Din punct de vedere istoric, organizațiile întreprinderilor nu au monitorizat suficient activitățile angajaților lor în cadrul aplicațiilor interne de afaceri. În esență (și orbește) aveau încredere în angajații lor. Această încredere a cauzat, din păcate, daune grave în afaceri din cauza acțiunilor unor persoane din interior rău intenționate.
Monitorizarea este dificilă atunci când soluțiile existente pentru detectarea activităților rău intenționate în aplicațiile de afaceri se bazează în principal pe reguli care trebuie scrise și menținute separat pentru fiecare aplicație. Acest lucru se datorează faptului că fiecare aplicație are un set personalizat de activități și formate de jurnal. Soluțiile de detectare bazate pe reguli generează, de asemenea, multe fals pozitive (adică, alerte false) și false negative (adică, activitățile rău intenționate nu sunt detectate).
Detectarea trebuie să fie agnostică față de sensul activităților unei aplicații, astfel încât să poată fi aplicată oricărei aplicații de afaceri.
Soluția la această provocare constă în analiza secvențelor de activități în loc să analizeze fiecare activitate pe cont propriu. Aceasta înseamnă că ar trebui să analizăm călătoriile utilizatorilor (adică, sesiunile) pentru a monitoriza utilizatorii autentificați în aplicațiile de afaceri. A motor de detectare învață toate călătoriile tipice pentru fiecare utilizator sau cohortă și le folosește pentru a detecta o călătorie care se abate de la călătoriile tipice.
Cele două provocări principale pe care trebuie să le abordeze un motor de detectare sunt:
- Fiecare aplicație are un set diferit de activități și format de jurnal.
- Trebuie să învățăm cu exactitate călătoriile tipice ale utilizatorilor în fiecare aplicație și între aplicații.
Standardizarea modelului de detectare
Pentru a aplica un model de detectare oricărui jurnal al stratului de aplicație, putem extrage din fiecare călătorie următoarele trei caracteristici bazate pe secvențe (adică, caracteristici):
- Setul de activități, fiecare notat prin coduri numerice.
- Ordinea în care s-au desfășurat activitățile în sesiune.
- Intervalele de timp dintre activitățile din timpul sesiunii.
Aceste trei caracteristici pot fi aplicate Orice sesiunea aplicației și chiar la sesiuni între aplicații.
Figura de mai jos ilustrează cele trei caracteristici ale călătoriei utilizatorului pe baza a cinci activități, fiecare notă cu un număr, deoarece activitatea este un cod numeric din perspectiva modelului.
Învățarea călătoriilor tipice ale utilizatorilor prin aplicații
După cum sa explicat mai sus, detectarea călătoriilor anormale se bazează pe învățare toate călătoriile tipice ale utilizatorilor. Tehnologia de grupare grupează puncte de date similare pentru a învăța aceste călătorii ale utilizatorilor și pentru a genera o călătorie tipică a utilizatorului pentru fiecare grup de călătorii similare. Acest proces rulează continuu pe măsură ce noi date de jurnal devin disponibile.
Odată ce sistemul învață călătoriile tipice pentru utilizator, soluția de detectare poate verifica fiecare călătorie nouă pentru a vedea dacă este similară cu una învățată anterior. Dacă călătoria curentă nu seamănă cu sesiunile anterioare, soluția o semnalează ca o anomalie. De asemenea, este posibil să comparați călătoria curentă cu călătoriile asociate cu cohorta din care face parte utilizatorul.
O soluție de detectare trebuie să se bazeze pe un motor de clustering extrem de precis, adaptat pentru gruparea secvențelor, rămânând în același timp aproape liniară în ceea ce privește numărul de călătorii pe care le grupează și nu necesită cunoștințe prealabile cu privire la câte clustere să genereze. În plus, trebuie să detecteze valorile aberante, să le elimine din setul de date pentru a îmbunătăți acuratețea grupării și să identifice aceste valori aberante ca anomalii. Acesta este modul în care motorul de clustering care generează grupuri de călătorii similare utilizatorilor poate detecta, de asemenea, călătoriile anormale ale utilizatorilor în datele istorice și le poate raporta ca anomalii.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
