Usted está haciendo un par de preguntas diferentes a la vez: cómo es implementado por un determinado proveedor, y cómo podría ser implementado para que sea efectivo. Vamos a centrarnos en lo posterior.
He diseñado dichos algoritmos para una importante institución financiera global, y puedo darte una idea general.
No es demasiado bueno para ser verdad. Cualquier analista de seguridad examinará los registros, conocerá cómo operan las personas en la empresa y "tendrá una idea" de cómo se ve "normal". Se llama 'línea de base'. Después de algún tiempo, "simplemente sabes" cuando algo parece sospechoso y necesitas investigar porque:
- La red se queda en silencio todos los viernes por la tarde (por razones que son obvias para cualquier persona en la oficina en ese momento)
- El ancho de banda de la red se maximiza cuando la Copa del Mundo está activada (transmisión, no DDoS)
- El servidor siempre produce ese error (una configuración incorrecta que nadie sabe cómo solucionar)
- El usuario nunca puede recordar sus contraseñas y siempre queda bloqueado
- Simplemente hacemos la vista gorda a ese ejecutivo porque todos tienen miedo de decirles que se comporten de manera más segura
- etc.
Cualquier otra rareza, ya sean errores excesivos o errores anormalmente bajos (oye, ¿por qué ese servidor no cometió ese error?) merece una investigación. Esto solía ser pan y mantequilla infosec, pero ahora pasa por el término elegante de "caza de amenazas".
Pero esta línea de base es fácil de enseñar en una computadora. Y tiene razón, todo depende de la capacidad de la computadora para comprender lo que es "normal".
Sería un enfoque burdo tomar el estado actual de la red y determinar que eso es "normal". Entrenarías tu algoritmo para aceptar el mal comportamiento. Aún haces esto como un factor , pero no puedes depender completamente de ello. Necesitas otra forma de mirar los datos. Hay un par de maneras de agregar otra perspectiva.
Hay muchos términos sofisticados, pero cuando hablo con personas que no son algoritmos, uso los términos: 'rareza' y 'maldad' . La referencia al estado actual ayuda a determinar la "rareza". Si la red ya está pirateada y el pirata informático está flotando libremente alrededor de la red, eso no es "raro" para esta red. Es 'malo', pero no 'raro'. Si somos buenos para determinar la "rareza", entonces podemos ver si aparece un nuevo pirata informático o si el pirata informático actual cambia de táctica.
Podemos aumentar la línea de base de la red determinando qué es "extraño" para los tipos de usuarios al basar los subconjuntos de la red. Los desarrolladores actúan de cierta manera, los ejecutivos actúan de cierta manera, el personal de limpieza actúa de cierta manera. Si una cuenta de personal de limpieza normalmente actúa como una cuenta ejecutiva en nuestro estado actual, entonces tenemos algo que investigar, aunque sea "normal" en el estado actual. Por lo tanto, esta línea de base recursiva es una forma de aumentar la perspectiva de LD.
Otra forma de agregar a la perspectiva es definir 'maldad' . Las cosas pueden ser normales, pero podemos definir esa actividad como categóricamente "mala". Puede ser "normal" que esta impresora intente iniciar sesión en todos los servidores del DC, pero sabemos que esto es categóricamente "malo". Por lo tanto, si podemos ingresar estos parámetros en el algoritmo (una búsqueda en una tabla de firmas), podemos exponer la maldad en nuestra actividad de red normal.
La primera vez que entré en UBA fue después de que presenté una demostración de un nuevo producto de UBA hace aproximadamente 3 años. Conocía mi red hacia atrás y hacia adelante, e instintivamente sabía lo que era normal y lo que no lo era. Miré el producto de la UBA como una copia de seguridad para mí y para mi pequeño equipo para cubrir ese conjunto de habilidades para cuando las personas estaban de vacaciones o si las personas abandonaban el equipo. No esperaba mucho. Pero el producto incluía esta perspectiva de "maldad" que instantáneamente (dentro de 2 horas) expuso la maldad en mi red que nunca supe que estaba allí a pesar de que estaba en la línea de base y realizaba búsquedas de amenazas diariamente.
ML no es demasiado bueno para ser verdad. No es perfecto, pero es mejor que los humanos en amplitud, velocidad y consistencia.