Beehive peut-il détecter un acteur semblable à Snowden?
Lors d'un séminaire, l'un des auteurs de Beehive: Large-Scale Log Analysis for Detecting Suspicious Activity in Enterprise Networks a déclaré que ce système peut empêcher des actions comme Snowden.
D'après les conclusions de leurs articles;
Beehive améliore les approches basées sur les signatures pour détecter les incidents de sécurité. Au lieu de cela, il signale les incidents de sécurité suspectés dans les hôtes sur la base d'une analyse comportementale. Dans notre évaluation, Beehive a détecté des infections de logiciels malveillants et des violations de politiques qui sont autrement passées inaperçues par les outils de sécurité et les outils personnels de pointe.
Beehive ou un système similaire peut-il empêcher une action de type Snowden?
Un opérateur de sauvegarde aura l'autorisation et les marqueurs comportementaux d'une personne qui déplace beaucoup de données. Comme tout administrateur système où aucun opérateur de sauvegarde dédié n'est en place.
Snowden était un administrateur système. Il connaîtrait tous les protocoles de protection en place. Il pouvait simplement se faire passer pour n'importe qui, de n'importe quel endroit, télécharger des choses, se faire passer pour le suivant et continuer à faire ça.
S'il est de notoriété publique qu'il n'y a pas de protection pare-balles contre un attaquant dédié, imaginez un attaquant dédié interne de confiance avec des privilèges sysadmin.
Les systèmes de détection d'anomalies comme Beehive facilitent qu'auparavant la fouille de nombreuses données et la détection de comportements suspects. Cela signifie qu'il est possible pour un analyste de se concentrer sur les données les plus pertinentes, de traiter plus de données en moins de temps et également d'utiliser des données d'entrée plus détaillées pour l'analyse. De cette façon, la chance est plus élevée qu'auparavant que quelqu'un puisse détecter un comportement indésirable.
Il est affirmé (et je n'ai aucune raison de douter de cette affirmation) dans le document Beehive que le système peut détecter plus d'incidents que les systèmes habituellement utilisés - mais il n'est pas prétendu que le système peut détecter chaque incident ou même combien de tous les incidents il pourrait détecter. Ainsi, il se pourrait que d'autres systèmes ne détectent que 10% de tous les incidents et Beehive en détecte 20%, ce qui est bon mais pas vraiment satisfaisant.
Un tel système pourrait-il détecter quelqu'un comme Snowden? Cela dépend beaucoup de la quantité, du type et du détail des données collectées pour l'analyse, de la sévérité des politiques de sécurité existantes, afin que les violations de politiques puissent être enregistrées et de l'illégalité (comme le voit la NSA). les activités de Snowden différaient de son activité professionnelle habituelle. Plus il diffère, plus il est susceptible d'être détecté par le système de détection d'anomalies. Mais plus les activités illégales et légales sont similaires en termes de données enregistrées, moins les activités illégales seront signalées comme anomalie.
En d'autres termes: cela pourrait aider à détecter certaines actions de type Snowden mais il ne détectera pas toutes les actions de type Snowden. Et empêcher de telles actions serait encore plus difficile, plus probable est une détection plus précoce après que certains dommages ont déjà été causés et ainsi limiter l'impact.
L'intention de Snowden était l'exfiltration de données et il était également administrateur système. Ainsi, il avait accès à de grandes quantités de données que les utilisateurs normaux n'avaient pas et auraient un modèle différent de la façon dont il interagit avec le réseau. Si Beehive était en place, il a peut-être enregistré qu'il faisait quelque chose, mais toute personne qui a l'intention d'exfiltrer des données aurait su contourner l'alerte: rendre votre modèle d'exfiltration de données "normal" à partir du moment où le système a commencé à se former et il ne serait pas signalé comme une activité anormale. Snowden aurait pu avoir un schéma de dumping de 16 Go par jour sur une clé USB, mais tant qu'il n'a pas changé soudainement ses techniques, Beehive ne l'aurait pas signalé.
Je travaille sur des méthodes personnalisées au travail pour détecter ce type de modèle. Mais, pour l'instant, je ne connais rien d'automatisé qui fera du bon travail.
Non ça ne peut pas.
Et la citation que vous avez tirée expliquait clairement pourquoi et comment les gens en étaient venus à affirmer que c'était possible.
Ce que Beehive pourrait être en mesure de vous dire, c'est qu'une attaque de style Snowden a eu lieu. (même thoguh goin par @ThoriumBR a SNOWDEN n'aurait pas été évité)
Ce que vous (ou ce type) prétendez, c'est que cela pourrait empêcher une telle attaque, ce qui est très, très différent. Beehive explore les journaux et (peut-être, n'a pas trop lu) en combinant cela avec une analyse avancée. Ce qui signifie que même si votre système d'analyse et de signalisation fonctionne en temps réel, il serait probablement trop tard.
[Imaginez simplement où Beehive entre en jeu:
Action suspecte -> programme de sécurité -> journal -> ruche extrait des données -> analyse de la ruche -> drapeau levé -> intervention?
C'est beaucoup trop tard (et cela suppose que les journaux sont évalués en temps réel]
Les journaux sont destinés à une enquête rétroactive et non à une intervention en temps réel.
Ce que vous pourriez faire, c'est produire un pseudo-journal pour toute action, le faire analyser par Beehive et ce n'est qu'après avoir été éclairé que l'action est exécutée. Les énormes frais généraux et le retard notable rendraient cette approche très difficile à vendre à tout gestionnaire. [aussi, ne pas utiliser de journaux mais intégrer des mécanismes d'évaluation dans votre plateforme serait bien mieux]
Tout d'abord, il existe une distinction très importante entre pouvoir détecter un acteur "semblable à Snowden" et pouvoir empêcher un. Pour autant que je sache, Beehive ne prétend pas en empêcher un, mais semble plutôt promettre la possibilité de vous avertir qu'une activité suspecte se produit dans votre réseau. Bien sûr, pas aussi bon, mais toujours considéré comme un "Saint Graal" dans certaines communautés de recherche.
Cela dit, je suis extrêmement douteux que Beehive soit en mesure de répondre à ces attentes. L'apprentissage automatique peut très bien extraire des modèles complexes de grandes piles de données avec des identités fiables. Par exemple, la distinction entre les photos de chats et de chiens est extrêmement fiable; nous pouvons tous le faire 99% + du temps, mais si je devais dire quel est l'algorithme exact pour prendre en 100x100 pixels et déterminer chat vs chien, je ne sais pas comment je ferais cela. Mais je peux vous fournir 100 000 de ces images et laisser les méthodes ML définir une règle qui différencie de manière fiable les deux en fonction des valeurs de 100 x 100 pixels. Si je fais les choses correctement, les règles créées par ML devraient même fonctionner sur de nouvelles images de chats et de chiens, en supposant qu'il n'y ait pas de changements énormes dans les nouvelles données (c'est-à-dire, si je n'utilisais que des laboratoires et des chats tigrés dans les données de formation, alors essayez d'obtenir pour identifier un terrier ... bonne chance). C'est la force de ML.
Déterminer un "comportement suspect" est une question beaucoup plus difficile. Nous n'avons pas 100 000 échantillons d'échantillons de mauvais comportements confirmés, et nous n'avons même pas vraiment 100 000 échantillons d'échantillons de bons comportements confirmés! Pire encore, ce qui était une bonne méthode ML qui a fonctionné hier ne fonctionne pas aujourd'hui; contrairement aux chats et aux chiens sur les photos, les adversaires s'efforcent vraiment de vous piéger. La plupart des gens que je connais travaillant sur le ML pour la cybersécurité ont accepté que l'idée d'une détection purement automatisée soit hors de notre portée pour le moment, mais peut-être pouvons-nous créer des outils pour automatiser des tâches répétitives très spécifiques qu'un analyste de la sécurité doit faire encore et encore, les rendant ainsi plus efficaces.
Cela dit, les auteurs de Beehive semblent avoir sauté cette leçon et prétendent avoir résolu ce problème. Je suis très méfiant vis-à-vis de la performance, d'autant plus que les méthodes qu'ils suggèrent sont les premières qu'un chercheur en ML pourrait penser essayer et ont systématiquement été rejetées comme non utiles. Par exemple, ils suggèrent d'utiliser PCA pour identifier les valeurs aberrantes dans les journaux. Cela, et ses variantes, ont été essayés des centaines de fois et le résultat est toujours que l'analyste de sécurité coupe la "détection automatisée" car ils obtiennent tellement de faux positifs qu'il en coûte façon plus de temps que ça sauve.
Bien sûr, dans toutes ces méthodes, le diable est les détails et les détails de ces types de méthodes ne sont jamais vraiment exposés dans les travaux publiés ("nous avons utilisé PCA pour rechercher des valeurs aberrantes dans les journaux du serveur" est un extrêmement = déclaration vague). Il est toujours possible qu'ils aient un moyen très intelligent de prétraiter les données avant d'appliquer leurs méthodes qui n'ont pas été intégrées dans le papier. Mais je serais prêt à parier mon bras droit qu'aucun utilisateur de Beehive ne sera en mesure de faire une différence fiable entre un comportement "semblable à Snowden" et une utilisation non accusatoire du monde réel d'un réseau en temps réel.