Киберучения с поведенческим анализом: результаты работы MaxPatrol BAD (Behavioral Anomaly Detection)

Использование разрабатываемых решений для безопасности в условиях, максимально приближенных к реальным, — лучший способ проверить их эффективность. Я уже рассказывал про модуль MaxPatrol BAD (Behavioral Anomaly Detection). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенную оценку риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности. Мы постоянно испытываем наш модуль в таких сценариях. Чтобы проверить, как MaхPatrol BAD справляется с обнаружением сложных и неизвестных атак, мы тестируем его в условиях киберучений. В этих учениях традиционно участвует наша red team — команда, имитирующая действия реальных злоумышленников. О том, какие результаты показывает модуль, какие атаки удается выявлять и какие выводы мы сделали, расскажу далее.

https://habr.com/ru/companies/pt/articles/898836/

#machine_learning #cybersecurity #siem #behavioral_anomaly_detection #поведенческий_анализ #киберучения #обнаружение_атак #red_team #soc #bitrix

Сетевая безопасность: что такое NTA? И почему IDS + DPI + запись трафика ≠ NTA

Привет Хабр, меня зовут Станислав Грибанов, я руководитель продукта NDR группы компаний «Гарда». В информационной безопасности работаю с 2010 года, а с 2017 года занимаюсь развитием продуктов для сетевой безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» . Общаясь с коллегами, партнерами и заказчиками, я вижу много сложностей в классификации продуктов для обеспечения сетевой безопасности и в понимании уникальной ценности того или иного класса решений. Статья будет полезна специалистам по информационной безопасности, инженерам сетевой безопасности, аналитикам и IT-руководителям, которые хотят глубже разобраться в различных технологиях обнаружения и предотвращения угроз. Кроме того, статья будет интересна тем, кто изучает современные подходы к киберзащите и планирует внедрять NDR. Поговорим о предпосылках появления класса решений, о том, что было предпринято для решения проблем систем IPS/IDS, как NTA стали новой ступенью эволюции в анализе трафика, разберем основные заблуждения и попробуем заглянуть в будущее.

https://habr.com/ru/companies/garda/articles/862036/

#nta #ndr #ids #dpi #behavioral_anomaly_detection #network_forensics #network_security #zeroday #apt #гарда

Учимся на чужих ошибках: как прокачать SIEM с помощью machine learning

Привет, Хабр! В этой статье мы хотим поговорить о применении технологий машинного обучения (machine learning, ML) в SIEM-системах. Разберемся, с какими проблемами и ограничениями сталкиваются операторы, расскажем о нашем модуле BAD и о том, как реализованные в нем модели ML помогают вычислять хакеров. А еще заглянем в будущее и посмотрим, как машинное обучение может применяться в SIEM завтра. Все это ждет вас под катом! Под кат →

https://habr.com/ru/companies/pt/articles/848986/

#cybersecurity #siem #ml #machine_learning #behavioral_anomaly_detection #машинное_обучение #catboost #gbm #profiler #кибератаки