Специалисты компании Angara Security выпустили решение на базе нейронной сети, интегрирующееся с SIEM-системой. По словам разработчиков, новинка поможет повысить эффективность мониторинга в SOC.
Комбинированные слои, из которых состоит нейронная сеть, свойственны как сверточным сетям (Convolutional Neural Networks), так и рекуррентным (Recurrent Neural Networks).
Таким образом, разработка поможет дополнить стандартные методы анализа событий в информационной безопасности, а также с высокой точностью выявлять вредоносную активность по характерным паттернам.
В этом случае безопасники избавляются от необходимости писать отдельные правила детектирования для каждой новой утилиты или процедуры.
«ML-модели являются отличным вспомогательным инструментом в работе аналитиков. С одной стороны, они позволяют расширить возможности по детектированию активности злоумышленников, с другой — автоматизировать часть процессов и высвободить ресурсы для задач, требующих участия человека», — комментирует Артем Грибков, заместитель директора Angara SOC по развитию бизнеса.
Использованная Angara Security ML-модель может применяться в трёх сценариях. Например, для детектирования PowerShell-скриптов — одного из любимых инструментов киберпреступников.
Второй сценарий — обнаружение DGA-доменов и DNS-туннелирования. Зачастую классические методы анализа DNS-имен выдают ложноположительные срабатывания, а сверху ещё накладывается проблема доменных имён, похожих на легитимные. В Angara Security отмечают, что ML-решение справляется с этой задачей.
Наконец, третий сценарий — анализ журналов веб-серверов. ML-модель в этом случае может использоваться в качестве дополнения к WAF-системам или как альтернатива эшелонированной защиты веб-ресурсов.
