Felhasználói viselkedés-elemzés – visszaélések felderítése informatikai eszközökkel Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem Információbiztonsági.

Slides:



Advertisements
Hasonló előadás
A rendvédelmi szervek helye a kibervédelemben
Advertisements

Az elektronikus közigazgatási rendszerek biztonsága
Aruba Instant vállalati vezeték nélküli megoldások
Belváros-Lipótváros Polgármesteri Hivatal egységes szerkezetű rendezési terveinek publikálása, karbantartása ASP szolgáltatás keretében Cselovszki Zoltán.
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 1.
1/13 Péter Tamás, Bécsi Tamás, Aradi Szilárd INNOVÁCIÓ ÉS FENNTARTHATÓ FELSZÍNI KÖZLEKEDÉS KONFERENCIA Budapest, szeptember 3-5. Útmenti objektumok.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. A mobilitás biztonsági.
IBM IT biztonsági szeminárium június 12. Tóth Vencel
A PTA CERT-Hungary Központ szerepe a magyar infrastruktúra védelemben Szekeres Balázs műszaki igazgató PTA CERT-Hungary Központ.
Vezeték nélküli technológiák
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
1 Informatikai Szakképzési Portál Adatbázis kezelés DCL – Adatvezérlő nyelv.
SeaLog digitális nyom-elemző rendszer Digitális nyom elemzése az informatikai eseménytérben.
© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.
Adatbányászat a kontrollingban
Jogában áll belépni?! Détári Gábor, rendszermérnök.
SQL92 lehetőségek KL A tábla B tábla C view adatok VIEW működése utasítás: SELECT.. FROM A,B … SELECT.. FROM C Az adatok a hivatkozáskor állítódnak elő.
Digitális információink védelme Borbély András, Grepton Rt.
1 Operációs rendszerek A UNIX védelmi rendszere. 2 Illetéktelen hozzáférés megakadályozása: az egyes felhasználók adataihoz, az operációs rendszer adataihoz,
A szabályozások hatásának vizualizációja a publikus fórumok statisztikai elemzésének segítségével MKT Vándorgyűlés Szeged, október 1.
Vezetői Információs Rendszer Kialakítása a Szegedi Tudományegyetemen Eredmények - Tapasztalatok Vilmányi Márton.
Hálózatkezelési újdonságok Windows 7 / R2
Szakértők és rendszerek
Human security awareness - IT vagy HR feladat?
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
Taletovics Márk Microsoft Magyarország. Mi van a csomagban?
Tartalom  Infrastruktúra meghatározása  Infrastruktúrák osztályozása  Kritikus információs infrastruktúrák  Információs infrastruktúrák támadása és.
Szemantikus keresők.
Adatbázis adminisztrátori ismeretek
Felhasználók és jogosultságok
© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 CIO `08 Rugalmas biztonság, rugalmas vállalathoz Hirsch Gábor Üzletfejlesztési.
GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.
ORACLE ORDBMS adminisztrációs feladatok 3. rész dr. Kovács László 2004.
A Microsoft Üzleti Intelligencia megoldása és platformja
A teljes infrastruktúra egységesített felügyelete és védelme.
Elektronikus tanulási forráskezelő keretrendszer, kompetencia-fejlesztő program adatbázis létrehozása Calderoni program.
Tûzfalak.
A szolgáltatás technikájával – technológiájával kapcsolatos elemzések „EISZ Jövője” Konferencia június 22.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Biztonság és védelem. AppArmor Alkalmazás biztonsági modul a Linux kernelhez Az Immunix fejlesztette ki A biztonsági szempontból sebezhető alkalmazásoknak.
Informatikai változások információvédelmi kihívásai Dr. Molnár Imre, CISA magyarországi igazgató, Computer Associates.
Tűzfal (firewall).
Corporate presentation ”quis custodiet ipsos custodes” Avagy ki vigyázza a vigyázókat.
1 Határtalan határvédelem Illés Márton
N E M Z E T I A U D I O V I Z U Á L I S A R C H Í V U M NAVA project BudapestI Műszaki Egyetem Informatikai és Hírközlési Minisztérium NAVA 2005.
Forensic kihívások, avagy a biztonság a pandúrok szemével Kristóf Csaba Biztonságportál, főszerkesztő.
Biztonság kábelek nélkül Magyar Dénes május 19.
Online sajtó- és médiafigyelés hatékonyabban avagy Magyar Telekom sikersztori Csuri Csaba.
Kiss Tibor System Administrator (MCP) ISA Server 2006.
IBM-ISS © 2009 IBM Corporation május 2. KÉK ÉS ZÖLD - IBM-ISS Gyenese Péter Services Sales Specialist (ISS) IBM Magyarországi Kft.
Megoldásaink a GDPR előírásaira
Triggerek gyakorlás.
OVIDIUS Info-Service Co Ltd.
A Linux karakteres felhasználói felülete
Az Informatikai biztonság alapjai
Kiberbiztonság adatdiódával
Adatvédelmi kihívások a modern információ- technológiában
Alkalmazott Informatikai Tanszék
DLP a gyakorlatban– adatszivárgással kapcsolatos problémák és megoldások Bruszik László, IT biztonsági tanácsadó HP
Az informatikai “ezüstgolyó", avagy a biztonságos fejlesztés tizenhárom szabálya Hirsch Gábor, Fortinet.
OVIDIUS Info-Service Co Ltd.
OVIDIUS Info-Service Co Ltd.
Informatikai biztonság alapjai 2. Azonosítás
GEGES JÓZSEF Ph.D. OVIDIUS Info-Service Co Ltd.
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
GDPR kihívások.
Előadás másolata:

Felhasználói viselkedés-elemzés – visszaélések felderítése informatikai eszközökkel Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem Információbiztonsági Tanszék

Hangulatjelentés

Motivációk Forrás:McAfee Labs Threats Report August 2015

Támadási módszerek Forrás: 2015 Data Breach Investigations Report, Verizon

Esettanulmány ‟ 2015-ben fel kell ismerjük végre, hogy azok a hagyományos módszerek, amelyekkel az egyáltalán nem hagyományos APT-támadások ellen próbálunk védekezni, egyszerűen nem felelnek meg a célnak.” Forrás: The ‘ABC’ of the ‘APT’ - John Walker, a Cyber Security Research Institute tagja

0-napi fenyegetések Dolgok, amelyekről NEM tudunk Dolgok, amelyekről tudunk Kérdések, amelyeket NEM teszünk fel Kérdések, amelyeket felteszünk SIEM VUL-SCAN PEN-TEST SPAM AV NAC FW APP-WL IDS/IPS DLP UBA NETWORK ANALYTICS FRAUD

Miért fontos a kontextus? Lehetetlen olyan aprólékos szabályokat és szabályozást bevezetni, ami az üzletileg kritikus információk védelméhez szükséges A biztonsági incidensek többsége a jogosult felhasználók tevékenységéből eredeztethető A leggyakoribb támadási forma a privilegizált felhasználók jogkörével való visszaélés* 55% * Forrás: Verizon Data Breach Investigations Report 2015

A kiindulópont A hagyományos biztonsági megoldások (tűzfal, IPS, VPN, DLP, SIEM) nem nyújtanak elegendő információt a kontextus megértéséhez Miért? » A logok nem elég részletesek » A tevékenységek nem követhetők folyamatukban » A támadó jogosult felhasználónak tüntetheti fel magát – miután megszerezte egy jogosult felhasználó belépési adatait

Felhasználói viselkedés- elemzés

Mi a viselkedés? ”A viselkedés az ember látható, és hosszabb ideig észlelhető megnyilvánulásainak jellemzése” Pszichológia, Osiris Kiadó, 2003

Mi a digitális viselkedés? Belépés tipikus ideje Gépelési sebesség Képernyő-felbontás Használt szerverek és szolgáltatások Kiadott utasítások

Minden releváns biztonsági adat Kontextuális információk Rendszer logok Alkalmazás logok Tevékenység monitoring Adatok kontextusban Fenyegetések kezelése API User Directory Tevékeny- ségek Videó felvétel Keresés Valós idejű adatgyűjtés Riport Szűrés Normaliz álás Dúsítás Indexelés Harmadik felet érintő integrációk

Viselkedés-elemzés Kontextuális információk Rendszer logok Alkalmazás logok Tevékenység monitoring Adatok kontextusban Fenyegetések kezelése API User Directory Tevékeny- ségek Videó felvétel Keresés Valós idejű adatgyűjtés Riport Szűrés Normaliz álás Dúsítás Indexelés Harmadik felet érintő integrációk Felhasz- nálói profilok Kontextuális intelligencia Viselkedés- elemzés Valós idejű reakció Kockázat- elemzés Kockázati térkép

Támadás az adatbázis szerver ellen User: martin Az adatbázis operátor belépési adatait ellopták

Mi derül ki a logokból? Oct 14 16:12:56 db1.acme sshd[2303]: pam_unix(sshd:session): session opened for user martin by (uid=0) Belépés ideje Felhasználó neve Hoszt azonosítója

Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus

Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus

Belépés ideje Tipikus belépési idő Belépés időpontja hétköznapokon

Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus Megszokott időpont

Viselkedés-elemző algoritmusok User: martin Megszokott időpont Algoritmus Az adatbázis operátor belépési adatait ellopták

Felhasználó – szerver párosítások db1.acme db2.acme db3.acme db-test.acme db4.acme Leggyakrabban használt szerver

Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus Megszokott időpont Megszokott szerverek

Egymást követő hozzáférések több adatbázis szerverhez Oct 14 16:12:56 db1.acme sshd[2303]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:14:32 db2.acme sshd[156]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:21:17 db3.acme sshd[448]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:23:06 db4.acme sshd[4362]: pam_unix(sshd:session): session opened for user martin by (uid=0)

Viselkedés-elemző algoritmusok User: martin Megszokott időpont Megszokott szerverek Túl sok kapcsolat Algoritmus Többszörös hozzáférés adatbázisokhoz

Felhasználó kockázati értékének növelése User: martin Megszokott időpont Megszokott szerverek Túl sok kapcsolat Algoritmus A felhasználó kockázati értékének dinamikus növelése Többszörös hozzáférés adatbázisokhoz

User: martin Adatbázis-hozzáférés: Adatlopási kísérlet

Transzparens monitoring T16:43:39+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command='$ psql' T16:43:58+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command='crm=# select * from customer;' T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command='$ pg_dump crm > /tmp/fun.txt' Possible Alert (SNMP/syslog/ ): T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: core.alerting(5): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): Rule matched; event_type='adp.event.command', event_data='$ pg_dump crm > /tmp/fun.txt', should_terminate='0'

Utasítások elemzése A tevékenységfigyelő által rögzített, a viselkedés- elemzőnek megküldött felhasználói utasítások: $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt

Viselkedés-elemző algoritmusok User: martin $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus

Viselkedés-elemző algoritmusok User: martin $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus Szokatlan utasítás

Felhasználó kockázati értékének további növelése Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus A felhasználó kockázati értékének dinamikus növelése

Riasztás Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus A felhasználó értesítése és/vagy a biztonsági csapat riasztása

A támadó semlegesítése Kapcsolat megszakítása A támadót ártalmatlanították A felhasználó értesítése és/vagy a biztonsági csapat riasztása Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus

További vizsgálat Kapcsolat megszakítása Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus Szokatlan utasítás A felhasználó értesítése és/vagy a biztonsági csapat riasztása A támadót ártalmatlanították További vizsgálatok elindítása

Köszönöm a figyelmet!