Felhasználói viselkedés-elemzés – visszaélések felderítése informatikai eszközökkel Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem Információbiztonsági.

Slides:

Advertisements

Hasonló előadás

A rendvédelmi szervek helye a kibervédelemben

Advertisements

Az elektronikus közigazgatási rendszerek biztonsága

Aruba Instant vállalati vezeték nélküli megoldások

Belváros-Lipótváros Polgármesteri Hivatal egységes szerkezetű rendezési terveinek publikálása, karbantartása ASP szolgáltatás keretében Cselovszki Zoltán.

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 1.

1/13 Péter Tamás, Bécsi Tamás, Aradi Szilárd INNOVÁCIÓ ÉS FENNTARTHATÓ FELSZÍNI KÖZLEKEDÉS KONFERENCIA Budapest, szeptember 3-5. Útmenti objektumok.

Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. A mobilitás biztonsági.

IBM IT biztonsági szeminárium június 12. Tóth Vencel

A PTA CERT-Hungary Központ szerepe a magyar infrastruktúra védelemben Szekeres Balázs műszaki igazgató PTA CERT-Hungary Központ.

Vezeték nélküli technológiák

1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.

2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.

1 Informatikai Szakképzési Portál Adatbázis kezelés DCL – Adatvezérlő nyelv.

SeaLog digitális nyom-elemző rendszer Digitális nyom elemzése az informatikai eseménytérben.

© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.

Adatbányászat a kontrollingban

Jogában áll belépni?! Détári Gábor, rendszermérnök.

SQL92 lehetőségek KL A tábla B tábla C view adatok VIEW működése utasítás: SELECT.. FROM A,B … SELECT.. FROM C Az adatok a hivatkozáskor állítódnak elő.

Digitális információink védelme Borbély András, Grepton Rt.

1 Operációs rendszerek A UNIX védelmi rendszere. 2 Illetéktelen hozzáférés megakadályozása: az egyes felhasználók adataihoz, az operációs rendszer adataihoz,

A szabályozások hatásának vizualizációja a publikus fórumok statisztikai elemzésének segítségével MKT Vándorgyűlés Szeged, október 1.

Vezetői Információs Rendszer Kialakítása a Szegedi Tudományegyetemen Eredmények - Tapasztalatok Vilmányi Márton.

Hálózatkezelési újdonságok Windows 7 / R2

Szakértők és rendszerek

Human security awareness - IT vagy HR feladat?

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.

Taletovics Márk Microsoft Magyarország. Mi van a csomagban?

Tartalom  Infrastruktúra meghatározása  Infrastruktúrák osztályozása  Kritikus információs infrastruktúrák  Információs infrastruktúrák támadása és.

Szemantikus keresők.

Adatbázis adminisztrátori ismeretek

Felhasználók és jogosultságok

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 CIO `08 Rugalmas biztonság, rugalmas vállalathoz Hirsch Gábor Üzletfejlesztési.

GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.

ORACLE ORDBMS adminisztrációs feladatok 3. rész dr. Kovács László 2004.

A Microsoft Üzleti Intelligencia megoldása és platformja

A teljes infrastruktúra egységesített felügyelete és védelme.

Elektronikus tanulási forráskezelő keretrendszer, kompetencia-fejlesztő program adatbázis létrehozása Calderoni program.

A szolgáltatás technikájával – technológiájával kapcsolatos elemzések „EISZ Jövője” Konferencia június 22.

Biztonsági szabályozás szerepe a biztonsági rendszeren belül

Biztonság és védelem. AppArmor Alkalmazás biztonsági modul a Linux kernelhez Az Immunix fejlesztette ki A biztonsági szempontból sebezhető alkalmazásoknak.

Informatikai változások információvédelmi kihívásai Dr. Molnár Imre, CISA magyarországi igazgató, Computer Associates.

Tűzfal (firewall).

Corporate presentation ”quis custodiet ipsos custodes” Avagy ki vigyázza a vigyázókat.

1 Határtalan határvédelem Illés Márton

N E M Z E T I A U D I O V I Z U Á L I S A R C H Í V U M NAVA project BudapestI Műszaki Egyetem Informatikai és Hírközlési Minisztérium NAVA 2005.

Forensic kihívások, avagy a biztonság a pandúrok szemével Kristóf Csaba Biztonságportál, főszerkesztő.

Biztonság kábelek nélkül Magyar Dénes május 19.

Online sajtó- és médiafigyelés hatékonyabban avagy Magyar Telekom sikersztori Csuri Csaba.

Kiss Tibor System Administrator (MCP) ISA Server 2006.

IBM-ISS © 2009 IBM Corporation május 2. KÉK ÉS ZÖLD - IBM-ISS Gyenese Péter Services Sales Specialist (ISS) IBM Magyarországi Kft.

Megoldásaink a GDPR előírásaira

Triggerek gyakorlás.

OVIDIUS Info-Service Co Ltd.

A Linux karakteres felhasználói felülete

Az Informatikai biztonság alapjai

Kiberbiztonság adatdiódával

Adatvédelmi kihívások a modern információ- technológiában

Alkalmazott Informatikai Tanszék

DLP a gyakorlatban– adatszivárgással kapcsolatos problémák és megoldások Bruszik László, IT biztonsági tanácsadó HP

Az informatikai “ezüstgolyó", avagy a biztonságos fejlesztés tizenhárom szabálya Hirsch Gábor, Fortinet.

OVIDIUS Info-Service Co Ltd.

OVIDIUS Info-Service Co Ltd.

Informatikai biztonság alapjai 2. Azonosítás

GEGES JÓZSEF Ph.D. OVIDIUS Info-Service Co Ltd.

IT biztonsági monitoring eseményfelügyelet, bizonyítékok,

GDPR kihívások.

Előadás másolata:

Felhasználói viselkedés-elemzés – visszaélések felderítése informatikai eszközökkel Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem Információbiztonsági Tanszék

Hangulatjelentés

Motivációk Forrás:McAfee Labs Threats Report August 2015

Támadási módszerek Forrás: 2015 Data Breach Investigations Report, Verizon

Esettanulmány ‟ 2015-ben fel kell ismerjük végre, hogy azok a hagyományos módszerek, amelyekkel az egyáltalán nem hagyományos APT-támadások ellen próbálunk védekezni, egyszerűen nem felelnek meg a célnak.” Forrás: The ‘ABC’ of the ‘APT’ - John Walker, a Cyber Security Research Institute tagja

0-napi fenyegetések Dolgok, amelyekről NEM tudunk Dolgok, amelyekről tudunk Kérdések, amelyeket NEM teszünk fel Kérdések, amelyeket felteszünk SIEM VUL-SCAN PEN-TEST SPAM AV NAC FW APP-WL IDS/IPS DLP UBA NETWORK ANALYTICS FRAUD

Miért fontos a kontextus? Lehetetlen olyan aprólékos szabályokat és szabályozást bevezetni, ami az üzletileg kritikus információk védelméhez szükséges A biztonsági incidensek többsége a jogosult felhasználók tevékenységéből eredeztethető A leggyakoribb támadási forma a privilegizált felhasználók jogkörével való visszaélés* 55% * Forrás: Verizon Data Breach Investigations Report 2015

A kiindulópont A hagyományos biztonsági megoldások (tűzfal, IPS, VPN, DLP, SIEM) nem nyújtanak elegendő információt a kontextus megértéséhez Miért? » A logok nem elég részletesek » A tevékenységek nem követhetők folyamatukban » A támadó jogosult felhasználónak tüntetheti fel magát – miután megszerezte egy jogosult felhasználó belépési adatait

Felhasználói viselkedés- elemzés

Mi a viselkedés? ”A viselkedés az ember látható, és hosszabb ideig észlelhető megnyilvánulásainak jellemzése” Pszichológia, Osiris Kiadó, 2003

Mi a digitális viselkedés? Belépés tipikus ideje Gépelési sebesség Képernyő-felbontás Használt szerverek és szolgáltatások Kiadott utasítások

Minden releváns biztonsági adat Kontextuális információk Rendszer logok Alkalmazás logok Tevékenység monitoring Adatok kontextusban Fenyegetések kezelése API User Directory Tevékeny- ségek Videó felvétel Keresés Valós idejű adatgyűjtés Riport Szűrés Normaliz álás Dúsítás Indexelés Harmadik felet érintő integrációk

Viselkedés-elemzés Kontextuális információk Rendszer logok Alkalmazás logok Tevékenység monitoring Adatok kontextusban Fenyegetések kezelése API User Directory Tevékeny- ségek Videó felvétel Keresés Valós idejű adatgyűjtés Riport Szűrés Normaliz álás Dúsítás Indexelés Harmadik felet érintő integrációk Felhasz- nálói profilok Kontextuális intelligencia Viselkedés- elemzés Valós idejű reakció Kockázat- elemzés Kockázati térkép

Támadás az adatbázis szerver ellen User: martin Az adatbázis operátor belépési adatait ellopták

Mi derül ki a logokból? Oct 14 16:12:56 db1.acme sshd[2303]: pam_unix(sshd:session): session opened for user martin by (uid=0) Belépés ideje Felhasználó neve Hoszt azonosítója

Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus

Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus

Belépés ideje Tipikus belépési idő Belépés időpontja hétköznapokon

Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus Megszokott időpont

Viselkedés-elemző algoritmusok User: martin Megszokott időpont Algoritmus Az adatbázis operátor belépési adatait ellopták

Felhasználó – szerver párosítások db1.acme db2.acme db3.acme db-test.acme db4.acme Leggyakrabban használt szerver

Viselkedés-elemző algoritmusok User: martin Az adatbázis operátor belépési adatait ellopták Algoritmus Megszokott időpont Megszokott szerverek

Egymást követő hozzáférések több adatbázis szerverhez Oct 14 16:12:56 db1.acme sshd[2303]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:14:32 db2.acme sshd[156]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:21:17 db3.acme sshd[448]: pam_unix(sshd:session): session opened for user martin by (uid=0) Oct 14 16:23:06 db4.acme sshd[4362]: pam_unix(sshd:session): session opened for user martin by (uid=0)

Viselkedés-elemző algoritmusok User: martin Megszokott időpont Megszokott szerverek Túl sok kapcsolat Algoritmus Többszörös hozzáférés adatbázisokhoz

Felhasználó kockázati értékének növelése User: martin Megszokott időpont Megszokott szerverek Túl sok kapcsolat Algoritmus A felhasználó kockázati értékének dinamikus növelése Többszörös hozzáférés adatbázisokhoz

User: martin Adatbázis-hozzáférés: Adatlopási kísérlet

Transzparens monitoring T16:43:39+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command='$ psql' T16:43:58+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command='crm=# select * from customer;' T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: adp.processor(3): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): New command is detected; command='$ pg_dump crm > /tmp/fun.txt' Possible Alert (SNMP/syslog/ ): T16:44:19+02:00 scb.acme zorp/scb_ssh[4278]: core.alerting(5): (svc/bD6kFjrBgNWuVX642vKMbV/ssh8:1/ssh): Rule matched; event_type='adp.event.command', event_data='$ pg_dump crm > /tmp/fun.txt', should_terminate='0'

Utasítások elemzése A tevékenységfigyelő által rögzített, a viselkedés- elemzőnek megküldött felhasználói utasítások: $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt

Viselkedés-elemző algoritmusok User: martin $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus

Viselkedés-elemző algoritmusok User: martin $ psql crm=# select * from customer; $ pg_dump crm > /tmp/fun.txt Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus Szokatlan utasítás

Felhasználó kockázati értékének további növelése Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus A felhasználó kockázati értékének dinamikus növelése

Riasztás Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus A felhasználó értesítése és/vagy a biztonsági csapat riasztása

A támadó semlegesítése Kapcsolat megszakítása A támadót ártalmatlanították A felhasználó értesítése és/vagy a biztonsági csapat riasztása Szokatlan utasítás Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus

További vizsgálat Kapcsolat megszakítása Adatbázis-hozzáférés: Adatlopási kísérlet Algoritmus Szokatlan utasítás A felhasználó értesítése és/vagy a biztonsági csapat riasztása A támadót ártalmatlanították További vizsgálatok elindítása

Köszönöm a figyelmet!