ค้นหา

ภาษา

การตรวจจับและคาดการณ์การเข้าถึงที่เป็นอันตรายในเครือข่ายองค์กรโดยใช้อัลกอริทึมการตรวจจับชุมชน Louvain

สิงหาคม 14th, 2019

หน้าแรก » บล็อก » การตรวจจับและคาดการณ์การเข้าถึงที่เป็นอันตรายในเครือข่ายองค์กรโดยใช้อัลกอริทึมการตรวจจับชุมชน Louvain

โดย Gal Sadeh นักวิทยาศาสตร์ข้อมูลอาวุโส Silverfort
การละเมิดข้อมูลจำนวนมากเริ่มต้นด้วยการเข้าถึงคอมพิวเตอร์ที่ไม่มีนัยสำคัญและแพร่กระจายโดยการกระโดดจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งจนกระทั่งไปถึง 'มงกุฎเพชร' อันมีค่า เช่น ข้อมูลประจำตัวของผู้ดูแลระบบ ข้อมูลเกี่ยวกับฐานข้อมูลสำคัญที่เก็บข้อมูลลูกค้า และอื่นๆ การตรวจจับและป้องกันการโจมตีเหล่านี้เป็นงานที่ซับซ้อนมากสำหรับผู้เชี่ยวชาญด้านความปลอดภัย เนื่องจากจำนวนของเส้นทางการโจมตีที่เป็นไปได้นั้นสูงมาก และเครือข่ายมีการเปลี่ยนแปลงบ่อยครั้ง (เอนทิตีใหม่ถูกเพิ่มหรือลบออก มีการเปลี่ยนแปลงสิทธิ์ ฯลฯ) เทคนิคส่วนใหญ่ในการตรวจจับการโจมตีนั้นขึ้นอยู่กับการจดจำรูปแบบที่เป็นอันตรายที่รู้จัก แต่สำหรับการโจมตีที่ซับซ้อนนั้นไม่เพียงพออีกต่อไป เมื่อการโจมตีไม่มีรูปแบบที่สามารถจดจำได้ การตรวจจับนั้นทำได้ยากมาก

สารบัญ

  • ความพยายามครั้งแรกของเราในการตรวจจับการโจมตี
  • ชุมชนคืออะไรและอัลกอริทึมการตรวจหาชุมชนคืออะไร
  • การกำหนดโหนดให้กับชุมชนโดยใช้อัลกอริทึม Louvain
  • การตรวจจับชุมชนและความปลอดภัยในโลกไซเบอร์
  • สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort พอดีใน
  • วันนี้มีเลเวอเรจอย่างไร?

    • ความพยายามครั้งแรกของเราในการตรวจจับการโจมตี

    ตั้งแต่ Silverfort วิเคราะห์การรับรองความถูกต้องและการเข้าถึงข้อมูลที่ตรวจสอบโดยรวม บริษัท สภาพแวดล้อมเครือข่ายและคลาวด์ - จำเป็นต้องวิเคราะห์ข้อมูลจำนวนมาก อย่างไรก็ตาม ต้องใช้ความพยายามสองสามครั้งในการตัดสินใจว่าวิธีใดจะเป็นวิธีที่ดีที่สุดในการวิเคราะห์ข้อมูลทั้งหมดนี้เพื่อตรวจจับภัยคุกคามที่ไม่รู้จัก ฉันคิดมากกับคำถามนี้ ในตอนแรก ฉันคิดว่าจะแมปเส้นทางการเข้าถึงที่เป็นไปได้ทั้งหมดตามข้อมูล และพยายามตรวจจับเส้นทางที่มีช่องโหว่ อย่างไรก็ตาม วิธีการนี้แทบจะเป็นไปไม่ได้เลยที่จะนำไปใช้เมื่อเครือข่ายมีหลายเอนทิตี เนื่องจากจำนวนเส้นทางการเข้าถึงที่เป็นไปได้จะเพิ่มขึ้นแบบทวีคูณตามจำนวนเอนทิตี ฉันพยายามปรับปรุงวิธีนี้โดยกำจัดเส้นทางการเข้าถึงบางส่วน ตัวอย่างเช่น หากผู้ใช้ไม่มีสิทธิ์ในไดเรกทอรีในการเข้าถึงเซิร์ฟเวอร์บางตัว เราก็สามารถกำจัดเส้นทางนั้นได้ วิธีการนี้ช่วยให้เราประมวลผลเส้นทางการเข้าถึงจำนวนมากได้ แต่ก็ยังไม่เพียงพอ เพราะถึงแม้จะไม่มีสิทธิ์ เส้นทางการเข้าถึงก็อาจเกิดขึ้นได้จากการใช้ประโยชน์จากช่องโหว่

    ดังนั้นเราจึงตัดสินใจลองใช้แนวทางอื่น: เราแบ่งเครือข่ายออกเป็นชุมชนตามข้อเท็จจริงที่ว่าสมาชิกของชุมชนสื่อสารกันและทรัพยากรที่ใช้ร่วมกันอื่นๆ มากกว่ากับหน่วยงานอื่นๆ ในเครือข่าย

    ให้ฉันอธิบายเพิ่มเติม:

    ชุมชนคืออะไรและอัลกอริทึมการตรวจหาชุมชนคืออะไร

    เครือข่ายสามารถจำลองเป็นกราฟของการเชื่อมต่อ (ขอบ) ระหว่างโหนด โดยที่แต่ละโหนดแสดงถึงเอนทิตี (ผู้ใช้ คอมพิวเตอร์ ฯลฯ) และแต่ละขอบที่เชื่อมต่อระหว่างโหนดจะแสดงถึงการเชื่อมต่อเชิงตรรกะ ตัวอย่างเช่น ถ้าผู้ใช้เข้าถึงเซิร์ฟเวอร์ ผู้ใช้และเซิร์ฟเวอร์จะเป็น 'โหนด' และการเชื่อมต่อระหว่างกันจะแสดงด้วย 'edge'
    แต่ละขอบยังเชื่อมโยงกับน้ำหนักที่แสดงถึงความแข็งแกร่งของการเชื่อมต่อซึ่งขึ้นอยู่กับจำนวนของ การรับรอง และคำขอเข้าถึงที่เราเห็นบนขอบนี้
    วิธีการทำงานของอัลกอริทึมการตรวจจับชุมชนคือการใช้กราฟดิบเป็นอินพุต วิเคราะห์และกำหนดแต่ละโหนดให้กับชุมชน แต่ละชุมชนมีลักษณะเด่นคือ 'ความหนาแน่น' ซึ่งเป็นความสัมพันธ์ระหว่างน้ำหนักของขอบทั้งหมดและจำนวนโหนดในชุมชน อัลกอริธึมการตรวจจับชุมชนส่วนใหญ่มี 'วัตถุประสงค์' ซึ่งเป็นตัวเลขที่แสดงถึงความเข้ากันได้โดยรวมของโหนดกับชุมชนที่ได้รับมอบหมาย เป้าหมายคือการเพิ่มจำนวนนั้นให้ได้มากที่สุด วัตถุประสงค์ที่ใหญ่กว่าหมายถึงชุมชน 'ความหนาแน่นสูง'
    โปรดทราบว่าอัลกอริทึมที่แตกต่างกันอาจมี 'วัตถุประสงค์' ที่แตกต่างกันเล็กน้อย

    การกำหนดโหนดให้กับชุมชนโดยใช้อัลกอริทึม Louvain

    เราเลือกอัลกอริทึม Louvain เนื่องจากเป็นอัลกอริทึมที่รู้จักกันดีซึ่งทำงานเร็วมากแม้ในเครือข่ายขนาดใหญ่ที่มีความซับซ้อน – รันไทม์เกือบจะเป็นเส้นตรงตามขนาดของเครือข่าย อัลกอริทึมพยายามทำให้วัตถุประสงค์สูงสุดโดยการทำซ้ำสองขั้นตอนนี้:

    1.  กำหนดแต่ละโหนดในกราฟให้กับชุมชนเดียว สำหรับแต่ละขอบที่เชื่อมต่อระหว่างโหนด u และโหนด v อัลกอริทึมจะตรวจสอบว่าการรวมชุมชนของ u และ v เพิ่มวัตถุประสงค์หรือไม่ และถ้าเป็นเช่นนั้น จะทำการผสาน
    2. อัลกอริทึมสร้างกราฟใหม่ที่แต่ละชุมชนแสดงด้วยโหนดเดียว และน้ำหนักที่กำหนดให้กับขอบระหว่างชุมชนคือผลรวมของน้ำหนักของขอบทั้งหมดระหว่างโหนดที่ผสานของแต่ละชุมชน

    อัลกอริทึมหยุดทำงานเมื่อไม่มีขั้นตอนที่เพิ่มวัตถุประสงค์ เอาต์พุตเป็นกราฟเหนี่ยวนำ โดยที่โหนดเป็นตัวแทนของชุมชน สำหรับการใช้งานของเรา เราใช้แพ็คเกจ Python ที่เรียกว่า "ชุมชน" สามารถอ่านเนื้อหาเพิ่มเติมได้ที่นี่: http://www.emilio.ferrara.name/wp-content/uploads/2011/07/isda2011-k-path.pdf

    การตรวจจับชุมชนและความปลอดภัยในโลกไซเบอร์

    เนื่องจากแต่ละชุมชนมีความหนาแน่น ซึ่งหมายความว่ามีเส้นทางการเข้าถึงมากมายระหว่างโหนด หากผู้โจมตีสามารถเข้าถึงหนึ่งในเอนทิตี (บัญชีผู้ใช้ หรืออุปกรณ์) ในชุมชน จะเป็นการง่ายกว่าสำหรับเขาหรือเธอในการเข้าถึงเอนทิตีอื่น ๆ ในชุมชนนั้น แน่นอนว่าผู้โจมตีจะขยายไปยังชุมชนอื่นๆ ได้ยากขึ้น เนื่องจากมีเส้นทางการเข้าถึงระหว่างชุมชนต่างๆ น้อยกว่า หากใช้อย่างถูกต้อง การตรวจจับโดยชุมชนสามารถช่วยระบุกิจกรรมที่น่าสงสัยภายในเครือข่ายได้ ทำนายเส้นทางการเคลื่อนไหวด้านข้างและบังคับใช้นโยบายที่ชาญฉลาดขึ้นในแบบเรียลไทม์.

    สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort พอดีใน

    เมื่อ Silverfort's การรับรองความถูกต้องตามความเสี่ยง แพลตฟอร์มถูกปรับใช้ในเครือข่าย โดยจะตรวจสอบกิจกรรมการรับรองความถูกต้องและการเข้าถึงทั้งหมดระหว่างเอนทิตีต่างๆ และสร้างกราฟตามที่อธิบายไว้ก่อนหน้านี้ กราฟดิบมีลักษณะดังนี้:

    วงกลมแต่ละวงคือผู้ใช้และแต่ละสามเหลี่ยมคือเซิร์ฟเวอร์ น้ำหนักที่ขอบถูกกำหนดโดยจำนวนการตรวจสอบสิทธิ์และคำขอการเข้าถึงที่ถูกตรวจสอบ และการอนุญาตที่เกี่ยวข้องกับโหนดต่างๆ (เพื่อความง่าย น้ำหนักจะไม่แสดงบนกราฟ) จากนั้นเราจะใช้อัลกอริทึม Louvain เพื่อระบุชุมชนในเครือข่าย หลังจากระบุชุมชนแล้ว แผนที่จะมีลักษณะดังนี้:


    ตอนนี้ เราพบโหนดที่สื่อสารกับเอนทิตีในชุมชนที่ไม่ได้เป็นส่วนหนึ่งของพวกเขา โหนดเหล่านั้นจะเป็นเป้าหมายที่มีค่าสำหรับผู้โจมตี เนื่องจากเป็นจุดเดียวในการเข้าถึงระหว่างชุมชน ดังนั้นผู้โจมตีจะต้องผ่านพวกมันเพื่อแพร่กระจายไปยังชุมชนอื่น การรักษาความปลอดภัยขอบ (การเชื่อมต่อ) ของโหนดเหล่านี้เป็นสิ่งสำคัญในการป้องกันการโจมตีจากการแพร่กระจายในเครือข่าย

    การใช้ Silverfortนโยบายการรับรองความถูกต้องของบริษัทต่างๆ สามารถตอบสนองโดยอัตโนมัติต่อภัยคุกคามที่ตรวจพบโดยบังคับใช้การรับรองความถูกต้องแบบ step-up เพื่อตรวจสอบตัวตนของผู้ใช้หรือบล็อกการเข้าถึงทั้งหมด สิ่งนี้เป็นจริงทั้งสำหรับการสื่อสารระหว่างผู้ใช้กับเครื่องจักรและการสื่อสารระหว่างเครื่องจักรกับเครื่องจักร
    การระบุชุมชนและการเชื่อมต่อข้ามชุมชนอันมีค่าที่จะตกเป็นเป้าหมายของผู้โจมตีช่วยได้ Silverfort ลูกค้าในการตั้งค่านโยบายการตรวจสอบความปลอดภัยสมาร์ท กราฟชุมชนยังสามารถช่วยผู้ดูแลระบบระบุการกำหนดค่าที่ไม่ถูกต้องในเครือข่ายของตน ในกราฟด้านล่าง โหนดที่มีค่าและการเชื่อมต่อบางส่วนที่ควรได้รับการรักษาความปลอดภัยจะแสดงเป็นสีม่วง

    วันนี้มีเลเวอเรจอย่างไร?

    ลูกค้าบางส่วนของเราใช้งานแล้ว Silverfortการวิเคราะห์ชุมชน (ซึ่งเป็นส่วนหนึ่งของเครื่องมือความเสี่ยงที่ใช้ AI) เพื่อระบุชุมชนและการเชื่อมต่อข้ามชุมชนในเครือข่าย ระบุการกำหนดค่าที่ผิดพลาดและ 'จุดอ่อน' ที่ควรได้รับการรักษาความปลอดภัย และตรวจจับกิจกรรมที่ผิดปกติ ขณะนี้ เรากำลังช่วยลูกค้าทำขั้นตอนต่อไป – ใช้นโยบายการตรวจสอบความปลอดภัยตามเวลาจริงเพื่อตอบสนองต่อภัยคุกคามที่ตรวจพบ และป้องกันอย่างมีประสิทธิภาพ การเคลื่อนไหวด้านข้าง ในเครือข่ายและสภาพแวดล้อมแบบคลาวด์

    Gal Sadeh นักวิทยาศาสตร์ข้อมูลอาวุโส Silverfort
    Gal เป็นนักวิทยาศาสตร์ข้อมูลอาวุโสใน Silverfortทีมวิจัยของ. เขารับผิดชอบการวิเคราะห์ข้อมูลขนาดใหญ่และการพัฒนาเครื่องยนต์ AI เขาเข้าร่วม Silverfort หลังจากหลายปีของการวิจัยและบทบาทความเป็นผู้นำที่หน่วยไซเบอร์ชั้นยอด 8200 ของกองกำลังป้องกันประเทศอิสราเอล กัลจบวท.บ. สาขาคณิตศาสตร์และวิทยาการคอมพิวเตอร์จากมหาวิทยาลัยเทลอาวีฟ

    พร้อมสำหรับการสาธิต?
    ลงทะเบียนวันนี้

    โพสต์ล่าสุด

    เมษายน 24th, 2024

    5 วิธีในการเพิ่มสุขอนามัย AD ของคุณด้วย Silverfort  

    มีนาคม 26th, 2024

    รายงาน Identity Underground: ข้อมูลเชิงลึกเกี่ยวกับช่องว่างด้านความปลอดภัยของข้อมูลประจำตัวที่สำคัญที่สุด  

    มีนาคม 2nd, 2024

    การป้องกัน MFA สำหรับเครือข่าย Air-Gapped

    กุมภาพันธ์ 21st, 2024

    การลดความเสี่ยงด้านอัตลักษณ์ของบัญชีของพนักงานเก่า
    ดูเพิ่มเติม

    ช่องทางการติดต่อ

    หยุดการคุกคามตัวตนเดี๋ยวนี้