалий, выявленных различными моделями поведения, для обнаружения сложных атак, состоящих из нескольких этапов.ИИ помогает объединить разрозненные события в единую картину атаки, что позволяет аналитикам безопасности быстрее и эффективнее реагировать на угрозы.

Обнаружение компрометации аккаунтов

New-Scale Fusion может выявлять случаикомпрометации аккаунтов путем корреляции следующих аномалий:

  • Необычные входы в систему из новых географических местоположений.
  • Попытки доступа к ресурсам, к которым пользователь обычно не обращается.
  • Увеличение объема данных, передаваемых и получаемых пользователем.
  • Изменение пароля учетной записи.

ИИ использует правила на основе знаний об атаках, а также алгоритмымашинного обучения для выявления подозрительных шаблонов поведения, указывающих накомпрометацию аккаунтов.

New-Scale Fusion: Машинное обучение для поведенческого анализа

Обнаружение инсайдерских угроз

New-Scale Fusion может выявлятьинсайдерские угрозы путем корреляции следующих аномалий:

  • Необычный доступ к конфиденциальным данным.
  • Копирование больших объемов данных на внешние носители.
  • Попытки обхода систем безопасности.
  • Сетевая активность, указывающая на связь с внешними злоумышленниками.

ИИ использует моделирование поведения пользователей и анализ социальных сетей для выявления сотрудников, которые могут представлять угрозу для организации.

Обнаружение цепочки убийства кибератаки

New-Scale Fusion используетИИ для отслеживанияцепочки убийства кибератаки, состоящей из нескольких этапов:

  1. Разведка: злоумышленник собирает информацию о целевой организации.
  2. Вооружение: злоумышленник разрабатывает или приобретает вредоносное ПО.
  3. Доставка: злоумышленник доставляет вредоносное ПО в целевую организацию.
  4. Эксплуатация: злоумышленник использует вредоносное ПО для получения доступа к системе.
  5. Установка: злоумышленник устанавливает вредоносное ПО на целевой системе.
  6. Управление и контроль: злоумышленник получает удаленный доступ к целевой системе.
  7. Действие: злоумышленник крадет данные или нарушает работу системы.

ИИ анализирует события безопасности, связанные с каждым этапомцепочки убийства кибератаки, и выявляет закономерности, указывающие на активную атаку.

Расследование инцидентов и реагирование

New-Scale Fusion предоставляет аналитикам безопасности информацию, необходимую для быстрого расследования инцидентов. Система визуализирует аномалии и связи между ними, что позволяет аналитикам быстро понять причину и масштаб инцидента.New-Scale Fusion также позволяет автоматизировать действия по реагированию на инциденты, такие как блокировка учетных записей, изоляция хостов и запуск сканирования на наличие вредоносного ПО.

Визуализация аномалий и связей

Система предоставляет интерактивные графики и диаграммы, показывающие аномалии и связи между ними. Аналитики могут использовать эти визуализации для выявления подозрительных шаблонов поведения и определения приоритета инцидентов.

Автоматизация реагирования на инциденты

New-Scale Fusion позволяет автоматизировать действия по реагированию на инциденты, такие как:

  • Блокировка учетных записей.
  • Изоляция хостов.
  • Запуск сканирования на наличие вредоносного ПО.
  • Уведомление заинтересованных сторон.

Автоматизация реагирования на инциденты позволяет сократить время простоя и минимизировать ущерб от атак.

Преимущества New-Scale Fusion для поведенческого анализа

New-Scale Fusion предлагает ряд технических преимуществ дляповеденческого анализа:

Высокая точность обнаружения аномалий

Система использует передовые алгоритмымашинного обучения иискусственного интеллекта для выявления аномалий с высокой точностью.

Минимизация ложных срабатываний

New-Scale Fusion использует адаптивные модели поведения, которые постоянно обучаются и адаптируются к изменениям в поведении пользователей и сущностей. Это позволяет минимизировать ложные срабатывания и снизить нагрузку на аналитиков безопасности.

Автоматизация расследования инцидентов

Система предоставляет аналитикам безопасности информацию, необходимую для быстрого расследования инцидентов, и позволяет автоматизировать действия по реагированию на инциденты.

Масштабируемость решения

New-Scale Fusion обеспечивает горизонтальное масштабирование, позволяя обрабатывать большие объемы данных и поддерживать растущее число пользователей и сущностей.

Пример реальной практики: Компания N сократила время на расследование инцидентов на 70% благодаря автоматизации процессов в New-Scale Fusion.

Заключение

New-Scale Fusion представляет собой мощное решение дляповеденческого анализа, использующеемашинное обучение иискусственный интеллект для выявления сложных киберугроз. Система интегрируется с широким спектром источников данных, использует передовые модели поведения и позволяет автоматизировать расследование инцидентов и реагирование на них. Использованиемашинного обучения иискусственного интеллекта становится необходимым условием для защиты от современныхтехник и тактик злоумышленников, направленных на внедрениеаномального трафика в сети организаций.

Часто задаваемые вопросы о New-Scale Fusion: Поведенческий анализ в кибербезопасности

Что такое New-Scale Fusion и как он помогает в кибербезопасности?

New-Scale Fusion - это инновационный подход к обнаружению киберугроз, основанный на поведенческом анализе. Он позволяет выявлять аномалии и сложные атаки, которые не обнаруживаются традиционными средствами защиты, благодаря анализу поведения пользователей и сущностей в сети.

Какие типы данных собирает New-Scale Fusion для поведенческого анализа?

Система интегрируется с широким спектром источников данных, включая логи событий безопасности (SIEM), данные сетевого трафика (NetFlow, PCAP), данные аутентификации (Active Directory, LDAP), облачные сервисы (AWS, Azure, GCP) и конечные точки (EDR), обеспечивая всестороннее представление о деятельности в организации.

Как New-Scale Fusion использует машинное обучение и искусственный интеллект?

Ядром New-Scale Fusion является механизм аналитики, использующий машинное обучение и искусственный интеллект для выявления аномалий в поведении. Это позволяет обнаруживать сложные атаки путем корреляции различных событий и данных.

Какие модели поведения используются в New-Scale Fusion?

New-Scale Fusion использует моделирование нормального поведения пользователя, моделирование доступа к ресурсам и моделирование сетевого трафика, анализируя различные аспекты деятельности пользователей и сущностей.

Как New-Scale Fusion помогает в обнаружении компрометации аккаунтов?

Система выявляет случаи компрометации аккаунтов путем корреляции аномалий, таких как необычные входы в систему, попытки доступа к ресурсам, к которым пользователь обычно не обращается, и увеличение объема передаваемых данных.

Каким образом New-Scale Fusion обнаруживает инсайдерские угрозы?

New-Scale Fusion может выявлять инсайдерские угрозы путем корреляции необычного доступа к конфиденциальным данным, копирования больших объемов данных на внешние носители и попыток обхода систем безопасности.

Как New-Scale Fusion автоматизирует реагирование на инциденты?

New-Scale Fusion позволяет автоматизировать такие действия по реагированию на инциденты, как блокировка учетных записей, изоляция хостов, запуск сканирования на наличие вредоносного ПО и уведомление заинтересованных сторон, что сокращает время простоя и минимизирует ущерб от атак.

В чем преимущества New-Scale Fusion для поведенческого анализа?

New-Scale Fusion обеспечивает высокую точность обнаружения аномалий, минимизирует ложные срабатывания, автоматизирует расследование инцидентов и обладает масштабируемостью, что делает его эффективным решением для защиты от современных киберугроз.