Storicamente, le organizzazioni aziendali non hanno monitorato sufficientemente le attività dei propri dipendenti all’interno delle applicazioni aziendali interne. Si fidavano essenzialmente (e ciecamente) dei loro dipendenti. Questa fiducia ha purtroppo causato gravi danni aziendali a causa delle azioni di alcuni addetti ai lavori dannosi.
Il monitoraggio è difficile quando le soluzioni esistenti per rilevare attività dannose nelle applicazioni aziendali si basano principalmente su regole che devono essere scritte e gestite separatamente per ciascuna applicazione. Questo perché ogni applicazione dispone di una serie di attività e formati di registro personalizzati. Le soluzioni di rilevamento basate su regole generano anche molti falsi positivi (ovvero falsi allarmi) e falsi negativi (ovvero attività dannose che non vengono rilevate).
Il rilevamento deve essere indipendente dal significato delle attività di un'applicazione in modo che possa essere applicato a qualsiasi applicazione aziendale.
La soluzione a questa sfida sta nell'analizzare sequenze di attività invece di analizzare ciascuna attività singolarmente. Ciò significa che dovremmo analizzare i percorsi degli utenti (ovvero le sessioni) per monitorare gli utenti autenticati nelle applicazioni aziendali. UN motore di rilevamento apprende tutti i percorsi tipici per ciascun utente, o gruppo, e li utilizza per rilevare un percorso che si discosta dai percorsi tipici.
Le due sfide principali che un motore di rilevamento deve affrontare sono:
- Ciascuna applicazione dispone di un insieme diverso di attività e di un formato di registro.
- Dobbiamo apprendere con precisione i tipici percorsi degli utenti in ciascuna applicazione e tra le applicazioni.
Standardizzazione del modello di rilevamento
Per applicare un modello di rilevamento a qualsiasi registro del livello applicativo, possiamo estrarre da ciascun percorso le seguenti tre funzionalità basate su sequenza (ovvero caratteristiche):
- L'insieme delle attività, ciascuna indicata da codici numerici.
- L'ordine in cui le attività sono state eseguite nella sessione.
- Intervalli di tempo tra le attività durante la sessione.
È possibile applicare queste tre caratteristiche in qualsiasi sessione dell'applicazione e persino a sessioni tra applicazioni.
La figura seguente illustra le tre caratteristiche di un percorso dell'utente basato su cinque attività, ciascuna indicata da un numero, poiché l'attività è un codice numerico dal punto di vista del modello.
Apprendimento dei percorsi tipici degli utenti attraverso le app
Come spiegato in precedenza, il rilevamento dei viaggi anomali si basa sull'apprendimento contro tutti i percorsi tipici dell'utente. La tecnologia di clustering raggruppa punti dati simili per apprendere questi percorsi dell'utente e generare un tipico percorso dell'utente per ciascun gruppo di percorsi simili. Questo processo viene eseguito continuamente man mano che diventano disponibili nuovi dati di registro.
Una volta che il sistema ha appreso i viaggi tipici dell'utente, la soluzione di rilevamento può controllare ogni nuovo viaggio per vedere se è simile a quello appreso in precedenza. Se il percorso attuale non assomiglia alle sessioni passate, la soluzione lo segnala come un’anomalia. È anche possibile confrontare il viaggio attuale con i viaggi associati al coorte a cui appartiene l'utente.
Una soluzione di rilevamento deve essere basata su un motore di clustering estremamente accurato su misura per il clustering di sequenze, pur rimanendo quasi lineare nel numero di viaggi che raggruppa e non richiedendo conoscenze preliminari su quanti cluster generare. Inoltre, deve rilevare i valori anomali, rimuoverli dal set di dati per migliorare la precisione del clustering e identificare questi valori anomali come anomalie. In questo modo il motore di clustering che genera gruppi di percorsi utente simili può anche rilevare percorsi utente anomali nei dati storici e segnalarli come anomalie.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
