Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Felhasználói viselkedés-elemzés – visszaélések felderítése informatikai eszközökkel Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem Információbiztonsági Tanszék
2
Hangulatjelentés
3
Motivációk Forrás:McAfee Labs Threats Report August 2015
4
Támadási módszerek Forrás: 2015 Data Breach Investigations Report, Verizon
5
Esettanulmány ‟ 2015-ben fel kell ismerjük végre, hogy azok a hagyományos módszerek, amelyekkel az egyáltalán nem hagyományos APT-támadások ellen próbálunk védekezni, egyszerűen nem felelnek meg a célnak.” Forrás: The ‘ABC’ of the ‘APT’ - John Walker, a Cyber Security Research Institute tagja
6
0-napi fenyegetések Dolgok, amelyekről NEM tudunk Dolgok, amelyekről tudunk Kérdések, amelyeket NEM teszünk fel Kérdések, amelyeket felteszünk SIEM VUL-SCAN PEN-TEST SPAM AV NAC FW APP-WL IDS/IPS DLP UBA NETWORK ANALYTICS FRAUD
7
Miért fontos a kontextus? Lehetetlen olyan aprólékos szabályokat és szabályozást bevezetni, ami az üzletileg kritikus információk védelméhez szükséges A biztonsági incidensek többsége a jogosult felhasználók tevékenységéből eredeztethető A leggyakoribb támadási forma a privilegizált felhasználók jogkörével való visszaélés* 55% * Forrás: Verizon Data Breach Investigations Report 2015
8
A kiindulópont A hagyományos biztonsági megoldások (tűzfal, IPS, VPN, DLP, SIEM) nem nyújtanak elegendő információt a kontextus megértéséhez Miért? » A logok nem elég részletesek » A tevékenységek nem követhetők folyamatukban » A támadó jogosult felhasználónak tüntetheti fel magát – miután megszerezte egy jogosult felhasználó belépési adatait
9
Felhasználói viselkedés- elemzés
10
Mi a viselkedés? ”A viselkedés az ember látható, és hosszabb ideig észlelhető megnyilvánulásainak jellemzése” Pszichológia, Osiris Kiadó, 2003
11
Mi a digitális viselkedés? Belépés tipikus ideje Gépelési sebesség Képernyő-felbontás Használt szerverek és szolgáltatások Kiadott utasítások
12
Minden releváns biztonsági adat Kontextuális információk Rendszer logok Alkalmazás logok Tevékenység monitoring Adatok kontextusban Fenyegetések kezelése API User Directory Tevékeny- ségek Videó felvétel Keresés Valós idejű adatgyűjtés Riport Szűrés Normaliz álás Dúsítás Indexelés Harmadik felet érintő integrációk
13
Viselkedés-elemzés Kontextuális információk Rendszer logok Alkalmazás logok Tevékenység monitoring Adatok kontextusban Fenyegetések kezelése API User Directory Tevékeny- ségek Videó felvétel Keresés Valós idejű adatgyűjtés Riport Szűrés Normaliz álás Dúsítás Indexelés Harmadik felet érintő integrációk Felhasz- nálói profilok Kontextuális intelligencia Viselkedés- elemzés Valós idejű reakció Kockázat- elemzés Kockázati térkép
14
Támadás az adatbázis szerver ellen User: martin Az adatbázis operátor belépési adatait ellopták
15
Mi derül ki a logokból? Oct 14 16:12:56 db1.acme sshd[2303]: pam_unix(sshd:session): session opened for user martin by (uid=0) Belépés ideje Felhasználó neve Hoszt azonosítója
16
Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus
17
Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus
18
Belépés ideje Tipikus belépési idő Belépés időpontja hétköznapokon
19
Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus Megszokott időpont
20
Viselkedés-elemző algoritmusok User: martin Megszokott időpont Algoritmus Az adatbázis operátor belépési adatait ellopták
21
Felhasználó – szerver párosítások db1.acme db2.acme db3.acme db-test.acme db4.acme Leggyakrabban használt szerver
22
Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus Megszokott időpont Megszokott szerverek
23
Egymást követő hozzáférések több adatbázis szerverhez Oct 14 16:12:56 db1.acme sshd[2303]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:14:32 db2.acme sshd[156]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:21:17 db3.acme sshd[448]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:23:06 db4.acme sshd[4362]: pam_unix(sshd:session): session opened for user martin by (uid=0)
![Egymást követő hozzáférések több adatbázis szerverhez Oct 14 16:12:56 db1.acme sshd[2303]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:14:32 db2.acme sshd[156]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:21:17 db3.acme sshd[448]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:23:06 db4.acme sshd[4362]: pam_unix(sshd:session): session opened for user martin by (uid=0)](http://images.slideplayer.hu/41/11549419/slides/slide_23.jpg "Egymást követő hozzáférések több adatbázis szerverhez Oct 14 16:12:56 db1.acme sshd[2303]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:14:32 db2.acme sshd[156]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:21:17 db3.acme sshd[448]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:23:06 db4.acme sshd[4362]: pam_unix(sshd:session): session opened for user martin by (uid=0)")
24
Viselkedés-elemző algoritmusok User: martin Megszokott időpont Megszokott szerverek Túl sok kapcsolat Algoritmus Többszörös hozzáférés adatbázisokhoz
25
Felhasználó kockázati értékének növelése User: martin Megszokott időpont Megszokott szerverek Túl sok kapcsolat Algoritmus A felhasználó kockázati értékének dinamikus növelése Többszörös hozzáférés adatbázisokhoz
26
User: martin Adatbázis-hozzáférés: Adatlopási kísérlet
27
Transzparens monitoring 2015-05-04T16:43:39+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): 00262 New command is detected; command='$ psql' 2015-05-04T16:43:58+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): 00262 New command is detected; command='crm=# select * from customer;' 2015-05-04T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): 00262 New command is detected; command='$ pg_dump crm > /tmp/fun.txt' Possible Alert (SNMP/syslog/email): 2015-05-04T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: core.alerting(5): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): Rule matched; event_type='adp.event.command', event_data='$ pg_dump crm > /tmp/fun.txt', should_terminate='0'
![Transzparens monitoring T16:43:39+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command= $ psql T16:43:58+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command= crm=# select * from customer; T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command= $ pg_dump crm > /tmp/fun.txt Possible Alert (SNMP/syslog/ ): T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: core.alerting(5): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): Rule matched; event_type= adp.event.command , event_data= $ pg_dump crm > /tmp/fun.txt , should_terminate= 0](http://images.slideplayer.hu/41/11549419/slides/slide_27.jpg "Transzparens monitoring T16:43:39+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command= $ psql T16:43:58+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command= crm=# select * from customer; T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command= $ pg_dump crm > /tmp/fun.txt Possible Alert (SNMP/syslog/ ): T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: core.alerting(5): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): Rule matched; event_type= adp.event.command , event_data= $ pg_dump crm > /tmp/fun.txt , should_terminate= 0")
28
Utasítások elemzése A tevékenységfigyelő által rögzített, a viselkedés- elemzőnek megküldött felhasználói utasítások: $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt
29
Viselkedés-elemző algoritmusok User: martin $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus
30
Viselkedés-elemző algoritmusok User: martin $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus Szokatlan utasítás
31
Felhasználó kockázati értékének további növelése Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus A felhasználó kockázati értékének dinamikus növelése
32
Riasztás Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus A felhasználó értesítése és/vagy a biztonsági csapat riasztása
33
A támadó semlegesítése Kapcsolat megszakítása A támadót ártalmatlanították A felhasználó értesítése és/vagy a biztonsági csapat riasztása Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus
34
További vizsgálat Kapcsolat megszakítása Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus Szokatlan utasítás A felhasználó értesítése és/vagy a biztonsági csapat riasztása A támadót ártalmatlanították További vizsgálatok elindítása
35
Köszönöm a figyelmet!
Hasonló előadás
