Historically, enterprise organizations have not sufficiently monitored their employees’ activities within internal business applications. They were essentially (and blindly) trusting their employees. This trust has unfortunately caused severe business damage due to the actions of some malicious insiders.
Nadzor je težaven, ko obstoječe rešitve za odkrivanje zlonamernih aktivnosti v poslovnih aplikacijah večinoma temeljijo na pravilih, ki jih je treba napisati in vzdrževati posebej za vsako aplikacijo. To je zato, ker ima vsaka aplikacija prilagojen nabor dejavnosti in formatov dnevnika. Rešitve za odkrivanje, ki temeljijo na pravilih, ustvarjajo tudi številne lažno pozitivne (tj. lažna opozorila) in lažno negativne (tj. zlonamerne dejavnosti ostanejo neodkrite).
Detection needs to be agnostic to the meaning of an application’s activities so it can be applied to any business application.
Rešitev tega izziva je v analizi zaporedij dejavnosti namesto v analizi vsake dejavnosti posebej. To pomeni, da bi morali analizirati uporabniška potovanja (tj. seje) za spremljanje overjenih uporabnikov v poslovnih aplikacijah. A motor za odkrivanje se nauči vseh tipičnih potovanj za vsakega uporabnika ali kohorto in jih uporabi za zaznavanje potovanja, ki odstopa od tipičnih potovanj.
Dva glavna izziva, s katerimi se mora soočiti motor za odkrivanje, sta:
- Vsaka aplikacija ima drugačen nabor dejavnosti in obliko dnevnika.
- Natančno se moramo naučiti tipičnih uporabniških poti v vsaki aplikaciji in med aplikacijami.
Standardizacija modela zaznavanja
Da uporabimo en model zaznavanja v katerem koli dnevniku aplikacijske plasti, lahko iz vsakega potovanja izluščimo naslednje tri funkcije, ki temeljijo na zaporedju (tj. značilnosti):
- Niz dejavnosti, od katerih je vsaka označena s številčnimi kodami.
- Vrstni red, v katerem so bile dejavnosti izvedene v seji.
- Časovni intervali med aktivnostmi med sejo.
Te tri značilnosti je mogoče uporabiti za kaj sejo aplikacije in celo seje med aplikacijami.
The figure below illustrates the three characteristics of a user journey based on five activities, each denoted by a number, as the activity is a numeric code from the model’s perspective.
Učenje tipičnih uporabniških poti med aplikacijami
Kot je pojasnjeno zgoraj, zaznavanje neobičajnih potovanj temelji na učenju vse tipične uporabniške poti. Tehnologija združevanja v gruče združuje podobne podatkovne točke, da se nauči teh uporabniških poti in ustvari tipično uporabniško pot za vsako skupino podobnih poti. Ta postopek poteka neprekinjeno, ko so na voljo novi podatki dnevnika.
Once the system learns the journeys typical to the user, the detection solution can check every new journey to see whether it is similar to a previously-learned one. If the current journey does not resemble past sessions, the solution flags it as an anomaly. It’s also possible to compare the current journey against journeys associated with the kohorta, ki ji uporabnik pripada.
A detection solution must be based on an extremely accurate clustering engine tailored for sequence clustering, while still remaining almost linear in the number of journeys it clusters and not requiring prior knowledge as to how many clusters to generate. In addition, it has to detect outliers, remove them from the data set to enhance clustering accuracy, and identify these outliers as anomalies. That’s how the clustering engine that generates groups of similar user journeys can also detect abnormal user journeys in historical data and report them as anomalies.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
