セミナーの著者の1人 Beehive:大規模なログ分析によるエンタープライズネットワークの不審なアクティビティの検出 は、このシステムによりSnowdenのようなアクションを防止できると述べています。
彼らの記事の結論から;
Beehiveは、セキュリティインシデントを検出するための署名ベースのアプローチを改善します。代わりに、動作分析に基づいて、ホストで疑わしいセキュリティインシデントにフラグを立てます。私たちの評価では、Beehiveは、既存の最先端のセキュリティツールや個人が気づかなかったマルウェア感染やポリシー違反を検出しました。
Beehiveまたは同様のシステムでSnowdenタイプのアクションを防止できますか?
バックアップオペレーターは、大量のデータを移動する誰かの許可と行動マーカーを取得します。専用のバックアップオペレーターがいないシステム管理者と同じです。
Snowdenはシステム管理者でした。彼はすべての保護プロトコルが整っていることを知っていました。彼は、どこからでも誰にでもなりすまし、物事をダウンロードし、次のものになりすまして、それを続けることができます。
専用の攻撃者に対する完全な防御策がないことが一般的な知識である場合、sysadmin特権を持つ信頼できる内部の専用の攻撃者を想像してください。
Beehiveのような異常検出システムを使用すると、以前よりも多くのデータを調べて、疑わしい動作を検出することが簡単になります。これは、アナリストがより関連性の高いデータに集中し、より短時間でより多くのデータを処理し、さらに詳細な入力データを分析に使用できることを意味します。この方法では、誰かが望ましくない動作を検出できる可能性が以前より高くなります。
Beehive論文では、システムが通常使用されるシステムよりも多くのインシデントを検出できると主張されています(私がこの主張を疑う理由はありません)。ただし、システムがすべてのインシデントまたはすべてのインシデントのどれだけを検出できるとは主張されていません。検出できました。したがって、他のシステムはすべてのインシデントの10%しか検出せず、Beehiveは20%を検出する可能性があります。これは良好ですが、実際には十分ではありません。
そのようなシステムはSnowdenのような誰かを検出できますか?これは、分析のために収集されるデータの量と種類、詳細、既存のセキュリティポリシーがそもそもどの程度厳格であるため、ポリシー違反をログに記録できるか、違法な量(NSAから見た場合)に大きく依存します。スノーデンの活動は彼の通常の仕事活動とは異なりました。差異が大きいほど、異常検出システムで検出できる可能性が高くなります。ただし、ログに記録されたデータに関する違法および法的活動が類似しているほど、違法行為が異常として報告される可能性は低くなります。
つまり、一部のSnowdenタイプのアクションを検出するのに役立ちますが、すべてのSnowdenタイプのアクションを検出するわけではありません。そして、そのような行動を防ぐことはさらに困難であり、いくつかの害がすでに行われていて影響を制限した後、より早期に発見される可能性が高くなります。
Snowdenの目的はデータの引き出しであり、システム管理者でもありました。そのため、彼は通常のユーザーがアクセスできない大量のデータにアクセスでき、ネットワークとのやり取りのパターンが異なります。 Beehiveが設置されていた場合、彼は何かをしていることが記録されている可能性がありますが、データ漏洩の意図がある人なら誰でもアラートをバイパスする方法を知っているはずです。異常なアクティビティとしてフラグが立てられることはありません。 Snowdenは、1日16GBをUSBサムドライブにダンプするパターンがあった可能性がありますが、彼の技術に突然の変更を加えない限り、Beehiveはフラグを立てませんでした。
この種のパターンを検出するために、職場でいくつかのカスタム方法に取り組んでいます。しかし、今のところ、自動化されて良い仕事ができることは知りません。
いいえ、できません。
そして、あなたが引っ張った引用は、なぜそうではないのか、そして人々がそれができると主張するようになった方法を明確に説明しました。
Beehiveができることは、Snowdenスタイルの攻撃が行われたことを伝えることです。 (@ThoriumBR a SNOWDENによるthoguh goinさえ阻止されなかったでしょう)
あなた(またはその人)が主張するのは、そのような攻撃を防ぐことができるということです。 Beehiveはログをクロールし、ログを(おそらく、あまり読みすぎなかった)いくつかの高度な分析と組み合わせています。つまり、分析とフラグを設定するシステムがリアルタイムで実行されている場合でも、おそらく手遅れになります。
[Beehiveがどこに来るか想像してみてください:
不審なアクション->セキュリティプログラム->ログ-> beehiveはデータを抽出します-> beehive分析->スローされたフラグ->介入?
これは遅すぎる(そして、ログがリアルタイムで評価されることを前提としています)
ログは、リアルタイムの介入ではなく、遡及調査用です。
あなたができることは、すべてのアクションの疑似ログを作成し、それをBeehiveで分析し、青信号で点灯したときにのみアクションが実行されることです。莫大なオーバーヘッドと顕著な遅延は、しかし、そのアプローチをどんなマネージャーにとっても本当に難しい売りにするでしょう。 [また、ログを使用せず、プラットフォームに評価メカニズムを組み込む方がはるかに優れています]
まず第一に、「スノーデンのような」俳優を検出できることと、防止できることの間には、非常に重要な違いがあります。 ) 1。私が見た限りでは、Beehiveはそれを防ぐことについて何の主張もしていませんが、ネットワークで不審なアクティビティが発生していることを警告する機能を約束しているようです。確かに、それほど良くはありませんが、一部の研究コミュニティでは「聖杯」と見なされています。
そうは言っても、Beehiveがこれらの期待に応えられるかどうかは非常に疑わしいです。機械学習は、信頼できるIDを持つ大量のデータから複雑なパターンを抽出するのに非常に適しています。たとえば、猫と犬の写真を区別することは非常に信頼できます。私たちはすべて99%以上の時間でそれを行うことができますが、100x100ピクセルを取り込み、猫対犬を決定するための正確なアルゴリズムを教えなければならない場合、どうすればよいかわかりません。しかし、そのような画像を100,000枚提供し、MLメソッドが100x100ピクセルの値に基づいて2つを確実に区別するルールを理解できるようにします。私が正しいことを行えば、MLによって作成されたルールは、猫と犬の新しい画像でも機能するはずです。つまり、新しいデータに大きな変更がない場合(つまり、トレーニングデータでラボとトラ猫のみを使用した場合)、テリアを特定するために...幸運を祈ります)。それがMLの強みです。
「疑わしい動作」を特定することは、はるかに難しい問題です。確認済みの不正な動作のサンプルは10万件ありません。また、動作確認済みの10万件のサンプルもありません。さらに悪いことに、昨日機能した優れたMLメソッドは、今日は機能しません。写真の中の猫や犬とは異なり、敵はあなたをだまそうとします。サイバーセキュリティのMLに取り組んでいる私が知っているほとんどの人は、純粋に自動化された検出のアイデアは現時点では理解できないことを受け入れていますが、セキュリティアナリストが繰り返し実行する必要がある非常に特定の反復的なタスクを自動化するツールを構築できるかもしれません。したがって、それらをより効率的にします。
そうは言っても、Beehiveの作者はそのレッスンをスキップし、この問題を解決したと主張しているようです。特に、彼らが提案する方法がML研究者が最初に試そうと考え、役に立たないものとして拒否されていることを考えると、私はパフォーマンスに非常に疑わしいと思います。たとえば、PCAを使用してログの外れ値を特定することを提案しています。これとそのバリエーションは何百回も試行され、その結果常にセキュリティアナリストは "自動検出"を停止します。これは、誤検出が多く、コストがかかるwayよりも長いためです。保存します。
もちろん、これらすべての方法では、悪魔が詳細であり、これらのタイプのメソッドの詳細は、公開された作業で実際に公開されることはありません(「PCAを使用してサーバーログで外れ値を検索しました」は非常に =あいまいなステートメント)。彼らが紙に入れなかった方法を適用する前にデータを前処理するいくつかの非常に巧妙な方法があることは常に可能です。しかし、Beehiveのどのユーザーも「スノーデンのような」動作と、敵対的でない現実世界のネットワークの使用をリアルタイムで確実に区別することができないだろうと私は右腕に賭けても構わないと思います。