Солдатов в Телеграм

TI, популярность и задачи для машобуча

Обнаруживать угрозы, а возьмем шире, управлять угрозами, невозможно без данных Threat intelligence (TI). TI для MDR можно сравнить с опытом и мудростью для человека, - в обоих случаях требуется время на его сбор, а точнее, кропотливая работа в течение долгого времени: анализ ВПО и новых техник атак, обнаружение и расследование инцидентов.

Популярность - маленькая частичка TI, но с ее помощью можно творить великие дела. Если вы обладаете огромной базой данных о популярности файлов в Мире, то из этого можно находить, как минимум, следующее:
- непопулярные файлы. Несмотря на то, что ВПО очень много, легитимных файлов радикально больше. Непопулярность файла в комбинации с неизвестной репутацией, источника появления файла на системе, подозрительности пути расположения и т.п. факторами - вполне инструмент для поиска супер-целевых APT
- переименованные файлы. Миллионы легитимных файлов, как правило, имеют постоянные имена и здесь можно триггериться на множество разных сценариев: непопулярное имя, у файла слишком много разных имен и т.п.
- перенесенные файлы или файлы по нестандартным путям - подмножество предыдущего случая, и сценарии схожие - сравниваем фактический путь файла с наиболее популярным
- DLL Hijacking - фактически, непопулярный сценарий загрузки DLL в процесс, напишу об этом чуть более подробно в отдельной заметке
- Process Injection - опять же надо рассматривать непопулярные IPC, концептуально похоже на DLL Hijacking
- Похожие файлы - немного другая задача, здесь мы ищем не изгоев, а кластеры, разделяющие те или иные атрибуты (поиск атрибутов автоматизируется ML), соответственно, если мы обнаруживаем объект с похожими атрибутами, скорее всего, он повторяет назначение соответствующего кластера

В MDR также имеет смысл "частная популярность", и, если компания имеет много ПО собственной разработки, это позволит аккуратно пофильтровать сценарии непопулярности ПО в Мире с одновременной популярностью в данной конкретной инфраструктуре.

Имея огромную базу TI можно вполне эффективно обучать различные ML-модели, которые будут с низким FPR находить аномалии, релевантные реальным атакам, поднимать алерты, а ребята из SOC далее уже примут решение. Причем, эти технологии, так или иначе основанные на популярности, а также Похожесть и Threat Attribution Engine, уже давно используются в боевых условиях, для MDR любая технология, способная расширить возможности по обнаружению, только приветствуется.

Буду признателен, если в комментариях к этой заметке вы поделитесь своими идеями задач для ML/DL на данных TI.

#mdr

👍4🔥2❤1

www.tgoop.com/soldatov_in_telegram/326

992 viewsJun 10, 2024 at 13:15

TI, популярность и задачи для машобуча

Обнаруживать угрозы, а возьмем шире, управлять угрозами, невозможно без данных Threat intelligence (TI). TI для MDR можно сравнить с опытом и мудростью для человека, - в обоих случаях требуется время на его сбор, а точнее, кропотливая работа в течение долгого времени: анализ ВПО и новых техник атак, обнаружение и расследование инцидентов.

Популярность - маленькая частичка TI, но с ее помощью можно творить великие дела. Если вы обладаете огромной базой данных о популярности файлов в Мире, то из этого можно находить, как минимум, следующее:
- непопулярные файлы. Несмотря на то, что ВПО очень много, легитимных файлов радикально больше. Непопулярность файла в комбинации с неизвестной репутацией, источника появления файла на системе, подозрительности пути расположения и т.п. факторами - вполне инструмент для поиска супер-целевых APT
- переименованные файлы. Миллионы легитимных файлов, как правило, имеют постоянные имена и здесь можно триггериться на множество разных сценариев: непопулярное имя, у файла слишком много разных имен и т.п.
- перенесенные файлы или файлы по нестандартным путям - подмножество предыдущего случая, и сценарии схожие - сравниваем фактический путь файла с наиболее популярным
- DLL Hijacking - фактически, непопулярный сценарий загрузки DLL в процесс, напишу об этом чуть более подробно в отдельной заметке
- Process Injection - опять же надо рассматривать непопулярные IPC, концептуально похоже на DLL Hijacking
- Похожие файлы - немного другая задача, здесь мы ищем не изгоев, а кластеры, разделяющие те или иные атрибуты (поиск атрибутов автоматизируется ML), соответственно, если мы обнаруживаем объект с похожими атрибутами, скорее всего, он повторяет назначение соответствующего кластера

В MDR также имеет смысл "частная популярность", и, если компания имеет много ПО собственной разработки, это позволит аккуратно пофильтровать сценарии непопулярности ПО в Мире с одновременной популярностью в данной конкретной инфраструктуре.

Имея огромную базу TI можно вполне эффективно обучать различные ML-модели, которые будут с низким FPR находить аномалии, релевантные реальным атакам, поднимать алерты, а ребята из SOC далее уже примут решение. Причем, эти технологии, так или иначе основанные на популярности, а также Похожесть и Threat Attribution Engine, уже давно используются в боевых условиях, для MDR любая технология, способная расширить возможности по обнаружению, только приветствуется.

Буду признателен, если в комментариях к этой заметке вы поделитесь своими идеями задач для ML/DL на данных TI.

#mdr

BY Солдатов в Телеграм