Что такое анализ поведения?


Анализ поведения использует машинное обучение, искусственный интеллект, большие данные и средства анализа для выявления злонамеренного поведения путем анализа различий в обычных повседневных действиях.

Определение анализа поведения
Вредоносные атаки объединяет одна общая особенность — поведение всех этих атак отличается от обычного повседневного поведения в системе или сети. Компании часто имеют возможность выявлять вредоносное поведение по сигнатурам, которые непосредственно связаны с определенными типами хорошо известных атак. Однако атаки злоумышленников становятся все более изощренными. Они постоянно разрабатывают новые тактики, приемы и процедуры (TTP), которые позволяют им не только проникать в уязвимые среды, но и осуществлять горизонтальное распространение вредоносного ПО, оставаясь незамеченными.

Справиться с этой проблемой помогает анализ поведения. С помощью огромных объемов нефильтрованных данных, получаемых с конечных устройств, специалисты по обеспечению безопасности теперь могут использовать средства, алгоритмы и машинное обучение, основанные на анализе поведения, чтобы определять, какое поведение обычных пользователей является нормальным, а какое — нет. Анализ поведения может выявлять события, тенденции и закономерности — как в настоящее время, так и за прошлые периоды, — которые выходят за рамки повседневных норм.

Анализируя эти аномалии, специалисты по безопасности могут обеспечить визуализацию и выявлять неожиданные тактики поведения злоумышленников на ранних стадиях, прежде чем те полностью выполнят свой план атаки. Кроме того, анализ поведения может помочь в определении первопричин проблем, а также предоставить необходимую информацию для выявления и прогнозирования подобных атак в будущем.

Какие типы поведения свидетельствуют об опасной активности?

Необычное время, в которое происходят события, аномальная последовательность действий или повышенные объемы перемещения данных — вот лишь несколько признаков вредоносной активности в среде. Ниже приведены несколько конкретных примеров не совсем обычного поведения, которые помогают выявить происходящие в данный момент атаки.

  • Ссылка в файле, который выглядит безопасным, загружается в память, после чего удаленно загружает скрипт для поиска конфиденциальных данных, которые затем отправляются злоумышленнику.

  • Вредоносный код внедряется в уже установленные приложения, такие как Microsoft Word, Flash, Adobe PDF Reader, веб-браузер или JavaScript, для обнаружения уязвимостей и последующего выполнения вредоносного кода.

  • Собственные системные инструменты, такие как Microsoft Windows Management Instrumentation (WMI) и языки скриптов Microsoft PowerShell, которые обычно считаются высоконадежными, становятся средствами для удаленного запуска скриптов.

Тенденции отрасли: анализ поведения теперь является одним из обязательных компонентов системы безопасности

Еще в начале 2016 года институт SANS признал важность анализа поведения в тематической статье Using Analytics to Predict Future Attacks and Breaches («Использование средств анализа для прогнозирования будущих атак и нарушений безопасности»). В заключении статьи автор отмечает: «Использование более совершенных платформ анализа данных для сбора более значительных объемов данных различных типов, сосредоточение усилий на повышении уровня визуализации сетевых угроз, а также автоматизация действий по обнаружению угроз и реагированию на них могут помочь специалистам по безопасности решать эти проблем в настоящее время и в будущем по мере их появления».

Уже в 2018 году наличие средств анализа поведения, по сути, стало одним из базовых требований для передовых систем обеспечения безопасности конечных устройств. Кроме того, в отчете Magic Quadrant for Endpoint Protection Platform («Магический квадрант Gartner в сегменте платформ защиты конечных устройств») компания Gartner рассматривает машинное обучение и мониторинг поведения в качестве преимуществ новаторов и лидеров. В отчете также отмечается, что «самыми успешными новаторами и лидерами в 2018 и 2019 годах будут те поставщики, которые используют данные, собираемые благодаря возможностям [обнаружения угроз на устройствах пользователей], чтобы предоставлять практически полезные советы и рекомендации, адаптированные для заказчиков».

17% нарушений безопасности в 2017 году были вызваны человеческими ошибками (а не злым умыслом).

Решение: использование возможностей облака

Чтобы по-настоящему эффективно применять анализ поведения, компании должны использовать преимущества облака и его широкие вычислительные возможности, неограниченную масштабируемость и удобство управления. Облако позволяет применять упреждающий подход, который сочетает большие данные с мощными средствами анализа, чтобы помочь организациям справиться с наиболее опасными новыми атаками.

Например, облако обеспечивает анализ потоковых данных, в рамках которого можно отслеживать нормальные и аномальные действия на конечных устройствах и сравнивать их с любыми нефильтрованными данными, поступившими с конечных устройств за прошлые периоды. Анализируя эти потоки событий и сравнивая их с теми, которые выглядят как нормальные, облако создает глобальную систему мониторинга угроз, которая не только обнаруживает атаки, но и прогнозирует появление новых неизвестных атак.

Этот высокоэффективный подход просто невозможен при использовании традиционных антивирусных решений, основанных на сигнатурах, но антивирусное ПО нового поколения (NGAV) предоставляет возможность его применения.

NGAV в облаке обеспечивает двунаправленную связь с конечными устройствами. Это позволяет осуществлять мониторинг все нефильтрованных данных с конечных устройств и применять на их основе прогнозную аналитику, которая в упреждающем режиме защищает компании от изощренных атак.

Кроме того, облако предоставляет инфраструктурные преимущества, которые большинство компаний уже получают при использовании другого корпоративного ПО: упрощение эксплуатации и снижение расходов, более быстрое развертывание, а также современные и наиболее инновационные технологии.

Современная платформа цифровой рабочей области

VMware Workspace ONE — это аналитическая платформа цифровой рабочей области, обеспечивающая удобное и безопасное предоставление и администрирование любых приложений на любом устройстве.

Продукты, решения и ресурсы VMware, связанные с анализом больших данных

Защита приложений и данных с помощью встроенной системы безопасности

Встроенная система безопасности — это принципиально новый подход к защите вашего бизнеса.

VMware NSX Service-defined Firewall

Используйте распределенный внутренний брандмауэр уровня 7 с сохранением состояния на базе NSX для защиты трафика в ЦОД для виртуальных, физических и облачных рабочих нагрузок, а также рабочих нагрузок в контейнерах.

Modern Digital Workspace Platform

Просто и безопасно доставляйте любое приложение и управляйте им на любом устройстве с помощью VMware Workspace ONE, интеллектуальной платформы цифрового рабочего пространства.