Hasonlóságelemzés Digitális nyomelemzőIT biztonsági alkalmazása
Mesterséges Intelligencia (Hasonlóságelemzés) alkalmazása az információvédelem területén
Csizmadia Attila CISA
Hasonlóságelemzés IT biztonsági alkalmazása
Információvédelem jelentősége
Információs vagyon
Fenyegetettségek
Külső, belső
Elérhetetlenség (CIA)
Illetéktelen felhasználás
Folyamatosan változó körülmények
2.
Új technológiák (felhő, mobilitás, konzumeráció) Új tendenciák a kiberbűnözésben (adathalászat, botnetek, felhő, social engenering…)
Hasonlóságelemzés IT biztonsági alkalmazása
Védekezési lehetőségek
Adatok titkosítása
Jogosultságkezelés
3.
Határvédelmi eszközök (tűzfal, vírusvédelem, IDS/IPS,…)
Folyamatok monitorozása (DLP, logelemzés,…)
Hasonlóságelemzés IT biztonsági alkalmazása
Folyamatok monitorozása
4.
Az üzletileg kritikus folyamatokra Az összes fontos információ összegyűjtése (digitális nyomok)
naplóadatok
tranzakciós adatok
helyszín és pozícióadatok…
Hasonlóságelemzés IT biztonsági alkalmazása
Rendellenességek kiszűrése
5.
Esemény szöveges leírása
Belepési azonosítóval/jelszóval próbálgatásos (Brute force) támadás
való
Eseményfigyelés jelentősége
Ha a belépési próbálkozások gyors egymásutánban következnek be, akkor ez a legtöbb esetben jelszó próbálgatásos (brute force) támadásra utal. A támadók használhatnak automatizált eszközt a próbálgatásra és könnyen sikerrel járhatnak, ha a felhasználók gyenge, könnyen kitalálható jelszavakat választanak.
Riasztás
1 percen belül legalább 6 belépési kísérlet ugyanarra a célfiókra, utána lehetséges fiókzárolás.
Esemény informatikai definíciója
529-es azonosítójú esemény figyelése ugyanarra a fiókra a security logban, 1 percen belül legalább 6 sikertelen próbálkozás, majd lehetséges fiókzárolás (644) az adott fiókra. Ha nincs fiókzárolás beállítva, akkor is figyelendő!
Rendszer/eszköz
Log megnevezése
Feltétel
Szöveges leírása
Windows 2003
Security log
Event id=529
Logon Failure és Unknown user name or bad password
Windows 2003
Security log
Event id=644
User Account és Locked Out
Kapcsolat
Mintaillesztés alapján, deklaratív szabályokkal
Hasonlóságelemzés IT biztonsági alkalmazása
Rendellenességek kiszűrése
Rejtett összefüggések felderítése mesterséges intelligencia alkalmazásával M_1
Rendszeridő megváltoztatása Sikertelen bejelentkezések száma percenként
M_2 M_3
Kisebb a jobb
Sikertelen bejelentkezések száma a sikeresekhez képest adott időszakban Sikeres loginok száma adott időszakban
M_4 M_5 M_6 M_7 M_8 M_9 M_10 M_11
Jelszóváltoztatási kísérlet Felhasználó hozzáadása Felhasználó módosítása Admin csoport létrehozása/ módosítása Felhasználó hozzáadása admin csoporthoz (local és domain egyben)
Kisebb a jobb Nem adható meg egyértelműen Kisebb a jobb Kisebb a jobb Kisebb a jobb Kisebb a jobb
M_13 M_14 M_15
Kisebb a jobb Speciális jogok hozzáadása az új belépőnek Kisebb a jobb Memória elfogyása Kisebb a jobb Rendszerszintű programok indítása/hozzáférési kísérlet Kisebb a jobb Nem adható meg Kerberos service ticket kérése egyértelműen Kerberos service ticket megújítás Kisebb a jobb Kerberos azonosítási hiba Kisebb a jobb
M_16
The domain controller attempted to validate the credentials for an account.
M_17
An Active Directory replica destination naming context was modified. Kisebb a jobb
M_18
Windows Filtering Platform szűrő megváltoztatása
Kisebb a jobb
M_19 M_20 M_21 M_22 M_23
Service Control Manager transmits control requests to running services and driver services. CPU terheltség 90% feletti Firewall session indítás root-ként Linux auth ssh sikertelen belépések Linux auth ssh sikeres belépések
Kisebb a jobb Kisebb a jobb Kisebb a jobb Kisebb a jobb Kisebb a jobb
M_12
6.
Kisebb a jobb
Kisebb a jobb
Hasonlóságelemzés IT biztonsági alkalmazása
Hasonlóságelemzés fogalma
7.
Előzmények –> várható következmények
A vizsgált objektumok egymáshoz való viszonya OAM – Objektum Attribútum Mátrix Alkalmazott módszertan – COCO (Component based Object Comparison for Objectivity)
Hasonlóságelemzés IT biztonsági alkalmazása
COCO modell
Működési elve
Alkalmazhatósága
8.
egy attribútum függése a többitől
attribútumok együttállásának összefüggései
attribútumok értékelése egy ideálishoz képest
Inputok, irányok megadása
Hasonlóságelemzés IT biztonsági alkalmazása
COCO modell
9.
Lépcsős függvény
Direkt, indirekt elemzés, vakfolt
Hasonlóságelemzés IT biztonsági alkalmazása
Egy konkrét megvalósítás
10.
Cél: IT biztonsági szakértői értékelések objektív generálása Input: naplóállományok, „digitális nyomok” Output: gyanú mérték, gyanú potenciál, szövegpanelek
Hasonlóságelemzés IT biztonsági alkalmazása
Nyomelemző logikai felépítése SeaLog Enterprise Logikai Architektúra GYŰJTÉS
ESZKÖZÖK
FELDOLGOZÁS
Betöltő sémák
Meta adatok
SeaLog Koncentrátor
STANDARD ELEMZÉS
Gyanú osztályok Trend analízis
Korreláció elemzés Riasztások
Riport minták IDMEF konverzió
HASONLÓSÁGELEMZÉS
Lekérdezések/Jelentések
Szabály menedzsment
Incidens kezelés
ADATBÁNYÁSZAT
SeaLog Központi Interfész
11. 11.
Predikció SeaLog Adattárház
Adatpiac
Adatpiac
Adatpiac
Szabály alkotás
Hasonlóságelemzés IT biztonsági alkalmazása
Nyomelemző sajátosságai Időben elhúzódó folyamatok összetett vizsgálata Különböző digitális nyomok összekapcsolása A rejtett összefüggések elemzése Automatikus szabály felismerés, előrejelzés Specifikus adatpiacok Adattárházi technológiák alkalmazása 12.
Hasonlóságelemzés IT biztonsági alkalmazása
Felhasználási lehetőségek Üzleti célú csalásfelderítés, belső kontroll megszegése, HR kockázatkezelés, ellenőrizhetőség
Műszaki célú rendelkezésre állás, meghibásodás, teljesítmény, kihasználtság
IT célú üzemeltetés támogatás, rendszerfelügyelet, IT biztonság, SLA
És még … 13.
összetett, második körös adatelemzés, pl: kötelező jelentések rendszere
Hasonlóságelemzés Digitális nyomelemzőIT biztonsági alkalmazása
Köszönöm a figyelmet!
[email protected] www.seacon.hu www.sealog.hu
