Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Felhasználói viselkedés-elemzés – visszaélések felderítése informatikai eszközökkel Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem Információbiztonsági.

Hasonló előadás


Az előadások a következő témára: "Felhasználói viselkedés-elemzés – visszaélések felderítése informatikai eszközökkel Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem Információbiztonsági."— Előadás másolata:

1 Felhasználói viselkedés-elemzés – visszaélések felderítése informatikai eszközökkel Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem Információbiztonsági Tanszék

2 Hangulatjelentés

3 Motivációk Forrás:McAfee Labs Threats Report August 2015

4 Támadási módszerek Forrás: 2015 Data Breach Investigations Report, Verizon

5 Esettanulmány ‟ 2015-ben fel kell ismerjük végre, hogy azok a hagyományos módszerek, amelyekkel az egyáltalán nem hagyományos APT-támadások ellen próbálunk védekezni, egyszerűen nem felelnek meg a célnak.” Forrás: The ‘ABC’ of the ‘APT’ - John Walker, a Cyber Security Research Institute tagja

6 0-napi fenyegetések Dolgok, amelyekről NEM tudunk Dolgok, amelyekről tudunk Kérdések, amelyeket NEM teszünk fel Kérdések, amelyeket felteszünk SIEM VUL-SCAN PEN-TEST SPAM AV NAC FW APP-WL IDS/IPS DLP UBA NETWORK ANALYTICS FRAUD

7 Miért fontos a kontextus? Lehetetlen olyan aprólékos szabályokat és szabályozást bevezetni, ami az üzletileg kritikus információk védelméhez szükséges A biztonsági incidensek többsége a jogosult felhasználók tevékenységéből eredeztethető A leggyakoribb támadási forma a privilegizált felhasználók jogkörével való visszaélés* 55% * Forrás: Verizon Data Breach Investigations Report 2015

8 A kiindulópont A hagyományos biztonsági megoldások (tűzfal, IPS, VPN, DLP, SIEM) nem nyújtanak elegendő információt a kontextus megértéséhez Miért? » A logok nem elég részletesek » A tevékenységek nem követhetők folyamatukban » A támadó jogosult felhasználónak tüntetheti fel magát – miután megszerezte egy jogosult felhasználó belépési adatait

9 Felhasználói viselkedés- elemzés

10 Mi a viselkedés? ”A viselkedés az ember látható, és hosszabb ideig észlelhető megnyilvánulásainak jellemzése” Pszichológia, Osiris Kiadó, 2003

11 Mi a digitális viselkedés? Belépés tipikus ideje Gépelési sebesség Képernyő-felbontás Használt szerverek és szolgáltatások Kiadott utasítások

12 Minden releváns biztonsági adat Kontextuális információk Rendszer logok Alkalmazás logok Tevékenység monitoring Adatok kontextusban Fenyegetések kezelése API User Directory Tevékeny- ségek Videó felvétel Keresés Valós idejű adatgyűjtés Riport Szűrés Normaliz álás Dúsítás Indexelés Harmadik felet érintő integrációk

13 Viselkedés-elemzés Kontextuális információk Rendszer logok Alkalmazás logok Tevékenység monitoring Adatok kontextusban Fenyegetések kezelése API User Directory Tevékeny- ségek Videó felvétel Keresés Valós idejű adatgyűjtés Riport Szűrés Normaliz álás Dúsítás Indexelés Harmadik felet érintő integrációk Felhasz- nálói profilok Kontextuális intelligencia Viselkedés- elemzés Valós idejű reakció Kockázat- elemzés Kockázati térkép

14 Támadás az adatbázis szerver ellen User: martin Az adatbázis operátor belépési adatait ellopták

15 Mi derül ki a logokból? Oct 14 16:12:56 db1.acme sshd[2303]: pam_unix(sshd:session): session opened for user martin by (uid=0) Belépés ideje Felhasználó neve Hoszt azonosítója

16 Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus

17 Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus

18 Belépés ideje Tipikus belépési idő Belépés időpontja hétköznapokon

19 Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus Megszokott időpont

20 Viselkedés-elemző algoritmusok User: martin Megszokott időpont Algoritmus Az adatbázis operátor belépési adatait ellopták

21 Felhasználó – szerver párosítások db1.acme db2.acme db3.acme db-test.acme db4.acme Leggyakrabban használt szerver

22 Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus Megszokott időpont Megszokott szerverek

23 Egymást követő hozzáférések több adatbázis szerverhez Oct 14 16:12:56 db1.acme sshd[2303]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:14:32 db2.acme sshd[156]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:21:17 db3.acme sshd[448]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:23:06 db4.acme sshd[4362]: pam_unix(sshd:session): session opened for user martin by (uid=0)

24 Viselkedés-elemző algoritmusok User: martin Megszokott időpont Megszokott szerverek Túl sok kapcsolat Algoritmus Többszörös hozzáférés adatbázisokhoz

25 Felhasználó kockázati értékének növelése User: martin Megszokott időpont Megszokott szerverek Túl sok kapcsolat Algoritmus A felhasználó kockázati értékének dinamikus növelése Többszörös hozzáférés adatbázisokhoz

26 User: martin Adatbázis-hozzáférés: Adatlopási kísérlet

27 Transzparens monitoring T16:43:39+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command='$ psql' T16:43:58+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command='crm=# select * from customer;' T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command='$ pg_dump crm > /tmp/fun.txt' Possible Alert (SNMP/syslog/ ): T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: core.alerting(5): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): Rule matched; event_type='adp.event.command', event_data='$ pg_dump crm > /tmp/fun.txt', should_terminate='0'

28 Utasítások elemzése A tevékenységfigyelő által rögzített, a viselkedés- elemzőnek megküldött felhasználói utasítások: $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt

29 Viselkedés-elemző algoritmusok User: martin $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus

30 Viselkedés-elemző algoritmusok User: martin $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus Szokatlan utasítás

31 Felhasználó kockázati értékének további növelése Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus A felhasználó kockázati értékének dinamikus növelése

32 Riasztás Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus A felhasználó értesítése és/vagy a biztonsági csapat riasztása

33 A támadó semlegesítése Kapcsolat megszakítása A támadót ártalmatlanították A felhasználó értesítése és/vagy a biztonsági csapat riasztása Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus

34 További vizsgálat Kapcsolat megszakítása Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus Szokatlan utasítás A felhasználó értesítése és/vagy a biztonsági csapat riasztása A támadót ártalmatlanították További vizsgálatok elindítása

35 Köszönöm a figyelmet!


Letölteni ppt "Felhasználói viselkedés-elemzés – visszaélések felderítése informatikai eszközökkel Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem Információbiztonsági."

Hasonló előadás


Google Hirdetések