VB-Trend 2016: Чего ждать от UEBA (который User and Entity Behavior Analytics)?
•Als PPTX, PDF herunterladen•
0 gefällt mir•521 views
Чего ждать от UEBA (который User and Entity Behavior Analytics)?
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Ähnlich wie VB-Trend 2016: Чего ждать от UEBA (который User and Entity Behavior Analytics)?
Ähnlich wie VB-Trend 2016: Чего ждать от UEBA (который User and Entity Behavior Analytics)? (10)
VB-Trend 2016: Чего ждать от UEBA (который User and Entity Behavior Analytics)?
- 1. VB-Trend 2016 Чего ждать от UBA?
- 2. VB-Trend 2016 Вызовы современной безопасности Дефицит компетенций Дефицит времени Неизвестные угрозы Дефицит доверия отчетам 25-30 инцидентов в день на аналитика
- 3. VB-Trend 2016 Эволюция подхода к ИБ Log Management SIEM UBA
- 4. VB-Trend 2016 Мнение эксперта Денис Горчаков Fraud Research & Analysis Group Manager в Лаборатория Касперского Information Security Officer в компании «Альфа-Банк» Fraud Prevention Officer в компании «МТС»
- 5. VB-Trend 2016 Чего мы ждем от UBA/UEBA? ДБО: U(E)BA = Account Takeover ? Authentication Recognition 2FA xFA
- 8. VB-Trend 2016 Дропперы, чекеры и даже вирусы
- 9. VB-Trend 2016 Проблемы и открытые вопросы по UBA • Сокращение расходов • Обход UEBA • 2017: электронный банкинг
- 10. VB-Trend 2016
- 11. VB-Trend 2016 U = Users Кого мы анализируем?
- 12. VB-Trend 2016 B=Behavior Какое поведение изучаем?
- 13. VB-Trend 2016 A=Analytics Как анализировать? Автоматическое выявление угроз Комбинация аномалий События от источников Сырые данные UBA не хранятся Актуализация рисков
- 14. VB-Trend 2016 Выделение угроз из событий
- 15. VB-Trend 2016 Два термина, которые надо запомнить Аномалия Угроза Аномалия Аномалия
- 18. VB-Trend 2016 Виды детектируемых угроз Из коробки Custom
- 19. VB-Trend 2016 Splunk UBA: демо-зона
Hinweis der Redaktion
- UEBA – очень широкое понятие, а мы конкретно про антифрод во внешнем периметре. IAM? Стандартные ожидания – account takeover во всех проявлениях: изнутри банка обычно видно только его, других вопросов нет даже в модели угроз. Хорошо, ещё P2P фрод. А если подняться на уровень выше? Нас ждёт весьма интересная картина.
- Одно юридическое лицо в банке А, двадцать физических лиц в банке Б. Все с одного компьютера, один браузер, что бы это могло быть? Видим, но возможности предупредить об этом весьма ограничены.
- В банке невозможен New Account Fraud? Только eCommerce? Переходный сценарий на пути к полноценному New Account Fraud. Регистрируется пачка аккаунтов, на них через различные схемы (например, refund на другие карты) прокачиваются деньги и получаются бонусные баллы. Никакого Account Takeover, но тем не менее прямой финансовый ущерб предотвращается.
- Дропперы и чекеры. Стандартные сценарии поведения в ДБО, потому что у них написаны скрипты/инструкции по поведению на подпольных форумах. Работают сразу по нескольким банкам. Как бы технически ни выкручивались, определяются по косвенным признакам и поведению. Чистое UEBA. Удивительно, что вместо определения через детект вредоносного ПО можно использовать UEBA Пассивная биометрика – начинаем рассматривать пользователя с несколько непривычного в типичном понимании UEBA ракурса.
- New account fraud – тема e-commerce, loyalty fraud. В 2017 году тема приходит в ДБО – сначала в пилотном режиме для клиентов отдельных банков (ИП, ООО под обнал недорого), затем в качестве полноценной регистрации через профили ГосУслуг. По оценкам аналитических агентств, это одна из трёх наиболее критичных тем и для европейского банкинга.
- Это расширение Splunk. Это отдельное решение от Splunk Enterprise. Т.е. это не приложение для Splunk – отдельная система, коробка. UBA автоматически обнаруживает аномальное поведение со стороны пользователей, устройств и приложений, группируя обнаруженные аномалии в конкретные угрозы.
- Ничего не забывется, и сработвашие аномалии добовляют риски угрозе Это упрощенная аналитика, Вторая производная от событий ИБ: События Аномалии Аномалии в аномалиях, построения графа
- Два основных понятия: Аномалии – это индивидуальные отклонения от нормы, которые получены с помощью алгоритмов машинного обучения и других методов анализа данных. Угрозы обнаруживаются на основе анализа выявленных аномалий. Угроза представляет собой определенный use case ИБ, выявленный на основе связанных аномалий. Сама по себе аномалия может не представлять угрозы, но в совокупности, взаимосвязанные аномалии – серьезный сигнал. Настройка custom threat. Аномалии – это индивидуальные отклонения от нормы, которые получены с помощью алгоритмов машинного обучения и других методов анализа данных. Для аномалий: Customers can change anomaly score, apply filters to suppress anomalies or prioritize anomalies, and detect anomalies for both historical and real-time data. This granular capability helps generate high efficacy threats, which does not require additional feedback to the threat modeling machine learning subsystem, however, you still have this functionality. Аномалии выявляются с помощью различных моделей машинного обучения. Их более 40. Бывают 2 типов: streaming и batch. The models are categorized as either streaming or batch. Streaming models analyze data in real-time, whereas batch models process data or compute aggregates at a scheduled interval. Data source types for anomalies Угрозы обнаруживаются на основе анализа выявленных аномалий. Угроза представляет собой определенный use case ИБ, выявленный на основе связанных аномалий. Сама по себе аномалия может не представлять угрозы, но в совокупности, взаимосвязанные аномалии – серьезный сигнал. Пользователь системы имеет возможность написать собственные правила для угроз, это определенный тип угроз - custom threat. Есть несколько out-of-the-box правил для угроз данного типа, пользователь может их редактировать. Custom Threat из коробки: Data Exfiltration after Account Takeover, Compromised Web Server, Infected Host, Compromised Account, Brute Force, User with High Risk anomalies in a short interval, Potential Flight Risk Exfiltration, Flight Risk Exfiltration, Suspicious DLP, Potential Phishing Attack, Internal Server with High Risk Anomalies, Watchlist User - High Risk Anomalies. Как настраивается Custom Threat: Rule Name and Rule Description Select a participant: User, Device, or Session Select the filters for paticipant. For example, select a Department, an HR Status of Active, and a Score of Major Choose the anomaly filters: anomaly types OR anomaly categories Enter a Count for the anomaly types. For example, entering a Count of 2 will generate a threat if at least two of the anomaly types selected are created for Active users that have an Admin account type. Choose the time interval that the threat applies to. Threat Description and Threat Recommendation
- Первый два: либо, либо. Можно выбирать варианты. Этих источников сырых логов может не быть. Минимальный набор – справа Лицензируется по числу пользователей. Загружаем информацию о пользователях (csv, ad, crm, splunk), настойка поле
- Custom (корректировка алгоритма) – не строит kill-chain Участник Фильтры Аномалии Количество типов аномалий Временной интервал Из коробки (конфигурация аномалий) Фильтры Уровень риска