Stai facendo due domande diverse in una volta: come implementa è ML da un certo fornitore e come potrebbe essere implementato per essere efficace. Concentriamoci sul dopo.
Ho progettato tali algoritmi per un importante istituto finanziario globale e posso darti i tratti più ampi.
Non è troppo bello per essere vero. Qualsiasi analista della sicurezza esaminerà i registri, imparerà a conoscere come le persone operano nell'azienda e "capirà" per quale aspetto "normale". Si chiama "baselining". Dopo qualche tempo, "conosci" quando qualcosa sembra strano e devi investigare perché:
- La rete diventa silenziosa ogni venerdì pomeriggio (per ragioni che sono evidenti a qualsiasi essere umano dell'ufficio in quel momento)
- La larghezza di banda della rete viene aumentata quando è attiva la Coppa del mondo (streaming, non DDoS)
- Quel server genera sempre quell'errore (una configurazione errata che nessuno sa come risolvere)
- L'utente non può mai ricordare le proprie password e si blocca sempre
- Abbiamo appena chiuso un occhio su quel exec perché tutti hanno paura di dire loro di comportarsi in modo più sicuro
- ecc.
Ogni altra stranezza, che si tratti di errori eccessivi o di errori anormalmente bassi (ehi, perché quel server non ha lanciato quell'errore?) merita un'indagine. Questo era infosec pane e burro, ma ora va sotto il termine di fantasia di "caccia alla minaccia".
Ma questa linea di base è facile da insegnare a un computer. E tu hai ragione, tutto dipende dalla capacità del computer di capire cosa è 'normale'.
Sarebbe un approccio approssimativo prendere lo stato attuale della rete e determinare che sia "normale". Dovresti addestrare il tuo algoritmo ad accettare comportamenti scorretti. Lo fai ancora come fattore , ma non puoi dipenderlo interamente. Hai bisogno di un altro modo di guardare i dati. Ci sono un paio di modi per aggiungere un'altra prospettiva.
Ci sono molti termini fantasiosi, ma quando parlo con persone non algoritmiche, uso i termini: 'stranezze' e 'cattiveria' . Unificare lo stato attuale aiuta a determinare la "stranezza". Se la rete è già compromessa e l'hacker è liberamente mobile nella rete, allora non è "strano" per questa rete. È "cattivo", ma non "strano". Se siamo bravi a determinare 'stranezza', allora possiamo vedere se arriva un nuovo hacker o se l'attuale hacker cambia tattica.
Possiamo aumentare la linea di base della rete determinando ciò che è "strano" per i tipi di utente basando i sottogruppi della rete. I Devs agiscono in un certo modo, i dirigenti agiscono in un certo modo, il personale di pulizia agisce in un certo modo. Se il conto di un addetto alle pulizie normalmente si comporta come un account esecutivo nel nostro stato attuale, allora abbiamo qualcosa da investigare, anche se è "normale" nello stato attuale. Quindi, questo basale ricorsivo è un modo per aumentare la prospettiva ML.
Un altro modo per aggiungere alla prospettiva è definire 'cattiveria' . Le cose potrebbero essere normali, ma possiamo definire quell'attività come categoricamente "cattiva". Potrebbe essere "normale" che questa stampante stia tentando di accedere a tutti i server nella DC, ma sappiamo che questo è categoricamente "cattivo". Quindi, se siamo in grado di inserire questi parametri nell'algoritmo (una ricerca in una tabella di firme), possiamo esporre la cattiveria nella nostra normale attività di rete.
Sono entrato per la prima volta in UBA dopo aver eseguito una demo di un nuovo prodotto UBA circa 3 anni fa. Conoscevo la mia rete avanti e indietro e istintivamente sapevo cosa fosse normale e cosa no. Ho esaminato il prodotto UBA come backup per me e il mio piccolo team per coprire lo skillset per quando le persone erano in vacanza o se le persone lasciavano la squadra. Non mi aspettavo molto. Ma il prodotto includeva questa prospettiva di "cattiveria" che istantaneamente (entro 2 ore) ha esposto cattiva qualità nella mia rete che non ho mai saputo fosse lì anche se avevo una base e stavo eseguendo ricerche di minacce quotidiane.
ML non è troppo bello per essere vero. Non è perfetto, ma è migliore degli umani per ampiezza, velocità e coerenza.