Главная » Блоги Экспертов И ИТ-Компаний » Palo Alto Network Cortex – технологии искусственного интеллекта в решениях компании Palo Alto Networks

Palo Alto Network Cortex – технологии искусственного интеллекта в решениях компании Palo Alto Networks

Предисловие

Проникновение информационных технологий во всё большие сферы нашей жизни и развитие средств кибербезопасности ведет к усилению активности киберпреступников. В современном мире источником атаки может стать любое устройство. Для того, чтобы отследить атаку, администратору безопасности нужно проанализировать данные от большого количества систем, которые не интегрированы между собой, что затрудняет и увеличивает срок расследования атак.

Традиционные подходы к анализу событий не позволяют использовать логику машинного обучения для выявления событий на основе сопоставления данных из разных источников. А человеческому мозгу порой сложно найти причинно-следственные связи среди огромного количества разнотипных событий. Поэтому так стремительно развивается класс решений, использующих алгоритмы искусственного интеллекта в области кибербезопасности.

PAN 2019

12 марта 2019 года в Москве прошла конференция компании Palo Alto Network «Безопасность и цифровая трансформация» (далее – PAN 2019). Конференцию посетили эксперты информационной безопасности, основные партнеры компании Palo Alto Network в России. В числе участников конференции были представители компании «ICL-Системные технологии» – Бутузов Юрий (руководитель отдела средств защиты информации) и Черкашин Михаил (ведущий специалист отдела средств защиты информации). В рамках PAN 2019 обсуждались темы комплексной кибербезопасности, защиты облачных сервисов и общие тренды в области защиты информации.

На конференции компания Palo Alto Networks (далее - PAN) в лице Leor Golan (Региональный менеджер по продажам TRAPS, Magnifier, Cortex XDR) и Menachem Perlman (инженер-консультант по решению Cortex XDR) представили инновационный продукт – Cortex. По словам специалистов компании PAN, Cortex – это единственная интегрированная платформа непрерывной безопасности на основе искусственного интеллекта.

История создания Cortex

В феврале 2019 года компания PAN приобрела компанию Demisto. Demisto – это платформа типа SOAR (Security Orchestration, Automation and Response – организация и автоматизация процесса расследования и реагирования). Платформа осуществляет взаимодействие с различными типами систем, автоматизацию реагирования и расследование инцидентов с использованием алгоритмов машинного обучения. Компания Palo Alto Network интегрировала данное решение в собственную архитектуру и дала общее название данному классу продуктов Cortex.

По словам Shebly Seyrafi (аналитик FBN Securities) сделка с Demisto «поможет PAN приблизиться к использованию искусственного интеллекта и машинного обучения для автоматизации безопасности своих клиентов».

Принцип действия Cortex

Основная задача Cortex – расширить возможности выявления и реагирования на атаки, используя в качестве инструмента поведенческую аналитику событий, основанную на алгоритмах машинного обучения, и правила, созданные администраторами безопасности, для выявления скрытых угроз. Cortex создает своеобразный купол безопасности, объединяющий в себе сетевые устройства, устройства безопасности, рабочие места пользователей и облачные ресурсы.

Собрав воедино данные от различных ресурсов, Cortex может выявить основную причину атаки и предоставить подробный отчет, необходимый аналитикам для расследования инцидента информационной безопасности.

На основе полученных в ходе расследования знаний Cortex создает дополнительные правила, которые применяет для усиления защиты объектов, что поможет мгновенно остановить подобные угрозы безопасности в будущем. Администратор безопасности может откорректировать правила обнаружения атак в соответствии с потребностями конкретной инфраструктуры.

Для того, чтобы Cortex получал необходимую информацию, нужно настроить сбор данных со всех существующих в сети средств безопасности PAN в хранилище данных Cortex Data Lake. Cortex может работать и с одним источником данных - например, с PAN Next Generation Firewall (журналы регистрации событий МЭ) или PAN Traps (события от рабочих мест пользователей или серверов), но рекомендуется развернуть несколько продуктов защиты компании Palo Alto Network для того, чтобы получить более полную картину происходящего в инфраструктуре и оперативное предотвращение атак.

Принцип работы Cortex приведен на рисунке ниже (Рисунок 1).

Рисунок 1 – Принцип работы Cortex

Таким образов к Cortex можно подключить уже развернутые средства защиты PAN, в качестве точек контроля для обнаружения атак и реагирования на инциденты. Это упростит операции управления данными средствами, по сравнению с автономными инструментами для управления каждым из них. Кроме того, Cortex предоставляет последовательный и детализированный отчет о событиях, необходимый для расследования и аналитики событий безопасности. Cortex поможет ответить на такие вопросы, как:

  • Что было причиной события?
  • Принесен ли ущерб?
  • С чем связано событие?
  • Какие узлы связаны с событием?
  • Какие действия необходимы для остановки атаки?
  • Какие действия необходимы для восстановления системы?
  • Что нужно сделать, чтобы событие не повторилось?

Благодаря Cortex все средства защиты PAN работают сообща, что повышает уровень защиты инфраструктуры.

Архитектура решения Cortex

Cortex – это платформа PAN Cortex Platform, состоящая из компонент Cortex Data Lake и Cortex XDR.

Cortex Data Lake – является хранилищем журналов событий от всех точек контроля. Для выполнения функций Cortex Data Lake используется модуль Logging Service. Cortex Data Lake используется аналитическим ядром Cortex XDR – Analytics Application для определения характера активности в сети (опасная, безопасная).

Cortex XDR – это сервис, выполняющий задачи аналитики и моделирования поведения в сети с применением искусственного интеллекта и алгоритмов машинного обучения. Аббревиатура «XDR» означает, что события от любого источника «X» будут обнаружены «D» (detection) и получат ответную реакцию «R» (response).

Службы, входящие в состав Cortex XDR:

  • Cortex XDRAnalytics Application - служба аналитики сетевой безопасности. Предназначена для автоматического обнаружения и сообщения об угрозах путем определения типа поведения в сети – нормальное (безопасное) или аномальное (подозрительно). Используя данные о типе устройства, истории объекта Cortex XDR Analistics обнаруживает пользователей, поведение которых может быть подозрительным. Cortex XDR Analistics предоставляет интерфейс для аналитика и администратора безопасности;
  • Cortex XDR – Investigation and Response – служба расследования инцидентов. Идентифицирует цепочки причинно-следственных связей между событиями и визуализирует данные, отображая полный путь атаки. Cortex XDR – Investigation and Response предоставляет единый интерфейс, из которого аналитик сетевой безопасности может расследовать инциденты и сортировать оповещения, принимать корректирующие действия, определять или редактировать политики для обнаружения вредоносной активности в будущем.

Схема взаимодействия компонентов Cortex приведена на рисунке ниже (Рисунок 2).

Рисунок 2 – Схема взаимодействия компонентов Cortex

В течении некоторого времени (от 1 дня до нескольких недель) Cortex XDR - Analytics наблюдает за активностью в сети. Наблюдение подразумевает изучение журналов регистрации событий средств безопасности PAN, которые установлены в сети. Cortex XDR - Analytics получает доступ к журналам событий с помощью Cortex Data Lake. На основе наблюдения Cortex XDR – Analytics делает выводы о том, какие информационные потоки в сети считаются нормальными (безопасным) и устанавливает базовый уровень доверия. В последствии Cortex XDR – Analytics сравнивает сетевую активность с базовым уровнем доверия, сформированным ранее, и дает заключение о безопасности информационных потоков. При обнаружении аномального (подозрительного) поведения информационных потоков Cortex XDR - Investigation and Response помогает определить полный путь аномального поведения в сети. Таким образом, проанализировав данные от Cortex XDR - Investigation and Response, аналитик может расследовать инциденты, предпринимать действия по изменению или определению правил политики для обнаружения вредоносной активности в будущем.

Основным источником для анализа информационных потоков являются журналы регистрации МЭ PAN Next Generation Firewall. В дополнение к журналам МЭ для проверки серверов и рабочих станций пользователей в сети Cortex XDR Analytics использует журналы регистрации событий агентов защиты PAN Traps. Агент PAN Traps защищает серверы и рабочие станции пользователей, предотвращая известные и неизвестные атаки, а также отправляет события об активности в Cortex Data Lake. Если агенты PAN Traps еще не используются в сети, то можно использовать Cortex XDR Pathfinder. Cortex XDR Pathfinder - технология для обнаружения подозрительной сетевой активности. Cortex XDR Pathfinder разворачивается на виртуальной машине локально в сети. Cortex XDR Pathfinder запускается автоматически при обнаружении подозрительной активности и собирает информацию от серверов и рабочих станций пользователей с помощью удаленного вызова процедур (RPC). Для анализа подозрительных файлов Cortex XDR - Analytics использует облачный сервис PAN WildFire.

Вспомогательные компоненты Cortex XDR, необходимые для сбора событий от точек контроля и дополнительного анализа:

  • Panorama – сервер централизованного управления МЭ PAN Next Generation Firewall. Необходим для отправки журналов регистрации событий МЭ в Cortex Data Lake;
  • Next Generation Firewalls – традиционный МЭ компании PAN. На основе анализа журналов регистрации событий МЭ Cortex XDR делает вывод о том, какие информационные потоки в сети считаются нормальными (безопасными);
  • Directory Sync agent – агент для сбора данных о пользователях, группах и ролях от сервера службы каталогов Microsoft Active Directory. Directory Sync agent отправляет собранные данные сервису Directory Sync Service, расположенному в PAN Cortex Platform;
  • Directory Sync Service – облачный сервис в PAN Cortex Platform. Кэширует информацию о пользователях, группах и ролях, полученную от агента Directory Sync agent. Для получения данных сервера службы каталогов Microsoft Active Directory сервису Directory Sync Service необходимы права read-only. Собранная информация используется Cortex для соотношения сетевого трафика с пользователями и хостами. Для обеспечения безопасности передачи данных между Directory Sync agent и Directory Sync Service информация передается в зашифрованном виде;
  • Traps agents and Traps management service – обеспечивает расширенную защиту от угроз для серверов и рабочих станций пользователей. Предоставляет Cortex XDR сбор информации для расследования инцидентов;
  • Pathfinder – технология для обнаружения подозрительной сетевой активности. Использует удалённый вызов процедур (RPC) для сбора информации от серверов и рабочих станций пользователей в сети о запущенных процессах и определяет, являются ли они вредоносными;
  • WildFire – облачный сервис, используемый для проверки подозрительных файлов на наличие вредоносного ПО путем эмуляции их в тестовой среде.

Заключение

Компания Palo Alto Networks подтверждает свой статус одного из лидеров в сфере защиты информации, ведь Cortex– это продукт, добавляющий возможности машинного обучения в области предотвращения и обнаружения кибератак.

Cortex представляет собой искусственный интеллект, который обрабатывает события безопасности от источников разных видов, коррелирует их между собой и предоставляет полный аналитический анализ событий в сети, создавая на их основе дополнительные правила защиты.

Cortex может стать отличным инструментом SOC-центров для расследования атак и предоставления дополнительных сервисов защиты на основе продуктов компании Palo Alto Network. Cortex помогает аналитикам безопасности принимать решения об инцидентах в рекордно короткие сроки, освободив их от кропотливого расследования, и предоставив полную информацию об инциденте, его причинах и его пути в сети.

 

 

Источники:

 

Анатолий Кияшко,

Бутузов Юрий


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Казань
специалист по связям с общественностью
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>