اغلب تشخیص ناهنجاری برای شناسایی فعالیت‍‌های مخرب احتمالی درون سازمان‌ها به کار گرفته می‌شود، که این کار با استفاده از داده‌های مربوط به شبکه از راه دور که از طریق فایروال‌ها، سیستم‌های تشخیص نفوذ و لاگ‌های برنامه و سیستم بدست می‌آیند، انجام می‌گردد.

با این حال، تشخیص ناهنجاری کاربردهای بیشتری از جمله شناسایی اینکه چگونه محیط تهدید گسترده‌تر در حال تغییر است، دارد. این فعالیت، دیدگاهی در رابطه با تهدیدهای جدید در صنایع خاص، فعالیت فیشینگ به شدت هدف قرار گرفته شده و رفتارهای بدافزارها از جمله تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) آن‌ها را برای تحلیل گران تهدید، فراهم می‌آورد. این آگاهی موقعیتی پیشرفته به تیم‌های امنیت این امکان را می‌دهد تا برای تهدیدهایی که به احتمال زیاد در مرحله بعد با آن‌ها روبرو می شوند آماده شوند.

ناهنجاری‌ها (Anomalie)

پیدا کردن ناهنجاری‌ها کار آسانی نیست. الگوهایی که می توان آن ها را “normal” در نظر گرفت در هر حوزه متفاوت هستند؛ بیشتر آن‌ها با گذشت زمان تغییر می‌کنند و تغییرات ذاتی باعث افزایش نویز شده که اغلب می‌تواند ناهنجاری‌های واقعی را پنهان سازد. گاهی اوقات، ناهنجاری تنها نقاطی از داده‌ها نیستند بلکه از چندین نقطه داده در تعامل با یکدیگر ناشی می‌شوند. LookingGlass از تشخیص ناهنجاری خودکار استفاده می‌کند که به طور همزمان میلیون‌ها متن به هم وابسته را مورد بررسی قرار داده، نقاط واحد و گروهی از نقاط که فعالیت‌های غیرطبیعی با اهمیت آماری نشان می‌دهند را شناسایی می‌کند.

با این وجود، باید توجه داشته باشید که تمام داده‌هایی که مورد بررسی قرار می‌دهیم، حاوی اطلاعاتی درباره فعالیت مخرب هستند. انواع بسیاری از تهدیدها وجود دارند که در طول دوره‌های طولانی وجود خواهند داشت یا با هر تاثیر محدود ظاهر شده و فروکش می‌کنند. اینها بخشی از چشم انداز تهدید “normal” هستند؛ با این حال ما به تلاش برای بدست آوردن دیدگاه درمورد اینکه چه چیزهای جدیدی در مجموعه بزرگ داده‌های هوش تهدید ما وجود دارد، علاقه داریم. بنابراین، ناهنجاری‌هایی که به دنبال آن‌ها هستیم آن نقاط داده‌ای هستند (و گروه هایی از نقاط داده ها) که در گروه فعالیت‌های مخرب “نرمال” قرار نمی‌گیرند.

ناهنجاری‌هایی شناسایی شده شامل موارد زیر هستند:

  • روند افزایش (یا کاهش) فعالیت فیشینگ، گاهی از یک منبع خاص
  • نفوذهای ناگهانی (یا کاهش) in infections از طریق نوع خاصی از بدافزارها
  • تغییرهای عمومی در موقعیت‌های جغرافیایی منبع یا هدف

امکان موفقیت با ناهنجاری‌ها

خودکارسازی شناسایی ناهنجاری‌ها تنها در مواقعی موثر است که به تحلیلگران اطلاعات تهدید سایبری که بر تصمیمات عملیاتی امنیت IT تاثیر می‌گذارند، آگاهی دهد. ویژگی‌های یک قابلیت تشخیص نفوذ می‌بایست تضمین کند که نتایج برای تحلیلگران مناسب خواهد بود.

ما توصیه می‌کنیم که هر قابلیت تشخیص نفوذ نه تنها هر ناهنجاری را براساس اهمیت آماری آن امتیاز دهد بلکه برای تحلیلگران این امکان را فراهم کند که مشخص کنند کدام نوع از داده‌های unnormal برای هر یک از آن‌ها اهمیت بیشتری دارند و اولویت بندی کنند که کدام ناهنجاری‌ها برای بازبینی در صدر لیست قرار می‌گیرند. با این کار، به عنوان مثال، برخی از تحلیلگران می توانند روی ناهنجاری‌های زیرساخت اینترنت تمرکز کرده و برخی دیگر بر روی فعالیت فیشینگ یا انتشار بدافزار کار کنند.

الگوریتم‌های تشخیص ناهنجاری می‌بایست آنچه را که “نرمال” است تعریف کرده و با داده‌های هوش تهدید توسط دو روش مختلف تطبیق دهند. ابتدا، آن‌ها باید به آهستگی تکامل یابند تا بتوانند روندهای جدید را در خود جای دهند به طوریکه تحلیلگران روندهای مشابه آن‌ها را بارها و بارها به صورت غیرعادی در نظر نگیرند. در نهایت، یک روند پایدار دیگر یک روند جدید غیرعادی نخواهد بود. سپس آن‌ها باید تشخیص دهند که چه زمانی تغییرات اساسی رخ داده است و به محض اینکه داده‌های جدید فراتر از تغییرات شدید شناسایی شده رفتند، مدل‌های جدید را دوباره آموزش دهند. به این ترتیب، تغییرات اساسی به تحلیلگران هشدار داده می‌شوند، اما حالت عادی جدید در اسرع وقت تعیین می‌شود.

سرانجام قابلیت‌های تشخیص ناهنجاری باید به تحلیلگران این امکان را بدهد که از نتایج ناهنجاری در جهت جستجوی علل ریشه یا وسعت فعالیت غیرعادی استفاده کنند. به عنوان مثال، هنگام بررسی یک نفوذ غیرعادی در حجم فیشینگ یک مشتری، یک تحلیلگر ممکن است بخواهد دقیقا دریابد کدام منابع فیشینگ بیشترین تاثیر را در طول نفوذ داشته‌اند یا به تحلیل این امر بپردازند که آیا مشتریان دیگر در آن صنعت نیز نفوذی در یک فعالیت را تجربه کرده‌اند یا خیر.

اطلاعات تهدید LookingGlass

تشخیص ناهنجاری تنها هنگامی موفقیت آمیز است که با اطلاعات تهدید با کیفیت بالا همراه باشد. همانطور که قبلا بیان شد، تمامی اطلاعات تهدیدها به صورت یکسان ایجاد نمی‌شوند. داده‌ها، اطلاعات نیستند و انواع مختلفی از اطلاعات تهدید موجود است. به  عنوان مثال، اطلاعات تهدیدی که LookingGlass از آن استفاده می‌کند شامل زمینه‌های هوش تاریخی مهمی است که سال های بسیار و انواع بسیاری از فعالیت‌های مخرب در مجموعه‌های متنوعی از شبکه‌ها را پوشش می‌‎دهد، که شامل موارد زیر می باشد:

  • گزارش تهدیدها: مقالات، گزارش‌های هوش استراتژیک، خلاصه تهدیدها
  • تعریف تهدیدها: نام‌ها، تعریف‌ها، شاخص‌های فنی در معرض خطر قرار گرفتن
  • انجمن‌های تهدید: مشاهده ویژه سرورهای C2، زیرساخت، دامنه‌های فیشینگ، آلودگی‌های بدافزار
  • ساختار اینترنت: اطلاعیه‌های ASN CIDR، رکوردهای نام دامنه
  • اطلاعات اینترنت: مالکیت، موقعیت جغرافیایی، زبان‌ها

اگرچه این منابع برای کمک به تحلیلگران برای داشتن درک عمیقی از انواع دامنه‌های تهدید بسیار عالی هستند اما به دلیل ماهیت ساختار یافته اطلاعات موجود در آن‌ها، بندرت در تشخیص خودکار ناهنجاری کاربرد دارند. خوشبختانه، سایر منابع هوش تهدیدی که LokkingGlass از آن‌ها استفاده می‌کند شامل داده‌های ساختاریافته‌ای است که برای تشخیص ناهنجاری خودکار مناسب هستند.