Bir yedekleme operatörü, etrafına çok sayıda veri taşıyan birinin iznine ve davranışsal işaretlerine sahip olacaktır. Özel bir yedekleme operatörünün bulunmadığı tüm sistem yöneticileri gibi.

Snowden bir sistem yöneticisiydi. Yerinde olan tüm koruma protokollerini biliyordu. Herhangi bir bölgeden herhangi birini taklit edebilir, bir şeyler indirebilir, bir sonrakini taklit edebilir ve bunu yapmaya devam edebilir.

Kendini adamış bir saldırgana karşı kurşun geçirmez bir korumanın olmadığı yaygın bir bilgiyse, güvenilir bir dahili saldırgan hayal edin. sysadmin ayrıcalıklarıyla.

Beehive gibi anormallik algılama sistemleri, çok sayıda veriyi araştırmayı ve şüpheli davranışları tespit etmeyi eskisinden daha kolay hale getiriyor. Bu, bir analistin daha alakalı verilere odaklanmasının, daha kısa sürede daha fazla veriyi işlemesinin ve ayrıca analiz için daha ayrıntılı girdi verilerini kullanmasının mümkün olduğu anlamına gelir. Bu şekilde, birinin istenmeyen davranışları tespit etme şansı öncekinden daha yüksektir.

Beehive makalesinde sistemin genellikle kullanılan sistemlerden daha fazla olay tespit edebileceği iddia ediliyor (ve bu iddiadan şüphe etmek için bir nedenim yok) - ancak sistemin her olayı tespit edebileceği iddia edilmiyor hatta tüm olayların ne kadarını algılayabildiği. Bu nedenle, diğer sistemler tüm olayların yalnızca% 10'unu ve Beehive% 20'sini tespit ediyor olabilir, bu iyi ama pek tatmin edici değil.

Böyle bir sistem Snowden gibi birini tespit edebilir mi? Bu, analiz için ne kadar, ne tür ve hangi ayrıntı verilerinin toplandığına, politika ihlallerinin günlüğe kaydedilebilmesi için mevcut güvenlik politikalarının ne kadar katı olduğuna ve ne kadar yasadışı olduğuna (NSA tarafından görüldüğü gibi) bağlıdır. Snowden'ın faaliyetleri, olağan iş faaliyetlerinden farklıydı. Ne kadar farklı olursa, anormallik tespit sistemi tarafından tespit edilmesi o kadar olasıdır. Ancak, günlüğe kaydedilen veriler açısından ne kadar benzer yasa dışı ve yasal faaliyetler olursa, yasa dışı faaliyetlerin anormallik olarak rapor edilmesi olasılığı o kadar azdır.

Başka bir deyişle: bazı Snowden türü eylemleri tespit etmeye yardımcı olabilir, ancak tüm Snowden türü eylemleri algılamayacaktır. Ve bu tür eylemleri önlemek daha da zor olacak, daha önceden bazı zararlar yapıldıktan sonra daha erken tespit edilecek ve bu da etkiyi sınırlayacak.

Snowden'ın amacı veri hırsızlığıydı ve kendisi aynı zamanda bir sistem yöneticisiydi. Bu nedenle, normal kullanıcıların erişemediği büyük miktarda veriye erişimi vardı ve ağ ile nasıl etkileşim kurduğuna dair farklı bir modele sahipti. Beehive yerinde olsaydı, bir şeyler yaptığını kaydetmiş olabilir, ancak veri hırsızlığı yapma niyeti olan herhangi biri uyarıları nasıl atlayacağını bilirdi: sistem eğitilmeye başladığından itibaren veri hırsızlığı modelinizi "normal" yapın ve anormal aktivite olarak işaretlenmez. Snowden, günde 16 GB'ı bir USB belleğe aktarabilirdi, ancak tekniklerinde ani bir değişiklik yapmadığı sürece Beehive onu işaretlemezdi.

Çalışıyorum. bu tür bir kalıbı algılamak için iş yerinde bazı özel yöntemler. Ancak şu anda iyi bir iş çıkaracak otomatikleştirilmiş hiçbir şey bilmiyorum.

Hayır olamaz.

Ve aldığınız alıntı, neden olmadığını ve insanların bunu yapabileceğini nasıl iddia ettiğini açıkça açıkladı.

Beehive'ın neler yapabileceğini size Snowden tarzı bir saldırının gerçekleştiğini söylemektir. (@ThoriumBR tarafından yapılan thoguh bile bir SNOWDEN engellenemezdi)

Sizin (veya o adamın) iddia ettiği şey, çok, çok farklı olan böyle bir saldırıyı ÖNLEYECEK. ve (belki, çok fazla okumadım) bunu bazı gelişmiş analizlerle birleştirerek. Bu, analiz ve işaretleme sisteminiz gerçek zamanlı olarak çalışsa bile muhtemelen çok geç olacağı anlamına gelir.

[Beehive'ın nereden geldiğini bir düşünün:

Şüpheli eylem -> güvenlik programı -> günlük -> arı kovanı verileri çıkarır -> arı kovanı analizi -> atılan bayrak -> müdahale?

Bu çok geç (ve günlüklerin gerçek zamanlı olarak değerlendirildiğini varsayar]

Günlükler, gerçek zamanlı müdahale değil, geriye dönük inceleme içindir.

Yapabileceğiniz şey, bir Herhangi bir eylem için sözde kayıt, Beehive tarafından analiz edildi ve yalnızca yeşil ışık yakıldığında eylem gerçekleştirildi. Muazzam ek yük ve fark edilir gecikme, bu yaklaşımı herhangi bir yönetici için gerçekten zor bir satış yapacaktır. [ayrıca, lo kullanmadan gs, ancak platformunuzda değerlendirme mekanizmaları oluşturmak çok daha iyi olurdu]

Her şeyden önce, "Snowden benzeri" bir oyuncuyu algılayabilmek ile birini engelleyebilmek arasında çok önemli bir ayrım vardır. Gördüğüm kadarıyla Beehive, birini engelleme konusunda hiçbir iddiada bulunmuyor, daha ziyade ağınızda şüpheli faaliyetlerin meydana geldiğine dair size uyarılar verme yeteneği vaat ediyor gibi görünüyor. Elbette, o kadar iyi değil, ama yine de bazı araştırma topluluklarında "kutsal kase" olarak görülüyor.

Bununla birlikte, Beehive'ın bu beklentileri karşılayabileceğinden son derece şüpheliyim. Makine öğrenimi, güvenilir kimliklerle büyük veri yığınlarından karmaşık kalıpları çıkarmada oldukça başarılı olabilir. Örneğin, kedi ve köpek resimleri arasında ayrım yapmak son derece güvenilirdir; hepimiz her zaman% 99 + yapabiliriz, ancak 100x100 piksel alıp kediyle köpeği belirlemek için kesin algoritmanın ne olduğunu söylemek zorunda kalsaydım, bunu nasıl yapacağım hakkında hiçbir fikrim yok. Ancak size bu tür 100.000 görüntüyü sağlayabilir ve makine öğrenimi yöntemlerinin ikisi arasında 100x100 piksel değerlerine dayalı olarak güvenilir bir şekilde ayrım yapan bir kural belirlemesine izin verebilirim. İşleri doğru yaparsam, makine öğrenimi tarafından oluşturulan kurallar, yeni verilerde çok büyük bir değişiklik olmayacağını varsayarak yeni kedi ve köpek resimleri üzerinde bile işe yaramalı (yani, eğitim verilerinde yalnızca laboratuvarları ve tekir kedileri kullandıysam, o zaman bir terrier tanımlamak için ... iyi şanslar). Bu ML'nin gücü.

"Şüpheli davranışı" belirlemek çok daha zor bir konudur. 100.000 onaylanmış kötü davranış örneğimiz yok ve gerçekten 100.000 onaylanmış iyi davranış örneğimiz bile yok! Daha da kötüsü, dün işe yarayan iyi bir makine öğrenimi yöntemi bugün işe yaramıyor; Fotoğraflardaki kedi ve köpeklerin aksine, düşmanlar sizi kandırmak için gerçekten çok uğraşıyorlar. Siber güvenlik için makine öğrenimi üzerinde çalışan tanıdığım çoğu kişi, tamamen otomatik tespit fikrinin şu anda kavrayamayacağımızı kabul etti, ancak belki de bir güvenlik analistinin defalarca yapması gereken çok özel, tekrarlayan görevleri otomatikleştirmek için araçlar geliştirebiliriz. böylece onları daha verimli hale getirir.

Bununla birlikte, Beehive'ın yazarları bu dersi atlamış ve bu sorunu çözdüklerini iddia etmiş görünüyorlar. Özellikle, önerdikleri yöntemlerin bir makine öğrenimi araştırmacısının denemeyi düşünebileceği ilk yöntem olduğu ve rutin olarak yararlı olmadığı gerekçesiyle reddedildiği göz önüne alındığında, performanstan çok şüpheliyim. Örneğin, günlüklerdeki aykırı değerleri belirlemek için PCA kullanılmasını önerirler. Bu ve bunun varyasyonları 100'lerce kez denendi ve sonuç her zaman, güvenlik analisti "otomatik algılamayı" kapatır çünkü o kadar çok yanlış pozitif alırlar ki bu, şundan çok daha fazla zamana mal olur kaydeder.

Elbette, tüm bu yöntemlerde şeytan, bu tür yöntemlerin ayrıntıları ve ayrıntıları yayınlanan çalışmalarda asla gerçekten ortaya çıkmaz ("sunucu günlüklerinde aykırı değerleri aramak için PCA kullandık" aşırı derecede belirsiz ifade). Kağıda yazılmayan yöntemlerini uygulamadan önce verileri çok zekice bir şekilde ön işlemeye sahip olmaları her zaman mümkündür. Ama sağ kolumla, Beehive'ın hiçbir kullanıcısının "Snowden benzeri" davranış ile gerçek zamanlı olarak bir ağın rakipsiz gerçek dünya kullanımı arasında güvenilir bir şekilde ayrım yapamayacağına dair bahse girmeye istekli olacağım.