Frage:
Kann Beehive einen Snowden-ähnlichen Schauspieler erkennen?
kelalaka
2018-11-07 17:27:42 UTC
view on stackexchange narkive permalink

In einem Seminar sagte einer der Autoren von Beehive: Large-Scale Log Analysis zur Erkennung verdächtiger Aktivitäten in Unternehmensnetzwerken, dass dieses System Aktionen wie Snowden verhindern kann.

Aus den Schlussfolgerungen ihrer Artikel:

Beehive verbessert signaturbasierte Ansätze zur Erkennung von Sicherheitsvorfällen. Stattdessen werden vermutete Sicherheitsvorfälle auf Hosts basierend auf Verhaltensanalysen gekennzeichnet. In unserer Bewertung hat Beehive Malware-Infektionen und Richtlinienverstöße festgestellt, die ansonsten von vorhandenen, hochmodernen Sicherheitstools und persönlichen Informationen nicht bemerkt wurden.

Kann Beehive oder ein ähnliches System den Snowden-Typ verhindern? Aktion?

Einfache Antwort: Nein, ganz sicher nicht.Snowden war jemand, der privilegierten Zugriff hatte und die Autorität und den Grund hatte, Inhalte massenweise herunterzuladen (er war ein Systemadministrator).
Aber im Trainingsfall modellieren sie jeden nach seinem Verhalten.Nach dem Training ist ein Massendownload eine Verhaltensänderung, die ein Alarmsignal erzeugt.
@kelalaka Nicht, wenn während des Trainings ein Massendownload stattfand.
Es sei denn, Massen-Downloads sind 1) nicht üblich und 2) es ist nicht möglich, den Download nur zu drosseln.
Warum "Massendownload" überhaupt als verdächtig gilt.Während des täglichen Gebrauchs wird es einige Arten von konstanten "Massen" -Downloads geben, war mein erster Gedanke.Was ist Massendownload?1 MB?500 MB?5 GB?500 GB?...
@Croll Wenn Ihre Organisation über eine Million Dateien verfügt, muss eine Person wahrscheinlich nicht auf so viele Dateien zugreifen, um ihre Arbeit zu erledigen (die meisten Dateien beziehen sich nicht auf ihre Arbeit).Wenn jemand versucht, innerhalb von ein oder zwei Tagen alle eine Million herunterzuladen, ist das verdächtig.Selbst ein kleiner Prozentsatz dieser einen Million könnte verdächtig sein.1% von einer Million sind 10.000 Dateien.Wie viele Mitarbeiter Ihres Unternehmens müssen innerhalb von 48 Stunden auf 10.000 Dateien zugreifen, um ihre Arbeit zu erledigen?Sehr wenige (wenn überhaupt).
Bei meiner Arbeit als Programmierer habe ich eine kleine "Auszeichnung" dafür, dass ich in meinen drei Jahren hier 0,0001% unseres Codes berührt habe, was mehr als viele Mitarbeiter sind.
@forest Die Daten landeten jedoch auf einem unsicheren Laufwerk.Wäre es möglich zu sehen, wohin der Massendownload ging (oder Massenkopie-Einfügen).
@AnthonyGrist - Ich beschäftige mich regelmäßig mit einer großen Anzahl von Dateien - z.79.000 oder mehr für einen Batch-Prozess heute.Und ja, ich muss sie im System verschieben. Zip-Archiv sie etc ..
@forest Ich verstehe Ihren Standpunkt nicht.Da er ein Systemadministrator war, sollte jeder Zugriff auf vertrauliche Dateien eine Warnung ausgelöst haben!Seine Aufgabe ist es nicht, die Dokumente zu lesen, sondern das System zum Laufen zu bringen.Sicherlich ist die einzige Situation, in der ein solches Verhalten legitim wäre, wenn sie einen Datenspeicher auf ein anderes System übertragen müssen. In diesem Fall wird der SOC benachrichtigt und sie können die großen roten Fahnen, die während dieser Vorgänge ausgelöst werden, ausschließen.
Es gibt einen Konflikt zwischen dem Titel und dem Hauptteil dieser Frage.Der Titel lautet "Kann Beehive einen Snowden-ähnlichen Schauspieler erkennen?"während die Frage am Ende lautet: "Kann Bienenstock oder ein ähnliches System eine Aktion vom Typ Snowden verhindern?"Dies sind zwei verschiedene Fragen, da das Erkennen von etwas bedeutet, dass es passiert ist, und das Verhindern von etwas bedeutet, dass es überhaupt nicht passiert.
Fünf antworten:
ThoriumBR
2018-11-07 17:41:27 UTC
view on stackexchange narkive permalink

Ein Sicherungsoperator verfügt über die Berechtigungs- und Verhaltensmarkierungen einer Person, die viele Daten verschiebt. Wie jeder Systemadministrator, bei dem kein dedizierter Sicherungsoperator vorhanden ist.

Snowden war ein Systemadministrator. Er würde alle vorhandenen Schutzprotokolle kennen. Er könnte sich einfach als jemand aus einem beliebigen Bereich ausgeben, Dinge herunterladen, sich als der nächste ausgeben und dies weiterhin tun.

Wenn allgemein bekannt ist, dass es keinen kugelsicheren Schutz gegen einen dedizierten Angreifer gibt, stellen Sie sich einen vertrauenswürdigen internen dedizierten Angreifer vor mit Sysadmin-Berechtigungen.

TL; dr: Sie können sich nicht vor sich selbst schützen.
Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/85510/discussion-on-answer-by-thoriumbr-can-beehive-detect-a-snowden-like-actor).
Steffen Ullrich
2018-11-07 18:02:15 UTC
view on stackexchange narkive permalink

Anomalieerkennungssysteme wie Beehive machen es einfacher als zuvor, viele Daten zu durchsuchen und verdächtiges Verhalten zu erkennen. Dies bedeutet, dass ein Analyst sich auf die relevanteren Daten konzentrieren, mehr Daten in kürzerer Zeit verarbeiten und auch detailliertere Eingabedaten für die Analyse verwenden kann. Auf diese Weise ist die Wahrscheinlichkeit höher als zuvor, dass jemand unerwünschtes Verhalten erkennen kann.

Im Beehive-Papier wird behauptet (und ich habe keinen Grund, diese Behauptung zu bezweifeln), dass das System mehr Vorfälle erkennen kann als die normalerweise verwendeten Systeme - es wird jedoch nicht behauptet, dass das System jeden Vorfall erkennen kann oder sogar wie viel von allen Vorfällen es erkennen könnte. Daher kann es sein, dass andere Systeme nur 10% aller Vorfälle erkennen und Beehive 20%, was gut, aber nicht wirklich zufriedenstellend ist.

Könnte ein solches System jemanden wie Snowden erkennen? Dies hängt stark davon ab, wie viel und welche Art und welche Details von Daten für die Analyse gesammelt werden, wie streng die vorhandenen Sicherheitsrichtlinien sind, damit Richtlinienverstöße protokolliert werden können, und wie viel illegal (wie von der NSA gesehen). Die Aktivitäten von Snowden unterschieden sich von seiner üblichen Arbeitstätigkeit. Je mehr es sich unterscheidet, desto wahrscheinlicher kann es von einem Anomalieerkennungssystem erkannt werden. Je ähnlicher illegale und legale Aktivitäten in Bezug auf die protokollierten Daten sind, desto weniger wahrscheinlich ist es, dass illegale Aktivitäten als Anomalie gemeldet werden.

Mit anderen Worten: Es kann hilfreich sein, einige Aktionen vom Typ Snowden zu erkennen, es werden jedoch nicht alle Aktionen vom Typ Snowden erkannt. Und das Verhindern solcher Maßnahmen wäre noch schwieriger, wahrscheinlicher ist eine frühzeitige Erkennung, nachdem bereits ein gewisser Schaden angerichtet wurde, und damit eine Begrenzung der Auswirkungen

Und die Fehlalarme ... Wow, stellen Sie sich vor, Sie wurden in eine Systemadministratorposition befördert und plötzlich tauchen Bundesagenten an Ihrer Tür auf ...
@Nelson Federal Agents werden lange vorher vor Ihrer Tür stehen, wenn Sie sich um eine Sysadmin-Position bewerben.Machen Sie sich bereit für jede Menge Profilerstellung und Interviews.
RG1
2018-11-07 20:54:03 UTC
view on stackexchange narkive permalink

Snowdens Absicht war die Datenexfiltration und er war auch ein Systemadministrator. Er hatte also Zugriff auf große Datenmengen, die normale Benutzer nicht hatten, und hatte ein anderes Muster für die Interaktion mit dem Netzwerk. Wenn Beehive vorhanden wäre, hätte es möglicherweise protokolliert, dass er etwas getan hat, aber jeder, der die Absicht hat, Daten zu filtern, hätte gewusst, wie man Warnungen umgeht: Machen Sie Ihr Muster der Datenexfiltration ab dem Zeitpunkt, an dem das System trainiert wurde, "normal" und es würde nicht als anomale Aktivität gekennzeichnet werden. Snowden hätte das Muster haben können, 16 GB pro Tag auf einen USB-Stick zu übertragen, aber solange er seine Techniken nicht plötzlich geändert hätte, hätte Beehive ihn nicht markiert.

Ich arbeite auf einige benutzerdefinierte Methoden bei der Arbeit, um diese Art von Muster zu erkennen. Aber im Moment kenne ich nichts Automatisiertes, das gute Arbeit leistet.

Hobbamok
2018-11-07 20:20:23 UTC
view on stackexchange narkive permalink

Nein, das kann es nicht.

Und das Zitat, das Sie gezogen haben, hat klar erklärt, warum nicht und wie die Leute behaupteten, es könnte.

Was Beehive könnte Sagen Sie Ihnen, dass ein Angriff im Snowden-Stil stattgefunden hat. (Selbst wenn Sie von @ThoriumBR gehen, wäre ein SNOWDEN nicht verhindert worden.)

Was Sie (oder dieser Typ) behaupten, ist, dass es einen solchen Angriff VERHINDERN könnte, der sehr, sehr unterschiedlich ist und (vielleicht nicht zu viel gelesen) dies mit einer erweiterten Analyse zu kombinieren. Dies bedeutet, dass es wahrscheinlich zu spät wäre, selbst wenn Ihr Analyse- und Kennzeichnungssystem in Echtzeit ausgeführt wird.

[Stellen Sie sich vor, wo Beehive ins Spiel kommt:

Verdächtige Aktion -> Sicherheitsprogramm -> Protokoll -> Bienenstock extrahiert Daten -> Bienenstockanalyse -> Flag geworfen -> Intervention?

Dies ist viel zu spät (und es wird davon ausgegangen, dass die Protokolle in Echtzeit ausgewertet werden)

Protokolle dienen der rückwirkenden Untersuchung und nicht der Intervention in Echtzeit.

Sie können eine Pseudo-Log für jede Aktion, lassen Sie diese von Beehive analysieren und erst wenn sie grün leuchtet, wird die Aktion ausgeführt. Der enorme Overhead und die spürbare Verzögerung würden diesen Ansatz für jeden Manager zu einem wirklich harten Verkauf machen. [auch ohne Verwendung von lo gs aber eingebaute Bewertungsmechanismen in Ihrer Plattform wäre weitaus besser]

Und die Fehlalarme.Stellenangebote werden ein Albtraum sein, ebenso wie Änderungen in der Abteilung.
Könnte man als Systemadministrator einfach die Protokolle ändern?
@paulj Nicht, wenn die Protokolle an einen Remote-Server gesendet oder weitergeleitet werden, sondern nur für bereits generierte Protokolle.Ein Systemadministrator könnte natürlich alle nachfolgenden Protokolle fälschen.
Übrigens (und unabhängig davon) haben moderne Dateisysteme [Pseudo-Logs] (https://en.wikipedia.org/wiki/Journaling_file_system), die viel schneller fertiggestellt werden, als es Beehive könnte
Cliff AB
2018-11-10 04:27:36 UTC
view on stackexchange narkive permalink

Zunächst einmal gibt es einen sehr wichtigen Unterschied zwischen der Fähigkeit, einen "Snowden-ähnlichen" Schauspieler zu erkennen und einen zu verhindern. Soweit ich gesehen habe, erhebt Beehive keine Ansprüche auf Verhinderung, sondern scheint die Möglichkeit zu versprechen, Sie darauf aufmerksam zu machen, dass in Ihrem Netzwerk verdächtige Aktivitäten stattfinden. Sicher, nicht so gut, aber in einigen Forschungsgemeinschaften immer noch als "heiliger Gral" angesehen.

Vor diesem Hintergrund bin ich äußerst zweifelhaft, ob Beehive diese Erwartungen erfüllen kann. Maschinelles Lernen kann sehr gut komplexe Muster aus großen Datenstapeln mit zuverlässigen Identitäten extrahieren. Zum Beispiel ist die Unterscheidung zwischen Bildern von Katzen und Hunden äußerst zuverlässig. Wir alle können es 99 +% der Zeit tun, aber wenn ich sagen müsste, was der genaue Algorithmus ist, um 100x100 Pixel aufzunehmen und Katze gegen Hund zu bestimmen, hätte ich keine Ahnung, wie ich das tun würde. Aber ich kann Ihnen 100.000 solcher Bilder liefern und ML-Methoden eine Regel herausfinden lassen, die zuverlässig zwischen den beiden anhand der Werte von 100 x 100 Pixel unterscheidet. Wenn ich die Dinge richtig mache, sollten die von ML erstellten Regeln sogar für neue Bilder von Katzen und Hunden gelten, sofern keine großen Änderungen an den neuen Daten vorgenommen werden (dh wenn ich nur Labore und Tabby-Katzen in den Trainingsdaten verwendet habe, versuchen Sie, diese zu erhalten es, um einen Terrier zu identifizieren ... viel Glück). Das ist die Stärke von ML.

Das Ermitteln von "verdächtigem Verhalten" ist ein viel schwierigeres Problem. Wir haben nicht 100.000 Proben von bestätigtem schlechtem Verhalten, und wir haben nicht einmal wirklich 100.000 Proben von bestätigtem gutem Verhalten! Schlimmer noch, was eine gute ML-Methode war, die gestern funktioniert hat, funktioniert heute nicht mehr. Im Gegensatz zu Katzen und Hunden auf Fotos versuchen Gegner wirklich, Sie auszutricksen. Die meisten Leute, von denen ich weiß, dass sie an ML für Cybersicherheit arbeiten, haben akzeptiert, dass die Idee der rein automatisierten Erkennung derzeit außerhalb unserer Reichweite liegt. Vielleicht können wir jedoch Tools entwickeln, um sehr spezifische sich wiederholende Aufgaben zu automatisieren, die ein Sicherheitsanalyst immer wieder ausführen muss. Dadurch werden sie effizienter.

Vor diesem Hintergrund scheinen die Autoren von Beehive diese Lektion übersprungen zu haben und behaupten, dass sie dieses Problem gelöst haben. Ich bin sehr misstrauisch gegenüber der Leistung, insbesondere angesichts der Tatsache, dass die von ihnen vorgeschlagenen Methoden die ersten sind, die ein ML-Forscher möglicherweise versucht, routinemäßig als nicht nützlich abzulehnen. Sie schlagen beispielsweise vor, PCA zu verwenden, um Ausreißer in Protokollen zu identifizieren. Dies und Variationen davon wurden hundertmal versucht, und das Ergebnis ist immer, dass der Sicherheitsanalyst die "automatisierte Erkennung" abschaltet, weil sie so viele Fehlalarme erhalten, dass sie viel mehr Zeit kosten als es spart.

Natürlich ist bei all diesen Methoden der Teufel das Detail, und die Details dieser Methodentypen werden in veröffentlichten Arbeiten nie wirklich offengelegt ("Wir haben PCA verwendet, um in Serverprotokollen nach Ausreißern zu suchen" extrem vage Aussage). Es ist immer möglich, dass sie eine super clevere Möglichkeit haben, die Daten vorzuverarbeiten, bevor sie ihre Methoden anwenden, die es nicht in das Papier geschafft haben. Aber ich wäre bereit, mit meinem rechten Arm darauf zu wetten, dass kein Benutzer von Beehive in der Lage sein wird, in Echtzeit zuverlässig zwischen "Snowden-ähnlichem" Verhalten und der nicht kontroversen realen Nutzung eines Netzwerks zu unterscheiden.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...