Historicamente, as organizações empresariais não monitorizaram suficientemente as atividades dos seus funcionários dentro de aplicações empresariais internas. Eles confiavam essencialmente (e cegamente) em seus funcionários. Infelizmente, essa confiança causou graves danos aos negócios devido às ações de alguns membros mal-intencionados.
O monitoramento é difícil quando as soluções existentes para detectar atividades maliciosas em aplicativos de negócios se baseiam principalmente em regras que precisam ser escritas e mantidas separadamente para cada aplicativo. Isso ocorre porque cada aplicativo possui um conjunto personalizado de atividades e formatos de log. As soluções de detecção baseadas em regras também geram muitos falsos positivos (ou seja, falsos alertas) e falsos negativos (ou seja, atividades maliciosas não são detectadas).
A detecção precisa ser independente do significado das atividades de um aplicativo para que possa ser aplicada a qualquer aplicativo de negócios.
A solução para este desafio reside na análise de sequências de atividades em vez de analisar cada atividade isoladamente. Isso significa que devemos analisar as jornadas dos usuários (ou seja, sessões) para monitorar usuários autenticados em aplicações de negócios. A mecanismo de detecção aprende todas as jornadas típicas de cada usuário ou coorte e as utiliza para detectar uma jornada que se desvia das jornadas típicas.
Os dois principais desafios que um mecanismo de detecção precisa enfrentar são:
- Cada aplicativo possui um conjunto diferente de atividades e formato de log.
- Precisamos aprender com precisão as jornadas típicas do usuário em cada aplicativo e entre aplicativos.
Padronizando o modelo de detecção
Para aplicar um modelo de detecção a qualquer log da camada de aplicação, podemos extrair de cada jornada os seguintes três recursos baseados em sequência (ou seja, características):
- O conjunto de atividades, cada uma indicada por códigos numéricos.
- A ordem em que as atividades foram realizadas na sessão.
- Intervalos de tempo entre as atividades durante a sessão.
Estas três características podem ser aplicadas a qualquer sessão do aplicativo e até mesmo para sessões entre aplicativos.
A figura abaixo ilustra as três características de uma jornada do usuário baseada em cinco atividades, cada uma indicada por um número, já que a atividade é um código numérico na perspectiva do modelo.
Aprendendo jornadas típicas de usuários em aplicativos
Conforme explicado acima, a detecção de viagens anormais baseia-se na aprendizagem todos os jornadas típicas do usuário. A tecnologia de cluster agrupa pontos de dados semelhantes para aprender essas jornadas do usuário e gerar uma jornada típica do usuário para cada grupo de jornadas semelhantes. Esse processo é executado continuamente à medida que novos dados de log ficam disponíveis.
Depois que o sistema aprende as jornadas típicas do usuário, a solução de detecção pode verificar cada nova jornada para ver se ela é semelhante a uma previamente aprendida. Se a jornada atual não for semelhante às sessões anteriores, a solução sinalizará isso como uma anomalia. Também é possível comparar a viagem atual com as viagens associadas ao coorte ao qual o usuário pertence.
Uma solução de detecção deve ser baseada em um mecanismo de clustering extremamente preciso, adaptado para clustering de sequências, permanecendo quase linear no número de viagens que agrupa e não exigindo conhecimento prévio sobre quantos clusters gerar. Além disso, ele precisa detectar valores discrepantes, removê-los do conjunto de dados para melhorar a precisão do agrupamento e identificar esses valores discrepantes como anomalias. É assim que o mecanismo de cluster que gera grupos de jornadas de usuários semelhantes também pode detectar jornadas anormais de usuários em dados históricos e relatá-las como anomalias.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
