Hasonlóságelemzés Digitális nyomelemzőit biztonsági alkalmazása Mesterséges Intelligencia (Hasonlóságelemzés) alkalmazása az információvédelem területén Csizmadia Attila CISA
2. Információvédelem jelentősége Információs vagyon Fenyegetettségek Külső, belső Elérhetetlenség (CIA) Illetéktelen felhasználás Folyamatosan változó körülmények Új technológiák (felhő, mobilitás, konzumeráció) Új tendenciák a kiberbűnözésben (adathalászat, botnetek, felhő, social engenering )
Védekezési lehetőségek Határvédelmi eszközök (tűzfal, vírusvédelem, IDS/IPS, ) Adatok titkosítása Jogosultságkezelés Folyamatok monitorozása (DLP, logelemzés, ) 3.
Folyamatok monitorozása Az üzletileg kritikus folyamatokra Az összes fontos információ összegyűjtése (digitális nyomok) naplóadatok tranzakciós adatok helyszín és pozícióadatok 4.
Rendellenességek kiszűrése Esemény szöveges leírása Belepési azonosítóval/jelszóval való próbálgatásos (Brute force) támadás Eseményfigyelés jelentősége Ha a belépési próbálkozások gyors egymásutánban következnek be, akkor ez a legtöbb esetben jelszó próbálgatásos (brute force) támadásra utal. A támadók használhatnak automatizált eszközt a próbálgatásra és könnyen sikerrel járhatnak, ha a felhasználók gyenge, könnyen kitalálható jelszavakat választanak. Mintaillesztés alapján, deklaratív szabályokkal Riasztás 1 percen belül legalább 6 belépési kísérlet ugyanarra a célfiókra, utána lehetséges fiókzárolás. Esemény informatikai definíciója 529-es azonosítójú esemény figyelése ugyanarra a fiókra a security logban, 1 percen belül legalább 6 sikertelen próbálkozás, majd lehetséges fiókzárolás (644) az adott fiókra. Ha nincs fiókzárolás beállítva, akkor is figyelendő! Rendszer/eszköz Log megnevezése Feltétel Szöveges leírása Windows 2003 Security log Event id=529 Logon Failure - Unknown user name or bad password Kapcsolat és 5. Windows 2003 Security log Event id=644 User Account Locked Out és
Rendellenességek kiszűrése 6. Rejtett összefüggések felderítése mesterséges intelligencia alkalmazásával M_1 Rendszeridő megváltoztatása Kisebb a jobb M_2 Sikertelen bejelentkezések száma percenként Kisebb a jobb M_3 Sikertelen bejelentkezések száma a sikeresekhez képest adott időszakban Kisebb a jobb M_4 Sikeres loginok száma adott időszakban Nem adható meg egyértelműen M_5 Jelszóváltoztatási kísérlet Kisebb a jobb M_6 Felhasználó hozzáadása Kisebb a jobb M_7 Felhasználó módosítása Kisebb a jobb M_8 Admin csoport létrehozása/ módosítása Kisebb a jobb M_9 Felhasználó hozzáadása admin csoporthoz (local és domain egyben) Kisebb a jobb M_10 Speciális jogok hozzáadása az új belépőnek Kisebb a jobb M_11 Memória elfogyása Kisebb a jobb M_12 Rendszerszintű programok indítása/hozzáférési kísérlet Kisebb a jobb M_13 Kerberos service ticket kérése Nem adható meg egyértelműen M_14 Kerberos service ticket megújítás Kisebb a jobb M_15 Kerberos azonosítási hiba Kisebb a jobb M_16 M_17 M_18 The domain controller attempted to validate the credentials for an account. An Active Directory replica destination naming context was modified. Windows Filtering Platform szűrő megváltoztatása Kisebb a jobb Kisebb a jobb Kisebb a jobb M_19 Service Control Manager transmits control requests to running services and driver services. Kisebb a jobb M_20 CPU terheltség 90% feletti Kisebb a jobb M_21 Firewall session indítás root-ként Kisebb a jobb M_22 Linux auth ssh sikertelen belépések Kisebb a jobb M_23 Linux auth ssh sikeres belépések Kisebb a jobb
Hasonlóságelemzés fogalma Előzmények > várható következmények A vizsgált objektumok egymáshoz való viszonya OAM Objektum Attribútum Mátrix 7. Alkalmazott módszertan COCO (Component based Object Comparison for Objectivity)
COCO modell Működési elve Alkalmazhatósága egy attribútum függése a többitől attribútumok együttállásának összefüggései attribútumok értékelése egy ideálishoz képest Inputok, irányok megadása 8.
COCO modell Lépcsős függvény Direkt, indirekt elemzés, vakfolt 9.
Egy konkrét megvalósítás Cél: IT biztonsági szakértői értékelések objektív generálása Input: naplóállományok, digitális nyomok Output: gyanú mérték, gyanú potenciál, szövegpanelek 10.
Nyomelemző logikai felépítése SeaLog Enterprise Logikai Architektúra GYŰJTÉS FELDOLGOZÁS STANDARD ELEMZÉS HASONLÓSÁG- ELEMZÉS Gyanú osztályok ESZKÖZÖK SeaLog Koncentrátor Betöltő sémák Meta adatok Korreláció elemzés Riport minták Riasztások Lekérdezések/Jelentések Trend analízis IDMEF konverzió Szabály menedzsment Incidens kezelés ADAT- BÁNYÁSZAT SeaLog Központi Interfész SeaLog Adattárház Adatpiac Adatpiac Szabály alkotás Predikció 11. 11. Adatpiac
Nyomelemző sajátosságai Időben elhúzódó folyamatok összetett vizsgálata Különböző digitális nyomok összekapcsolása A rejtett összefüggések elemzése Automatikus szabály felismerés, előrejelzés Specifikus adatpiacok Adattárházi technológiák alkalmazása 12.
13. Felhasználási lehetőségek Üzleti célú csalásfelderítés, belső kontroll megszegése, HR kockázatkezelés, ellenőrizhetőség Műszaki célú rendelkezésre állás, meghibásodás, teljesítmény, kihasználtság IT célú üzemeltetés támogatás, rendszerfelügyelet, IT biztonság, SLA És még összetett, második körös adatelemzés, pl: kötelező jelentések rendszere
Hasonlóságelemzés Digitális nyomelemzőit biztonsági alkalmazása Köszönöm a figyelmet! csizmadia.attila@seacon.hu www.seacon.hu www.sealog.hu