Цитируя Википедию, “наблюдаемость” происходит из теории управления, которая измеряет, насколько хорошо состояние системы может быть определено по ее выходам. Аналогично, в программном обеспечении наблюдаемость означает, насколько хорошо мы можем понять состояние системы по полученной телеметрии, включая метрики, журналы, трассировки и профилирование.

Текущая видимость и мониторинг лишены поведенческого интеллекта

Традиционный мониторинг обычно используется для визуального наблюдения и выявления проблем, связанных с приложениями, сетями и конечными устройствами, касающихся производительности, здоровья, пользовательского опыта, безопасности и устойчивости. Оповещения сочетаются с мониторингом, чтобы оперативно уведомлять о критических событиях по электронной почте, SMS и с помощью приборных панелей. Этот традиционный мониторинг, используемый APM, NPM и SIEM, работает с “известными неизвестными”, когда риски известны заранее, но конкретное время их возникновения остается неизвестным. Такого мониторинга достаточно для простых систем с ограниченным числом объектов, где устранение неисправностей просто и очевидно.

Однако корпоративные системы становятся все более сложными с появлением различных архитектур, таких как распределенные приложения, развертывание в нескольких облаках, Edge computing и приложения для совместной работы с многочисленными партнерами. Кроме того, расширенная поверхность атаки, связанная с этими архитектурами, сделала традиционный мониторинг и более простую корреляцию неадекватными. Одного решения проблемы “известных неизвестных” недостаточно.

Платформы наблюдаемости делают скачок вперед, выявляя неожиданные риски, которые ранее не учитывались. Эти платформы предназначены для работы с “неизвестными неизвестными” и предлагают более быстрый и точный поиск и отладку систем, обеспечивая глубокую видимость их производительности, здоровья, безопасности и поведения.

Эта заметка посвящена наблюдаемости, оптимально достигаемой благодаря входным данным, собранным с помощью сетевых компонентов и компонентов безопасности SASE (Secure Access Service Edge). В частности, мы исследуем варианты использования наблюдаемости, связанные с поведенческими аномалиями, для выявления аномального поведения пользователей, сетей, приложений и доступа в Интернет.

Платформы наблюдаемости в значительной степени зависят от качества получаемых ими входных данных. В этом контексте мы рассмотрим, как решения SASE предлагают богатые данные в виде журналов, метрик и трассировок, и как системы наблюдаемости могут использовать эти данные для решения различных задач. Используя знания, полученные от решений SASE, решения для наблюдаемости могут расширить свои возможности, что приведет к улучшению мониторинга, проактивному обнаружению рисков и надежному системному анализу. Сочетание SASE и наблюдаемости дает мощную основу для эффективного мониторинга и обеспечения безопасности современных корпоративных систем.

SIEM, NPM, NDR, APM, XDR – обнаружение аномалий ограничено

В современном мире существует множество инструментов для контроля и мониторинга, каждый из которых обладает своими функциональными возможностями. Однако они имеют определенные ограничения, в первую очередь, связанные с обнаружением аномалий на основе поведения и ограниченной корреляцией событий, что препятствует их способности обеспечивать глубокую видимость и анализ первопричин. Мы считаем, что эти инструменты должны в конечном итоге включать в себя поведенческую аналитику/прогностическую аналитику и более глубокую видимость, удовлетворяя требованиям производительности, безопасности и отказоустойчивости систем.

Чтобы достичь полноты, добавление функциональности User and Entity Behavioral Analytics (UEBA) становится решающим для этих инструментов. Более того, мы твердо уверены, что успешная наблюдаемость требует улучшения возможностей корреляции. Чтобы добиться лучшей корреляции, необходимы соответствующие данные от сетевых устройств, устройств безопасности, систем идентификации и инфраструктуры приложений. Тем не менее, последовательное получение этой информации на устройствах и системах разных производителей представляет собой сложную задачу из-за различий в содержании журналов, метриках, схемах и форматах журналов. Самая большая проблема – это непоследовательная и недостающая информация, необходимая для всесторонней аналитики.

Унифицированный SASE, объединяющий множество сетевых функций и функций безопасности от одного поставщика в рамках целостной архитектуры, может облегчить бремя этих инструментов, касающихся корреляции и поведенческой аналитики – подробнее об этом в следующих разделах.

Давайте углубимся в UEBA и изучим тип журналов и метрик, ожидаемых от плоскости данных унифицированного SASE.

Поведенческая аналитика пользователей и субъектов

Индустрия кибербезопасности придумала термин “аналитика поведения пользователей и объектов” (UEBA). Это мониторинг и анализ поведения пользователей (таких как сотрудники, подрядчики и партнеры) и объектов (таких как устройства, приложения и сети) в сети организации с целью обнаружения аномальных или подозрительных действий.

Решения UEBA обычно используют передовые методы аналитики и машинного обучения (AI/ML), чтобы установить базовый уровень нормального поведения для каждого пользователя и организации. Как только базовая линия установлена, система постоянно сравнивает поведение в реальном времени с этой базовой линией, чтобы обнаружить отклонения или аномалии, которые могут указывать на потенциальные угрозы безопасности или ненормальную деятельность. Также важно отметить, что базовая линия продолжает меняться со временем, поэтому возникает необходимость в обновлении базовой линии и соответствующем непрерывном обучении модели.

Цель UEBA – выявить необычные модели поведения, которые могут остаться незамеченными традиционными мерами безопасности, помогая организациям обнаружить внутренние угрозы, взломанные учетные записи, несанкционированный доступ и другие подозрительные действия. Анализируя поведение, UEBA обеспечивает дополнительный контекст и понимание потенциальных инцидентов безопасности, позволяя командам безопасности реагировать быстро и эффективно.

Несмотря на то, что определение UEBA дано в контексте кибербезопасности, обнаружение аномалий поведения не ограничивается кибербезопасностью, а применяется к аспектам производительности таких объектов, как приложения и сети.

Некоторые представители отрасли говорят, и я с этим согласен, что реализация архитектуры Zero Trust Architecture (ZTA) с помощью технологий Service mesh или SASE будет завершена только в том случае, если они включат UEBA в свое предложение.

Поскольку в UEBA говорится об аномалиях, давайте сначала разберемся с термином “обнаружение аномалий”, различными типами аномалий и техниками, используемыми для обнаружения аномалий.

Обнаружение аномалий для кибербезопасности

В этой статье блога ” Что такое обнаружение аномалий? ” представлен отличный обзор обнаружения аномалий. Проще говоря, обнаружение аномалий подразумевает выявление необычных точек или закономерностей в наборе данных. Все, что отклоняется от установленной базовой линии в пределах заранее определенного допуска, считается аномалией. Хотя аномалии могут быть доброкачественными и не вызывать опасений, обнаружение вредоносных аномалий имеет первостепенное значение для индустрии кибербезопасности.

Неконтролируемое обнаружение аномалий особенно важно для кибербезопасности, поскольку оно помогает выявлять ранее не замеченные события, не опираясь на предварительные знания. Другими словами, этот подход без контроля необходим для обнаружения “неизвестных неизвестных” в контексте угроз безопасности.

Для обнаружения аномалий можно использовать различные методы, иногда применяя статистические инструменты, а иногда требуя алгоритмы машинного обучения. Два популярных типа алгоритмов машинного обучения, используемых для обнаружения аномалий, – это:

• Кластеризация: Кластеризация – это техника, которая группирует точки данных на основе их сходства или расстояния. Аномалии можно выявить при кластеризации, обнаружив точки данных, которые не принадлежат ни к одному кластеру или значительно удалены от ближайшего центра кластера. Примеры алгоритмов кластеризации включают K-средние.
• Оценка плотности: Оценка плотности – это техника, которая оценивает распределение вероятностей данных. Аномалии можно обнаружить с помощью оценки плотности, найдя точки данных с низкой плотностью вероятности или расположенные в областях с низкой плотностью. К распространенным алгоритмам оценки плотности относятся Isolation Forest, Kernel Density Estimation и другие.

Мы не будем рассматривать здесь описательную аналитику, поскольку многие системы мониторинга уже поддерживают ее. Основное внимание здесь уделяется аналитике поведения, ветви предиктивной аналитики. Как уже говорилось, обнаружение аномалий имеет большое значение для кибербезопасности, поэтому здесь мы рассмотрим обнаружение аномалий.

Несколько примеров обнаружения аномалий могут помочь понять, какого типа информации ожидают от решений SASE, в частности, аналитики поведения пользователей и объектов (UEBA) и наблюдаемости в целом. В следующих разделах мы расскажем об обнаружении аномалий, которые необходимы для кибербезопасности и сетевой индустрии.

Как уже говорилось, важно также иметь универсальную систему обнаружения аномалий с множеством функций для выявления любых типов обнаружения, которые не известны заранее. Важным моментом для выявления неизвестных типов обнаружения является то, что входные журналы и данные метрик должны быть полными.

Вот несколько примеров обнаружения аномалий:

Аномалии поведения пользователей:

• Пользователи, получающие доступ к Интернету, SaaS и корпоративным приложениям из мест, отличающихся от их обычного расположения.
• Пользователи обращаются к услугам в необычное время по сравнению с их обычным режимом использования.
• Пользователи получают доступ к приложениям из разных мест за короткий промежуток времени, что кажется неправдоподобным.
• Пользователи получают доступ к сервисам через анонимные прокси-серверы, что вызывает опасения по поводу безопасности.
• Пользователи, получающие доступ к сервисам с подозрительных IP-адресов, которые могут быть связаны с вредоносной деятельностью.
• Пользователи, обращающиеся к подозрительным доменам или URL-адресам, что указывает на потенциальные угрозы безопасности.
• Пользователи, демонстрирующие необычное поведение при загрузке/выгрузке файлов, заслуживающее внимания.
• Пользователи, демонстрирующие нетипичный доступ к приложениям, Интернет-сайтам или SaaS-приложениям.

Необычная активность пользователей:

• Необычное количество входов пользователя в систему, что может указывать на скомпрометированные учетные данные или попытки несанкционированного доступа.
• Необычное количество неудач при входе в систему, что говорит о возможных атаках методом грубой силы или проблемах с аутентификацией.
• Необычный доступ к различным URI приложений, который может потребовать дальнейшего расследования.
• Необычное количество VPN-туннелей удаленного доступа от конкретного пользователя или глобально от всех пользователей.

Аномалии доступа к приложениям:

• Доступ к приложениям незнакомых пользователей, что требует проверки их легитимности.
• Необычный доступ пользователей к различным разделам или пространствам внутри приложений.
• Необычные загрузки/выгрузки данных пользователями, потенциально указывающие на утечку данных или несанкционированную передачу данных.
• Необычный доступ из мест, ранее не встречавшихся, что может вызвать опасения по поводу безопасности.
• Необычный доступ к приложениям в неожиданное время со стороны пользователей или конкретных пользователей, требующий расследования.
• Необычный доступ от провайдеров, не встречавшийся ранее, что может свидетельствовать о подозрительной деятельности.
• Обнаружение необычных заголовков HTTP-запросов при доступе к ресурсам приложения.
• Обнаружение аномальной длины URI при доступе к ресурсам приложения.
• Необычное использование различных пользовательских агентов, которое может быть связано со злым умыслом.
• Необычная задержка транзакций на уровне HTTP.

Сетевые аномалии: Обратите внимание, что Интернет считается одной из сетей.

• Аномалии в количестве входящего трафика, исходящего трафика или их совокупности для данной сети.
• Аномалии в количестве трафика для разных наборов протоколов.
• Аномалии в количестве подключений к ресурсам в сети.
• Аномалии в количестве транзакций к ресурсам в сети.
• Аномалии в количестве транзакций в расчете на одно соединение.
• Аномалии в задержках при доступе к ресурсам в сети.
• Аномалии в трафике между сетями.

Аномалии угроз:

• Аномалии в количестве сессий с подозрительными IP-адресами, указывающие на потенциальные попытки общения с вредоносными организациями.
• Аномалии в количестве сессий с подозрительными доменными именами, которые могут означать контакт с ненадежными или скомпрометированными доменами.
• Аномалии в количестве сессий на подозрительных URL, указывающие на потенциальные угрозы в веб-трафике.
• Аномалии в количестве скачиваний/загрузок файлов, зараженных вредоносным ПО, указывают на возможные кибератаки.
• Аномалии в количестве сеансов несанкционированного или вредоносного использования SaaS и облачных сервисов.
• Аномалии в количестве сессий, в которых было отказано, потенциально указывают на меры безопасности в работе.
• Аномалии в количестве транзакций, в которых было отказано, свидетельствуют о возможных угрозах безопасности или мошеннических действиях.

Платформы для наблюдения с UEBA, как правило, обеспечивают вышеуказанные обнаружения. Общая модель кластеризации может быть использована для неизвестных рисков, чтобы обнаружить любые новые отклонения, которые следует отслеживать. Эта общая модель должна включать в себя множество функций.

Поскольку большинство перечисленных выше аномалий требуют исходных данных для точного определения отклонений, для платформ наблюдаемости очень важно включить режим обучения. Иногда обучение может быть динамическим, позволяя конфигурации проверять аномалии текущего дня на основе данных за последние X дней.

Учитывая, что может потребоваться несколько моделей, платформы наблюдаемости должны быть масштабируемыми и способными справиться с нагрузкой по обучению и размещению нескольких моделей.

Точная информация об угрозах

Точное обнаружение аномалий поведенческих угроз зависит от актуальной информации, полученной от поставщиков аналитических данных об угрозах. Хотя системы SASE выполняют первичное обнаружение угроз в момент трафика, собранная в этот момент информация об угрозах может оказаться устаревшей. Поставщики услуг по анализу угроз постоянно оценивают репутацию IP-адресов, доменных имен, URL-адресов, файлов, SaaS-сервисов и обновляют свои ленты самой свежей информацией. Однако это может привести к разрыву во времени между появлением реальных угроз и обновлением информации об угрозах.

Следовательно, любые соединения или транзакции, которые происходят до этих обновлений, могут привести к тому, что плоскость данных не сможет правильно классифицировать трафик. Чтобы решить эту проблему, платформы наблюдаемости на основе UEBA проактивно изучают предыдущие доступы и постоянно пополняют данные новыми сведениями об угрозах. Затем эти платформы информируют команды по поиску угроз в сфере ИТ об изменениях в разведывательной информации, позволяя охотникам за угрозами глубже изучить потенциальные угрозы.

Unified SASE с точностью объединяет журналы, метрики и трассы

Всесторонность и точность любой аналитики, включая описательную, предиктивную, диагностическую и предписывающую, в значительной степени зависят от качества журналов, получаемых платформой наблюдаемости. Именно здесь решения Unified SASE действительно превосходят все остальные.

Традиционные платформы наблюдаемости зависят от журналов и показателей различных систем, таких как межсетевые экраны, устройства UTM, приложения, службы идентификации, межсетевые экраны веб-приложений, системы IDS/IPS, системы безопасности DNS и т.д. Однако управление журналами от нескольких поставщиков сопряжено с рядом трудностей:

• Недостаточно информации в журналах.
• Различные форматы/схемы журналов.
• Постоянные изменения сообщений журнала и формата со стороны производителей.
• Сложность последовательного соотнесения журналов сетевых/защитных устройств с конкретными сеансами трафика, пользователями или приложениями.
• Большое количество журналов с дублирующейся информацией, что приводит к “бомбардировкам” журналов и падениям журналов.
• Чрезмерная вычислительная мощность, необходимая для корреляции журналов и обработки большого объема журналов.

Решения SASE эффективно решают эти проблемы благодаря комплексному подходу. SASE объединяет многочисленные функции сети и сетевой безопасности в единую услугу, предоставляемую в виде комплексного решения. Тем не менее, осторожность необходима, поскольку решения SASE могут быть построены различными способами. Услуги SASE от одного поставщика, хотя и предоставляются как комбинированное предложение от одного поставщика, могут состоять из отдельных компонентов безопасности и сетевых компонентов от нескольких поставщиков. Следовательно, журналы и метрики, полученные от таких SASE-решений одного поставщика, могут столкнуться с аналогичными проблемами.

В отличие от этого, решения Unified SASE обычно поставляются в виде единой и всеобъемлющей плоскости данных, которая придерживается принципов однопроходной архитектуры и архитектуры run-to-complete. Это означает, что Unified SASE имеет целостное представление о каждой сессии или транзакции и соответствующих применяемых функциях безопасности. В результате решения Unified SASE генерируют только один журнал для каждого файла, транзакции или сессии, содержащий всю необходимую информацию. Например, журналы доступа Unified SASE содержат такие подробные сведения, как:

• Информация из 5 кортежей (IP-адрес источника, IP-адрес назначения, протокол, порт источника и порт назначения)
• Время начала и время окончания сессии/транзакции
• Доменное имя в случае TLS-соединений
• Значение заголовка хоста и путь к URL в случае HTTP-транзакций
• Является ли соединение безопасным (TLS).
• Метод HTTP (GET/POST/DELETE/PUT), параметры запроса URI и заголовки и значения HTTP-запросов и ответов, в основном заголовки, начинающиеся с X-.
• Хэш файла (если в одной HTTP-транзакции передается несколько файлов, может быть несколько журналов доступа)
• Количество байт, отправленных от клиента к серверу и наоборот
• Примененные политики доступа и политики безопасности, а также сведения о политике и совпадающие значения из сеанса трафика, такие как требования пользователя (имя директора, группа, роль, служба аутентификации, эмитент), категория и оценка репутации IP-адреса, категория домена и оценка репутации, категория URI и оценка репутации, категория SaaS-сервиса и оценка репутации, а также предпринятые действия. Важно отметить, что несколько механизмов безопасности обеспечивают согласие на доступ к любой сессии или транзакции. Эти системы безопасности включают в себя системы IP-репутации, системы репутации доменов, системы репутации URL, системы репутации SaaS, системы контроля доступа, системы защиты от вредоносных программ, системы IDPS и многое другое. Каждый механизм безопасности применяет свой собственный набор политик и предпринимает соответствующие действия на основе полученных результатов. Из-за наличия различных движков, каждый из которых имеет свою таблицу политик и уникальные наборы совпадающих значений из трафика или обогащений трафика, необходимо записывать имя совпадающей политики и параметры, которые привели к совпадению политики.

Журналы доступа играют важную роль в платформах наблюдаемости, позволяя проводить точную аналитику. Однако другие журналы не менее важны для платформ наблюдаемости, и решения “Unified SASE” предлагают их из коробки. Эти журналы играют важную роль в расширении возможностей платформы для получения исчерпывающей информации. Некоторые из основных журналов, предоставляемых решениями Unified SASE, включают:

• Журналы, связанные с входом и выходом пользователей через функцию брокера идентификации.
• Журналы, связанные с неудачным входом пользователей в систему, помогают отслеживать потенциальные угрозы безопасности.
• Журналы, связанные с входом пользователей в систему, дополненные полной информацией о требованиях пользователей, включая:
  • Адрес электронной почты пользователя
  • Эмитент (поставщик идентификационных данных)
  • Несколько групп и ролей, к которым принадлежит пользователь
  • Служба аутентификации, которая подтвердила подлинность пользователя
  • Была ли применена многофакторная аутентификация (MFA) или нет
  • Исходный IP, с которого пользователь вошел в систему
  • Протокол аутентификации, используемый пользовательским приложением
  • Местоположение, из которого пользователь вошел в систему

В том числе журналы аутентификации пользователей и журналы доступа могут стать ценным вкладом в платформу наблюдаемости для эффективного выявления поведенческих аномалий.

Более того, решения Unified SASE предлагают вести журналы при обнаружении любой угрозы, например, вредоносного ПО, эксплойтов или подозрительных действий. Эти журналы содержат информацию из 5 кортежей (IP-адрес источника, IP-адрес назначения, протокол, порт источника, порт назначения), дату/время, а также информацию об известных требованиях пользователя на момент обнаружения угрозы. Это поможет соотнести угрозу с сессией или транзакцией, в которой она была замечена, что поможет в реагировании на инциденты и смягчении их последствий.

Хотя мы не говорим о них здесь, многие другие журналы, связанные с ядром системы SASE, процессами, контейнерами и аппаратным обеспечением, помогают в диагностическом анализе.

Помимо генерации журналов, решения Unified SASE также предоставляют различные метрики, включая счетчики, датчики и гистограммы. Эти показатели неоценимы для выявления статистических аномалий и устранения неполадок, поскольку обеспечивают видимость различных компонентов архитектуры SASE.

В целом, различные типы журналов, включая журналы доступа, журналы аутентификации, журналы угроз и диагностические журналы с различными типами метрик, которые предоставляет Unified SASE, помогают платформам наблюдаемости предоставлять не только описательную и диагностическую аналитику, но и поведенческую/предиктивную аналитику.

Унифицированный SASE и интегрированная наблюдаемость соединены в одно целое.

Как уже говорилось выше, Unified SASE отличается тем, что позволяет использовать различные инструменты аналитики благодаря богатому набору экспортируемых данных.

Мы также признаем, что унифицированные решения SASE будут включать в себя комплексную платформу наблюдаемости, которая включает в себя различные аналитические данные, в частности, поведенческую аналитику, как было описано ранее. На начальных этапах интегрированные платформы наблюдаемости были в основном ограничены решениями SASE, а сквозная наблюдаемость часто полагалась на сервисы наблюдаемости от Splunk, Datadog, Elastic, New Relic и сквозные платформы XDR для борьбы с угрозами.

По сути, Unified SASE включает в себя собственную интегрированную платформу наблюдаемости и одновременно предоставляет высококачественные журналы и метрики для различных внешних инструментов наблюдаемости.

Унифицированный SASE – это ключ к расширению возможностей наблюдаемости.

Традиционные средства мониторинга и контроля не справляются со сложными корпоративными средами, характеризующимися распределенным персоналом, развертыванием приложений в нескольких облаках/краях, широким использованием множества SaaS-сервисов, постоянно расширяющимся ландшафтом угроз и архитектурой приложений на основе микросервисов. Зависимость от журналов и показателей из различных источников сети, системы безопасности и приложений часто препятствует способности этих инструментов предоставлять действенные идеи и эффективные возможности корреляции и анализа первопричин. Потребность времени – “наблюдаемость”.
Многие поставщики традиционных аналитических продуктов начали дополнять свои предложения функциями наблюдаемости, такими как UEBA, и соответствующими возможностями обнаружения аномалий. Однако эффективность этих аналитических инструментов в значительной степени зависит от качества журналов и метрик, которые они получают. Унифицированная SASE способна решить проблемы, связанные с созданием полных и качественных журналов для всех типов аналитики, включая поведенческую аналитику.

Предлагая единый подход и комплексный экспорт данных, Unified SASE может значительно расширить возможности организаций по наблюдению, способствуя проактивному обнаружению угроз, точному анализу и принятию более эффективных решений. Интеграция множества аналитических инструментов и функций наблюдаемости в Unified SASE представляет собой мощное решение для решения сложных задач современных корпоративных сред и укрепления защиты кибербезопасности.

The post Унифицированный SASE обеспечивает наблюдаемость с точностью appeared first on Aryaka.

*** This is a Security Bloggers Network syndicated blog from Srini Addepalli, Author at Aryaka authored by Srini Addepalli. Read the original post at: https://www.aryaka.com/blog/%D1%83%D0%BD%D0%B8%D1%84%D0%B8%D1%86%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9-sase-%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B8%D0%B2%D0%B0%D0%B5%D1%82-%D0%BD%D0%B0%D0%B1%D0%BB%D1%8E/