اغلب تشخیص ناهنجاری برای شناسایی فعالیتهای مخرب احتمالی درون سازمانها به کار گرفته میشود، که این کار با استفاده از دادههای مربوط به شبکه از راه دور که از طریق فایروالها، سیستمهای تشخیص نفوذ و لاگهای برنامه و سیستم بدست میآیند، انجام میگردد.
با این حال، تشخیص ناهنجاری کاربردهای بیشتری از جمله شناسایی اینکه چگونه محیط تهدید گستردهتر در حال تغییر است، دارد. این فعالیت، دیدگاهی در رابطه با تهدیدهای جدید در صنایع خاص، فعالیت فیشینگ به شدت هدف قرار گرفته شده و رفتارهای بدافزارها از جمله تاکتیکها، تکنیکها و رویههای (TTPs) آنها را برای تحلیل گران تهدید، فراهم میآورد. این آگاهی موقعیتی پیشرفته به تیمهای امنیت این امکان را میدهد تا برای تهدیدهایی که به احتمال زیاد در مرحله بعد با آنها روبرو می شوند آماده شوند.
ناهنجاریها (Anomalie)
پیدا کردن ناهنجاریها کار آسانی نیست. الگوهایی که می توان آن ها را “normal” در نظر گرفت در هر حوزه متفاوت هستند؛ بیشتر آنها با گذشت زمان تغییر میکنند و تغییرات ذاتی باعث افزایش نویز شده که اغلب میتواند ناهنجاریهای واقعی را پنهان سازد. گاهی اوقات، ناهنجاری تنها نقاطی از دادهها نیستند بلکه از چندین نقطه داده در تعامل با یکدیگر ناشی میشوند. LookingGlass از تشخیص ناهنجاری خودکار استفاده میکند که به طور همزمان میلیونها متن به هم وابسته را مورد بررسی قرار داده، نقاط واحد و گروهی از نقاط که فعالیتهای غیرطبیعی با اهمیت آماری نشان میدهند را شناسایی میکند.
با این وجود، باید توجه داشته باشید که تمام دادههایی که مورد بررسی قرار میدهیم، حاوی اطلاعاتی درباره فعالیت مخرب هستند. انواع بسیاری از تهدیدها وجود دارند که در طول دورههای طولانی وجود خواهند داشت یا با هر تاثیر محدود ظاهر شده و فروکش میکنند. اینها بخشی از چشم انداز تهدید “normal” هستند؛ با این حال ما به تلاش برای بدست آوردن دیدگاه درمورد اینکه چه چیزهای جدیدی در مجموعه بزرگ دادههای هوش تهدید ما وجود دارد، علاقه داریم. بنابراین، ناهنجاریهایی که به دنبال آنها هستیم آن نقاط دادهای هستند (و گروه هایی از نقاط داده ها) که در گروه فعالیتهای مخرب “نرمال” قرار نمیگیرند.
ناهنجاریهایی شناسایی شده شامل موارد زیر هستند:
- روند افزایش (یا کاهش) فعالیت فیشینگ، گاهی از یک منبع خاص
- نفوذهای ناگهانی (یا کاهش) in infections از طریق نوع خاصی از بدافزارها
- تغییرهای عمومی در موقعیتهای جغرافیایی منبع یا هدف
امکان موفقیت با ناهنجاریها
خودکارسازی شناسایی ناهنجاریها تنها در مواقعی موثر است که به تحلیلگران اطلاعات تهدید سایبری که بر تصمیمات عملیاتی امنیت IT تاثیر میگذارند، آگاهی دهد. ویژگیهای یک قابلیت تشخیص نفوذ میبایست تضمین کند که نتایج برای تحلیلگران مناسب خواهد بود.
ما توصیه میکنیم که هر قابلیت تشخیص نفوذ نه تنها هر ناهنجاری را براساس اهمیت آماری آن امتیاز دهد بلکه برای تحلیلگران این امکان را فراهم کند که مشخص کنند کدام نوع از دادههای unnormal برای هر یک از آنها اهمیت بیشتری دارند و اولویت بندی کنند که کدام ناهنجاریها برای بازبینی در صدر لیست قرار میگیرند. با این کار، به عنوان مثال، برخی از تحلیلگران می توانند روی ناهنجاریهای زیرساخت اینترنت تمرکز کرده و برخی دیگر بر روی فعالیت فیشینگ یا انتشار بدافزار کار کنند.
الگوریتمهای تشخیص ناهنجاری میبایست آنچه را که “نرمال” است تعریف کرده و با دادههای هوش تهدید توسط دو روش مختلف تطبیق دهند. ابتدا، آنها باید به آهستگی تکامل یابند تا بتوانند روندهای جدید را در خود جای دهند به طوریکه تحلیلگران روندهای مشابه آنها را بارها و بارها به صورت غیرعادی در نظر نگیرند. در نهایت، یک روند پایدار دیگر یک روند جدید غیرعادی نخواهد بود. سپس آنها باید تشخیص دهند که چه زمانی تغییرات اساسی رخ داده است و به محض اینکه دادههای جدید فراتر از تغییرات شدید شناسایی شده رفتند، مدلهای جدید را دوباره آموزش دهند. به این ترتیب، تغییرات اساسی به تحلیلگران هشدار داده میشوند، اما حالت عادی جدید در اسرع وقت تعیین میشود.
سرانجام قابلیتهای تشخیص ناهنجاری باید به تحلیلگران این امکان را بدهد که از نتایج ناهنجاری در جهت جستجوی علل ریشه یا وسعت فعالیت غیرعادی استفاده کنند. به عنوان مثال، هنگام بررسی یک نفوذ غیرعادی در حجم فیشینگ یک مشتری، یک تحلیلگر ممکن است بخواهد دقیقا دریابد کدام منابع فیشینگ بیشترین تاثیر را در طول نفوذ داشتهاند یا به تحلیل این امر بپردازند که آیا مشتریان دیگر در آن صنعت نیز نفوذی در یک فعالیت را تجربه کردهاند یا خیر.
اطلاعات تهدید LookingGlass
تشخیص ناهنجاری تنها هنگامی موفقیت آمیز است که با اطلاعات تهدید با کیفیت بالا همراه باشد. همانطور که قبلا بیان شد، تمامی اطلاعات تهدیدها به صورت یکسان ایجاد نمیشوند. دادهها، اطلاعات نیستند و انواع مختلفی از اطلاعات تهدید موجود است. به عنوان مثال، اطلاعات تهدیدی که LookingGlass از آن استفاده میکند شامل زمینههای هوش تاریخی مهمی است که سال های بسیار و انواع بسیاری از فعالیتهای مخرب در مجموعههای متنوعی از شبکهها را پوشش میدهد، که شامل موارد زیر می باشد:
- گزارش تهدیدها: مقالات، گزارشهای هوش استراتژیک، خلاصه تهدیدها
- تعریف تهدیدها: نامها، تعریفها، شاخصهای فنی در معرض خطر قرار گرفتن
- انجمنهای تهدید: مشاهده ویژه سرورهای C2، زیرساخت، دامنههای فیشینگ، آلودگیهای بدافزار
- ساختار اینترنت: اطلاعیههای ASN CIDR، رکوردهای نام دامنه
- اطلاعات اینترنت: مالکیت، موقعیت جغرافیایی، زبانها
اگرچه این منابع برای کمک به تحلیلگران برای داشتن درک عمیقی از انواع دامنههای تهدید بسیار عالی هستند اما به دلیل ماهیت ساختار یافته اطلاعات موجود در آنها، بندرت در تشخیص خودکار ناهنجاری کاربرد دارند. خوشبختانه، سایر منابع هوش تهدیدی که LokkingGlass از آنها استفاده میکند شامل دادههای ساختاریافتهای است که برای تشخیص ناهنجاری خودکار مناسب هستند.