Can Beehive rileva un attore tipo Snowden?

Un operatore di backup avrà i permessi e i contrassegni comportamentali di qualcuno che sposta molti dati in giro. Come ogni amministratore di sistema in cui non è presente un operatore di backup dedicato.

Snowden era un amministratore di sistema. Sapeva tutti i protocolli di protezione in atto. Potrebbe impersonare chiunque, da qualsiasi area, scaricare cose, impersonare il prossimo e continuare a farlo.

Se è risaputo che non esiste una protezione antiproiettile contro un attaccante dedicato, immagina un utente malintenzionato interno affidabile con i privilegi di sysadmin.

I sistemi di rilevamento di anomalie come Beehive rendono più facile di prima scavare attraverso molti dati e rilevare comportamenti sospetti. Ciò significa che è possibile per un analista concentrarsi sui dati più rilevanti, elaborare più dati in tempi più brevi e utilizzare anche dati di input più dettagliati per l'analisi. In questo modo la possibilità è maggiore rispetto a prima che qualcuno possa rilevare comportamenti indesiderati.

Si sostiene (e non ho motivo di dubitare di questa affermazione) nel documento Beehive che il sistema possa rilevare più incidenti rispetto ai sistemi solitamente usati - ma non si sostiene che il sistema possa rilevare ogni incidente o anche quanto di tutti gli incidenti che potrebbe rilevare. Quindi, potrebbe essere che altri sistemi rilevano solo il 10% di tutti gli incidenti e Beehive rileva il 20%, il che è buono ma non del tutto soddisfacente.

Un tale sistema potrebbe rilevare qualcuno come Snowden? Ciò dipende molto dalla quantità e dal tipo e dal dettaglio dei dati raccolti per l'analisi, dal livello di severità delle policy di sicurezza esistenti, in modo che le violazioni delle policy possano essere registrate e quanto illegale (come visto dalla NSA). le attività di Snowden differivano dalla sua solita attività lavorativa. Più si differenzia e più è probabile che possa essere rilevato dal sistema di rilevamento delle anomalie. Ma le attività illegali e legali più simili sono in termini di dati registrati, meno probabile è che le attività illegali vengano segnalate come anomalie.

In altre parole: potrebbe aiutare a rilevare alcune azioni di tipo Snowden ma non rileverà tutte le azioni di tipo Snowden. E prevenire tali azioni sarebbe ancora più difficile, più probabilmente è una diagnosi più precoce dopo che è già stato fatto del male e quindi limitare l'impatto.

L'intento di Snowden era l'estrazione dei dati e lui era anche un amministratore di sistema. Quindi, ha avuto accesso a grandi quantità di dati che gli utenti normali non hanno e avrebbero un modello diverso di come interagisce con la rete. Se Beehive fosse stato installato, potrebbe essersi verificato che stava facendo qualcosa ma chiunque avesse intenzione di estrarre i dati avrebbe saputo ignorare gli avvisi: rendere il proprio schema di estrazione dei dati "normale" dal momento in cui il sistema ha iniziato a formarsi e non sarebbe contrassegnato come attività anomala. Snowden avrebbe potuto avere un modello di scaricamento di 16 GB al giorno su una chiavetta USB, ma finché non ha fatto cambiamenti improvvisi nelle sue tecniche, Beehive non lo avrebbe segnalato.

Sto lavorando su alcuni metodi personalizzati al lavoro per rilevare questo tipo di pattern. Ma, al momento, non so nulla di automatizzato che faccia un buon lavoro.

No, non può.

E la citazione che hai tirato chiaramente ha spiegato perché no, e come la gente è venuta a pretendere che potesse.

Ciò che Beehive potrebbe essere in grado di fare è dirti che un attacco in stile Snowden è avvenuto. (anche se il thoguh di @ThoriumBR non sarebbe stato impedito a SNOWDEN)

Ciò che tu (o quel ragazzo) afferma è che potrebbe PREVENIRE un simile attacco, che è molto, molto diverso. Beehive sta eseguendo la scansione dei log e (forse, non ha letto troppo) combinandolo con alcune analisi avanzate. Ciò significa che, anche se il tuo sistema di analisi e segnalazione è in esecuzione in tempo reale, probabilmente sarebbe troppo tardi.

[Immagina solo dove arriva Beehive:

Azione sospetta - > programma di sicurezza - > log - > alveare estrae i dati - > analisi alveare - > bandiera generata - > intervento?

Questo è troppo tardi (e presuppone che i registri siano valutati in tempo reale)

I log servono per l'analisi retroattiva, non per l'intervento in tempo reale.

Quello che potresti fare è produrre uno pseudo-log per qualsiasi azione, avere quello analizzato da Beehive e solo dopo essere stato illuminato a luce verde l'azione viene eseguita. L'enorme sovraccarico e il notevole ritardo renderebbero questo approccio una vendita davvero difficile per qualsiasi manager. [inoltre, non usare i log ma costruire meccanismi di valutazione nella tua piattaforma sarebbe molto meglio]

Prima di tutto, c'è una distinzione molto importante tra essere in grado di rilevare un attore "Snowden-like" e poter prevenire uno. Per quanto ho visto, Beehive non ha alcuna pretesa di prevenirne uno, ma sembra piuttosto promettere la possibilità di avvisare che un'attività sospetta sta accadendo nella tua rete. Certo, non come buono, ma ancora considerato un "Santo Graal" in alcune comunità di ricerca.

Detto ciò, sono estremamente dubbioso che Beehive sia in grado di soddisfare tali aspettative. L'apprendimento automatico può fare abbastanza bene nell'estrarre modelli complessi da grandi pile di dati con identità affidabili. Ad esempio, la differenza tra le immagini di cani e gatti è estremamente affidabile; possiamo farlo tutti 99 +% del tempo, ma se dovessi dire qual è l'algoritmo esatto per prendere in 100x100 pixel e determinare il cane contro cane, non ho idea di come lo farei. Ma posso fornirti 100.000 di tali immagini e lasciare che i metodi ML indichino una regola che distingue in modo affidabile tra i due in base ai valori di 100x100 pixel. Se faccio le cose per bene, le regole create da ML dovrebbero funzionare anche su nuove immagini di cani e gatti, assumendo non enormi cambiamenti nei nuovi dati (cioè, se ho usato solo laboratori e gatti soriano nei dati di allenamento, allora provo a prendere per identificare un terrier ... buona fortuna). Questa è la forza di ML.

Determinare "comportamenti sospetti" è un problema molto più difficile. Non abbiamo 100.000 di esempi di comportamenti errati confermati e nemmeno 100.000 di esempi di buoni comportamenti confermati! Peggio ancora, quello che era un buon metodo ML che ha funzionato ieri non funziona oggi; a differenza di cani e gatti nelle foto, gli avversari cercano davvero di ingannarti. La maggior parte delle persone che conosco lavorando su ML per la cyber security hanno accettato che l'idea di un rilevamento puramente automatizzato è al di fuori della nostra portata al momento, ma forse possiamo costruire strumenti per automatizzare compiti ripetitivi molto specifici che un analista della sicurezza deve fare ripetutamente, rendendoli così più efficienti.

Detto ciò, gli autori di Beehive sembrano aver saltato quella lezione e affermano di aver risolto questo problema. Sono molto sospettoso nei confronti della performance, soprattutto considerando che i metodi che suggeriscono sono i primi che un ricercatore di ML potrebbe pensare di provare e che sono stati regolarmente rifiutati perché non utili. Ad esempio, suggeriscono di utilizzare PCA per identificare i valori anomali nei registri. Questa e le sue varianti sono state provate centinaia di volte e il risultato è sempre che l'analista della sicurezza interrompe il "rilevamento automatico" perché riceve così tanti falsi positivi che costa modo più tempo di salva.

Naturalmente, in tutti questi metodi, il diavolo è i dettagli ei dettagli di questi tipi di metodi non vengono mai esposti nel lavoro pubblicato ("abbiamo usato PCA per cercare i valori anomali nei log del server" è un estremamente dichiarazione vaga). È sempre possibile che abbiano un modo super intelligente di preelaborare i dati prima di applicare i loro metodi che non sono riusciti a farlo. Ma sarei disposto a scommettere sul mio braccio destro che nessun utente di Beehive sarà in grado di distinguere in modo affidabile tra il comportamento "tipo Snowden" e l'uso del mondo reale non conflittuale di una rete in tempo reale.