it-swarm-eu.dev

Beehive è in grado di rilevare un attore simile a Snowden?

In un seminario, uno degli autori di Beehive: analisi dei registri su larga scala per il rilevamento di attività sospette nelle reti aziendali ha affermato che questo sistema può impedire azioni come Snowden.

Dalle conclusioni dei loro articoli;

Beehive migliora gli approcci basati sulla firma per rilevare incidenti di sicurezza. Contrassegna invece i sospetti incidenti di sicurezza negli host in base all'analisi comportamentale. Nella nostra valutazione, Beehive ha rilevato infezioni da malware e violazioni delle policy che altrimenti sarebbero passate inosservate agli strumenti di sicurezza e personali esistenti e all'avanguardia.

Beehive o un sistema simile possono impedire l'azione del tipo Snowden?

64
kelalaka

Un operatore di backup avrà i permessi e gli indicatori comportamentali di qualcuno che sposta molti dati in giro. Come ogni amministratore di sistema in cui non è presente un operatore di backup dedicato.

Snowden era un amministratore di sistema. Conosceva tutti i protocolli di protezione in atto. Poteva semplicemente impersonare chiunque, da qualsiasi area, scaricare cose, impersonare il prossimo e continuare a farlo.

Se è risaputo che non esiste una protezione antiproiettile contro un utente malintenzionato dedicato, immagina un utente malintenzionato dedicato interno fidato con privilegi di amministratore di sistema.

143
ThoriumBR

I sistemi di rilevamento di anomalie come Beehive rendono più facile di prima scavare attraverso molti dati e rilevare comportamenti sospetti. Ciò significa che è possibile per un analista concentrarsi sui dati più pertinenti, elaborare più dati in tempi più brevi e utilizzare anche dati di input più dettagliati per l'analisi. In questo modo la possibilità è maggiore rispetto a prima che qualcuno possa rilevare comportamenti indesiderati.

Si afferma (e non ho motivo di dubitare di questa affermazione) nel documento Beehive che il sistema è in grado di rilevare più incidenti rispetto ai sistemi normalmente utilizzati - ma non si afferma che il sistema sia in grado di rilevare tutti gli incidenti o anche la quantità di tutti gli incidenti potrebbe rilevare. Quindi, potrebbe essere che altri sistemi rilevino solo il 10% di tutti gli incidenti e Beehive rilevi il 20%, il che è buono ma non molto soddisfacente.

Un sistema del genere potrebbe rilevare qualcuno come Snowden? Ciò dipende molto dalla quantità, dal tipo e dal dettaglio dei dati raccolti per l'analisi, dalla rigidità delle politiche di sicurezza esistenti, in modo da poter registrare le violazioni delle politiche e da quanto illegali (come rilevato dalla NSA) le attività di Snowden differivano dalla sua normale attività lavorativa. Più differisce, più è probabile che possa essere rilevato dal sistema di rilevamento delle anomalie. Ma più attività illegali e legali simili sono in termini di dati registrati, meno è probabile che le attività illegali vengano segnalate come anomalie.

In altre parole: potrebbe aiutare a rilevare alcune azioni di tipo Snowden ma non rileverà tutte le azioni di tipo Snowden. E prevenire tali azioni sarebbe ancora più difficile, più probabilmente è una rilevazione più precoce dopo che alcuni danni erano già stati fatti e quindi limitando l'impatto.

22
Steffen Ullrich

L'intento di Snowden era l'esfiltrazione dei dati ed era anche un amministratore di sistema. Quindi, aveva accesso a grandi quantità di dati che gli utenti normali non avevano e avrebbe avuto un diverso modello di come interagisce con la rete. Se Beehive fosse in atto, potrebbe essere stato registrato che stava facendo qualcosa, ma chiunque abbia un intento di esfiltrazione dei dati avrebbe saputo bypassare gli avvisi: rendere il modello di esfiltrazione dei dati "normale" dal momento in cui il sistema ha iniziato ad allenarsi e non sarebbe segnalato come attività anomala. Snowden avrebbe potuto avere lo schema di scaricare 16 GB al giorno su una chiavetta USB ma finché non avesse fatto cambiamenti improvvisi nelle sue tecniche, Beehive non lo avrebbe segnalato.

Sto lavorando su alcuni modi personalizzati al lavoro per rilevare questo tipo di modello. Ma in questo momento non so nulla di automatizzato che farà un buon lavoro.

17
RG1

No non può.

E la citazione che hai tirato spiegava chiaramente perché no, e come la gente arrivava a dichiarare che poteva farlo.

Quello che Beehive potrebbe essere in grado di fare è dirti che ha avuto luogo un attacco in stile Snowden. (neanche Thoguh Goin di @ThoriumBR a SNOWDEN non sarebbe stato prevenuto)

Ciò che tu (o quel ragazzo) asserisci è che potrebbe PREVENIRE un attacco del genere, che è molto, molto diverso. Beehive sta eseguendo la scansione dei registri e (forse, non ha letto troppo) combinandolo con alcune analisi avanzate. Ciò significa che anche se il tuo sistema di analisi e contrassegno è in esecuzione in tempo reale, probabilmente sarebbe troppo tardi.

[Immagina solo dove arriva Beehive:

Azione sospetta -> programma di sicurezza -> registro -> alveare estrae i dati -> analisi alveare -> bandiera lanciata -> intervento?

È troppo tardi (e presuppone che i log vengano valutati in tempo reale]

I registri sono per indagini retroattive, non per interventi in tempo reale.

Quello che potresti fare è produrre uno pseudo-registro per qualsiasi azione, far analizzare quello da Beehive e solo dopo essere stato dato il via libera l'azione viene eseguita. L'enorme sovraccarico e il notevole ritardo renderebbero questo approccio una vendita davvero difficile a qualsiasi manager. [inoltre, non usare i log ma costruire meccanismi di valutazione nella tua piattaforma sarebbe molto meglio]

10
Hobbamok

Prima di tutto, esiste una distinzione molto importante tra la capacità di rilevare un attore "simile a Snowden" e la capacità di impedisce uno. Per quanto ho visto, Beehive non ha alcuna pretesa di prevenirne uno, ma sembra promettere la capacità di darti avvisi che si stanno verificando attività sospette nella tua rete. Certo, non altrettanto buono, ma ancora considerato un "santo graal" in alcune comunità di ricerca.

Detto questo, sono estremamente dubbioso che Beehive sia in grado di soddisfare tali aspettative. L'apprendimento automatico può fare abbastanza bene nell'estrarre schemi complessi da grandi pile di dati con identità affidabili. Ad esempio, la differenziazione tra immagini di cani e gatti è estremamente affidabile; tutti possiamo farlo il 99 +% delle volte, ma se dovessi dire qual è l'algoritmo esatto per prendere 100x100 pixel e determinare cat vs dog, non ho idea di come lo farei. Ma posso fornirti 100.000 di tali immagini e lasciare che i metodi ML capiscano una regola che differenzia in modo affidabile tra i due in base ai valori di 100x100 pixel. Se faccio le cose nel modo giusto, le regole create da ML dovrebbero anche funzionare su nuove immagini di cani e gatti, ipotizzando che non ci siano enormi cambiamenti nei nuovi dati (ad esempio, se ho usato solo lab e gatti di tabby nei dati di addestramento, quindi provo a ottenere per identificare un terrier ... buona fortuna). Questa è la forza di ML.

Determinare il "comportamento sospetto" è un problema molto più difficile. Non abbiamo 100.000 campioni di comportamento scorretto confermato e non abbiamo nemmeno 100.000 campioni di comportamento confermato confermato! Peggio ancora, quello che era un buon metodo ML che ha funzionato ieri non funziona oggi; a differenza di cani e gatti nelle foto, gli avversari si sforzano davvero di ingannarti. La maggior parte delle persone che conosco lavorando su ML per la sicurezza informatica hanno ammesso che l'idea del rilevamento puramente automatizzato è al di là della nostra comprensione al momento, ma forse possiamo costruire strumenti per automatizzare attività ripetitive molto specifiche che un analista della sicurezza deve svolgere più e più volte, rendendoli così più efficienti.

Detto questo, gli autori di Beehive sembrano aver saltato quella lezione e affermano di aver risolto questo problema. Sono altamente sospettoso delle prestazioni, soprattutto dato che i metodi che suggeriscono sono i primi che un ricercatore ML potrebbe pensare di provare e che sono stati regolarmente respinti perché non utili. Ad esempio, suggeriscono di utilizzare PCA per identificare valori anomali nei registri. Questo e le sue variazioni sono stati provati centinaia di volte e il risultato è sempre che l'analista della sicurezza interrompe il "rilevamento automatico" perché ottengono così tanti falsi positivi che costa way più tempo di salva.

Naturalmente, in tutti questi metodi, il diavolo è i dettagli e i dettagli di questi tipi di metodi non vengono mai realmente esposti nel lavoro pubblicato ("abbiamo usato PCA per cercare valori anomali nei registri del server" è un estremamente = dichiarazione vaga). È sempre possibile che abbiano un modo super intelligente di preelaborare i dati prima di applicare i loro metodi che non sono stati inseriti nel documento. Ma sarei disposto a scommettere sul mio braccio destro che nessun utente di Beehive sarà in grado di distinguere in modo affidabile tra comportamento "simile a Snowden" e uso nel mondo reale non contraddittorio di una rete in tempo reale.

5
Cliff AB