Mesterséges Intelligencia (Hasonlóságelemzés) alkalmazása az információvédelem területén. Csizmadia Attila CISA

Hasonló dokumentumok
SeaLog digitális nyomelemző rendszer

IIR Internal Audit 2011 Hogyan segítheti az IT háttér a hatékony kockázatkezelést?

KÜRT Zrt. Logelemzés heti riport Felhasználói fiók, illetve felhasználói csoportkezelési műveletek

SARM. Veszteségek minimalizálása visszaélés-felderítéssel. Csizmadia Attila CISA

Vírusmentesítés naplóelemző eszközökkel

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 5. óra. Kocsis Gergely, Supák Zoltán

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

1. A Windows Vista munkakörnyezete 1

Seacon Access and Role Management

Melyek a Windows Server 2008 R2 tiszta telepítésének (Clean Install) legfontosabb lépései?

LINUX LDAP címtár. Mi a címtár?

Felhasználó-központú biztonság

Enterprise User Security

Cégünk az alábbi területen kínál ügyfelei részére világszínvonalú megoldásokat.

Hibrid Cloud az új Oracle Enterprise Manager Cloud Control 13c-vel

Az operációs rendszerek fejlődése

Jogosultság-monitorozó rendszer kialakítása

Hálózatvédelem, biztonság

Windows biztonsági problémák

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

Hegyi Béla, technikai tanácsadó. Cisco MARS Bemutatása

Operációs rendszerek. A Windows NT felépítése

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

IT biztonság 2016/2017 tanév

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Bejelentkezés az egyetemi hálózatba és a számítógépre

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

Dr. Sipos Marianna ZMNE BJKMK

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

1/9. Sunell IP kamerák webes felületének használati útmutatója. Élő kép (Live Video)

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

ROBOTHADVISELÉS S 2010

Adatbányászat és Perszonalizáció architektúra

Mosolygó Ferenc. Értékesítési Konzultáns.

Vodafone ODI ETL eszközzel töltött adattárház Disaster Recovery megoldása. Rákosi Péter és Lányi Árpád

Norway Grants. Az akkumulátor mikromenedzsment szabályozás - BMMR - fejlesztés technológiai és műszaki újdonságai. Kakuk Zoltán, Vision 95 Kft.

Next Generation Cyber Security Platform. Pintér András YOUNG ENTERPRISE DAY Október 2.

Tájékoztató a kollégiumi internet beállításához

11. Gyakorlat: Certificate Authority (CA), FTP site-ok

Tudásalapú információ-kereső rendszerek elemzése és kifejlesztése

Üzleti megoldások professzionális webkonferencia segítségével

Magyar Posta központi Oracle infrastruktúrája VMware alapokon

ECAS KÉZIKÖNYV. Tartalom

SeaLog Vizsgálódj, tudd mi történt!

SAMBA. Forrás: Lajber Zoltán: SAMBA alapok dia, SZIE

IT üzemeltetés és IT biztonság a Takarékbankban

The nontrivial extraction of implicit, previously unknown, and potentially useful information from data.

Novell és Windows7 bejelentkezési jelszavak módosítása

SQLServer. Védelmi struktúra

SQLServer. Probléma megoldás

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 6. óra. Kocsis Gergely, Supák Zoltán

NEPTUN ID BMENET ID. Címtár BME VPN. vcenter VPN SVN. Trac Wiki. Wifi

Szolgáltat. gfelügyeleti gyeleti rendszer fejlesztése. NETWORKSHOP 2010 Sándor Tamás

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft.

Szalai Ferenc

Tartalomjegyzék. I. rész: Az ügyfél Alapismeretek 3. Előszó

Mikrotik 6.22 telepítés

SQLServer. SQLServer konfigurációk

Bízzunk a felhőben! Spilák Viktor termékmenedzser KÜRTCloud Felhő kockázatok nélkül. viktor.spilak@kurt.hu június 18.

2. Tartományvezérlő, DNS, Core konfigurálása, Powershell

API tervezése mobil környezetbe. gyakorlat

KIR 2.0 A KIR MEGÚJÍTÁSÁNAK ELSŐ LÉPÉSEI BARCSÁNSZKY PÉTER OKTATÁSI HIVATAL. TÁMOP-3.1.5/ PEDAGÓGUSKÉPZÉS Támogatása

A cloud szolgáltatási modell a közigazgatásban

IBM felhő menedzsment

JNDI - alapok. Java Naming and Directory Interface

GDi Esri Magyarország Felhasználói Konferencia Timár Gábor: Konkurens adatfeldolgozás ArcGIS rendszerben

Oracle Audit Vault and Database Firewall. Gecseg Gyula Oracle DBA

Mobil eszközökön tárolt adatok biztonsága

Amibe még John McLane is belepirulna, avagy az ipari irányitási rendszerek biztonsági kérdései

HaXSoN Nyílt forrásdú, zárt informatikai rendszer

Debreceni Egyetem Informatikai Kar A WINDOWS SERVER 2003 HÁLÓZATI MEGOLDÁSAI

Utolsó módosítás:

RÉSZ IPARI TERMELÕ-SZOLGÁLTATÓ TEVÉKENYSÉG ELLENÕRZÉSE A

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

Adattárház kialakítása a Szövetkezet Integrációban, UML eszközökkel. Németh Rajmund Vezető BI Szakértő március 28.

Jogosultság igénylési folyamatok egységesítése a Magyar Telekom csoportnál. Magyar Telekom IAM rendszer Pálfy Zsolt Levente , 1.

Folyamatmodellezés és eszközei. Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék

Munkaállomás menedzsment: szolgáltatástervezés és -létrehozás a MÁV CARGO-ban

Simon János György technikai tanácsadó, CCSP. Biztonsági incidensek hatékony kezelése

Webes alkalmazások fejlesztése 7. előadás. Autentikáció és autorizáció (ASP.NET Core) Cserép Máté

Szondy György. Munkaállomás menedzsment: szolgáltatástervezés és -létrehozás a MÁV CARGO-ban

icollware szoftver portfolió

K&H Központosított felhasználó adminisztráció gyakorlati megvalósítása

Private Cloud architektúra keretrendszer

STANDARD DEVELOPMENT U.L. FACTORY SYSTEMS GROUP IT DEPARTMENT

Biztonságos mobilalkalmazás-fejlesztés a gyakorlatban. A CryptTalk fejlesztése során alkalmazott módszerek. Dr. Barabás Péter Arenim Technologies

Szolgáltatási szint és performancia menedzsment a PerformanceVisor alkalmazással. HOUG konferencia, 2007 április 19.

Hálózati operációs rendszerek II. OES biztonsági rendszere

Operációs rendszerek. Az Executive és a kernel Policy és mechanizmusok szeparálása Executive: policy - objektum kezelés Kernel: mechanizmusok:

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Kibervédelem aktualizálása a nemzetközi botnet alapú támadások, adatszivárgások alapján

GUSE BEMUTATÓ. Az MTA CLOUD felhasználói számára készült guse bemutató v2.0. MTA Cloud csapat

Hogyan lesz adatbányából aranybánya?

Infor PM10 Üzleti intelligencia megoldás

Webes alkalmazások fejlesztése 7. előadás. Autentikáció és autorizáció (ASP.NET)

4. Gyakorlat: Csoportházirend beállítások

Szövetségi (föderatív) jogosultságkezelés

Modellinformációk szabványos cseréje. Papp Ágnes, Debreceni Egyetem EFK

Átírás:

Hasonlóságelemzés Digitális nyomelemzőit biztonsági alkalmazása Mesterséges Intelligencia (Hasonlóságelemzés) alkalmazása az információvédelem területén Csizmadia Attila CISA

2. Információvédelem jelentősége Információs vagyon Fenyegetettségek Külső, belső Elérhetetlenség (CIA) Illetéktelen felhasználás Folyamatosan változó körülmények Új technológiák (felhő, mobilitás, konzumeráció) Új tendenciák a kiberbűnözésben (adathalászat, botnetek, felhő, social engenering )

Védekezési lehetőségek Határvédelmi eszközök (tűzfal, vírusvédelem, IDS/IPS, ) Adatok titkosítása Jogosultságkezelés Folyamatok monitorozása (DLP, logelemzés, ) 3.

Folyamatok monitorozása Az üzletileg kritikus folyamatokra Az összes fontos információ összegyűjtése (digitális nyomok) naplóadatok tranzakciós adatok helyszín és pozícióadatok 4.

Rendellenességek kiszűrése Esemény szöveges leírása Belepési azonosítóval/jelszóval való próbálgatásos (Brute force) támadás Eseményfigyelés jelentősége Ha a belépési próbálkozások gyors egymásutánban következnek be, akkor ez a legtöbb esetben jelszó próbálgatásos (brute force) támadásra utal. A támadók használhatnak automatizált eszközt a próbálgatásra és könnyen sikerrel járhatnak, ha a felhasználók gyenge, könnyen kitalálható jelszavakat választanak. Mintaillesztés alapján, deklaratív szabályokkal Riasztás 1 percen belül legalább 6 belépési kísérlet ugyanarra a célfiókra, utána lehetséges fiókzárolás. Esemény informatikai definíciója 529-es azonosítójú esemény figyelése ugyanarra a fiókra a security logban, 1 percen belül legalább 6 sikertelen próbálkozás, majd lehetséges fiókzárolás (644) az adott fiókra. Ha nincs fiókzárolás beállítva, akkor is figyelendő! Rendszer/eszköz Log megnevezése Feltétel Szöveges leírása Windows 2003 Security log Event id=529 Logon Failure - Unknown user name or bad password Kapcsolat és 5. Windows 2003 Security log Event id=644 User Account Locked Out és

Rendellenességek kiszűrése 6. Rejtett összefüggések felderítése mesterséges intelligencia alkalmazásával M_1 Rendszeridő megváltoztatása Kisebb a jobb M_2 Sikertelen bejelentkezések száma percenként Kisebb a jobb M_3 Sikertelen bejelentkezések száma a sikeresekhez képest adott időszakban Kisebb a jobb M_4 Sikeres loginok száma adott időszakban Nem adható meg egyértelműen M_5 Jelszóváltoztatási kísérlet Kisebb a jobb M_6 Felhasználó hozzáadása Kisebb a jobb M_7 Felhasználó módosítása Kisebb a jobb M_8 Admin csoport létrehozása/ módosítása Kisebb a jobb M_9 Felhasználó hozzáadása admin csoporthoz (local és domain egyben) Kisebb a jobb M_10 Speciális jogok hozzáadása az új belépőnek Kisebb a jobb M_11 Memória elfogyása Kisebb a jobb M_12 Rendszerszintű programok indítása/hozzáférési kísérlet Kisebb a jobb M_13 Kerberos service ticket kérése Nem adható meg egyértelműen M_14 Kerberos service ticket megújítás Kisebb a jobb M_15 Kerberos azonosítási hiba Kisebb a jobb M_16 M_17 M_18 The domain controller attempted to validate the credentials for an account. An Active Directory replica destination naming context was modified. Windows Filtering Platform szűrő megváltoztatása Kisebb a jobb Kisebb a jobb Kisebb a jobb M_19 Service Control Manager transmits control requests to running services and driver services. Kisebb a jobb M_20 CPU terheltség 90% feletti Kisebb a jobb M_21 Firewall session indítás root-ként Kisebb a jobb M_22 Linux auth ssh sikertelen belépések Kisebb a jobb M_23 Linux auth ssh sikeres belépések Kisebb a jobb

Hasonlóságelemzés fogalma Előzmények > várható következmények A vizsgált objektumok egymáshoz való viszonya OAM Objektum Attribútum Mátrix 7. Alkalmazott módszertan COCO (Component based Object Comparison for Objectivity)

COCO modell Működési elve Alkalmazhatósága egy attribútum függése a többitől attribútumok együttállásának összefüggései attribútumok értékelése egy ideálishoz képest Inputok, irányok megadása 8.

COCO modell Lépcsős függvény Direkt, indirekt elemzés, vakfolt 9.

Egy konkrét megvalósítás Cél: IT biztonsági szakértői értékelések objektív generálása Input: naplóállományok, digitális nyomok Output: gyanú mérték, gyanú potenciál, szövegpanelek 10.

Nyomelemző logikai felépítése SeaLog Enterprise Logikai Architektúra GYŰJTÉS FELDOLGOZÁS STANDARD ELEMZÉS HASONLÓSÁG- ELEMZÉS Gyanú osztályok ESZKÖZÖK SeaLog Koncentrátor Betöltő sémák Meta adatok Korreláció elemzés Riport minták Riasztások Lekérdezések/Jelentések Trend analízis IDMEF konverzió Szabály menedzsment Incidens kezelés ADAT- BÁNYÁSZAT SeaLog Központi Interfész SeaLog Adattárház Adatpiac Adatpiac Szabály alkotás Predikció 11. 11. Adatpiac

Nyomelemző sajátosságai Időben elhúzódó folyamatok összetett vizsgálata Különböző digitális nyomok összekapcsolása A rejtett összefüggések elemzése Automatikus szabály felismerés, előrejelzés Specifikus adatpiacok Adattárházi technológiák alkalmazása 12.

13. Felhasználási lehetőségek Üzleti célú csalásfelderítés, belső kontroll megszegése, HR kockázatkezelés, ellenőrizhetőség Műszaki célú rendelkezésre állás, meghibásodás, teljesítmény, kihasználtság IT célú üzemeltetés támogatás, rendszerfelügyelet, IT biztonság, SLA És még összetett, második körös adatelemzés, pl: kötelező jelentések rendszere

Hasonlóságelemzés Digitális nyomelemzőit biztonsági alkalmazása Köszönöm a figyelmet! csizmadia.attila@seacon.hu www.seacon.hu www.sealog.hu

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés