¿Puede Beehive detectar a un actor como el de Snowden?

Un operador de respaldo tendrá el permiso y los marcadores de comportamiento de alguien que mueve muchos datos. Como cualquier administrador de sistemas donde no hay un operador de copia de seguridad dedicado en su lugar.

Snowden era un administrador de sistemas. Él sabría todos los protocolos de protección en su lugar. Podría simplemente hacerse pasar por cualquier persona, desde cualquier área, descargar cosas, hacerse pasar por la siguiente y seguir haciendo eso.

Si se sabe que no hay protección antibalas contra un atacante dedicado, imagine un atacante interno de confianza con privilegios de administrador de sistemas.

Los sistemas de detección de anomalías como Beehive hacen más fácil que antes investigar muchos datos y detectar comportamientos sospechosos. Esto significa que es posible que un analista se centre en los datos más relevantes, procese más datos en menos tiempo y también utilice datos de entrada más detallados para el análisis. De esta manera, la posibilidad es mayor que antes de que alguien pueda detectar un comportamiento no deseado.

Se afirma (y no tengo ninguna razón para dudar de esta afirmación) en el documento de Beehive que el sistema puede detectar más incidentes que los sistemas que se utilizan habitualmente, pero no se afirma que el sistema pueda detectar cada incidente o incluso cuánto. De todos los incidentes que pudo detectar. Por lo tanto, podría ser que otros sistemas solo detecten el 10% de todos los incidentes y Beehive detecte el 20%, lo cual es bueno pero no es realmente satisfactorio.

¿Podría un sistema así detectar a alguien como Snowden? Esto depende en gran medida de cuánto y qué tipo y qué detalles de los datos se recopilan para el análisis, qué tan estrictas son las políticas de seguridad existentes en primer lugar para que se puedan registrar las infracciones de las políticas y cuán ilegales (como lo ve la NSA) Las actividades de Snowden diferían de su actividad laboral habitual. Cuanto más difiere, más probable es que pueda ser detectado por un sistema de detección de anomalías. Pero cuanto más similares sean las actividades ilegales y legales en términos de los datos registrados, menos probable es que las actividades ilegales se reporten como anomalías.

En otras palabras: podría ayudar a detectar algunas acciones de tipo Snowden pero no detectará todas las acciones de tipo Snowden. Y la prevención de tales acciones sería aún más difícil, lo más probable es que se detecte más temprano después de que se haya producido algún daño y, por lo tanto, se limite el impacto.

La intención de Snowden era la exfiltración de datos y también era administrador del sistema. Por lo tanto, tenía acceso a grandes cantidades de datos que los usuarios normales no tenían y tendrían un patrón diferente de cómo interactúa con la red. Si Beehive estaba en su lugar, es posible que haya registrado que estaba haciendo algo, pero cualquiera que tenga la intención de realizar una exfiltración de datos sabría cómo evitar las alertas: haga que su patrón de exfiltración de datos sea "normal" desde el momento en que el sistema comenzó a entrenarse. y no se marcaría como actividad anómala. Snowden podría haber tenido un patrón de descargar 16 GB por día en un dispositivo USB, pero mientras no hiciera un cambio repentino en sus técnicas, Beehive no lo habría marcado.

Estoy trabajando en algunas formas personalizadas en el trabajo para detectar este tipo de patrón. Pero, en este momento, no conozco nada automatizado que haga un buen trabajo.

No, no puede.

Y la cita que sacaste explica claramente por qué no, y cómo la gente llegó a afirmar que podía hacerlo.

Lo que Beehive podría hacer es decirte que se ha producido un ataque al estilo Snowden. (incluso si thoguh goin by @ThoriumBR un SNOWDEN no hubiera sido prevenido)

Lo que tú (o ese tipo) afirma es que podría EVITAR tal ataque, que es muy, muy diferente. Beehive está rastreando los registros y (quizás, no leyó demasiado) combinando eso con un análisis avanzado. Lo que significa que incluso si su sistema de análisis y marcado se ejecuta en tiempo real, probablemente sea demasiado tarde.

[Solo imagina donde entra Beehive:

Acción sospechosa - > programa de seguridad - > registro - > colmena extrae datos - > análisis de la colmena - > bandera lanzada - > intervención?

Esto es demasiado tarde (y asume que los registros se evalúan en tiempo real)

Los registros son para investigación retroactiva, no para intervención en tiempo real.

Lo que podría hacer es producir un pseudo-registro para cualquier acción, haga que lo analice Beehive y solo cuando esté iluminado en verde se ejecutará la acción. Sin embargo, la enorme sobrecarga y el notable retraso harían que ese enfoque fuera realmente difícil de vender para cualquier gerente. [además, no sería mucho mejor utilizar los registros pero construir mecanismos de evaluación en su plataforma]

En primer lugar, hay una distinción muy importante entre ser capaz de detectar un actor "parecido a Snowden" y ser capaz de prevenir uno. Por lo que he visto, Beehive no hace ninguna reclamación sobre la prevención de una, sino que parece prometer la capacidad de avisarte de que está ocurriendo una actividad sospechosa en tu red. Claro, no tan bueno, pero todavía se considera un "santo grial" en algunas comunidades de investigación.

Dicho esto, tengo extremadamente dudas de que Beehive pueda cumplir esas expectativas. El aprendizaje automático puede hacer bastante bien en la extracción de patrones complejos de grandes pilas de datos con identidades confiables. Por ejemplo, diferenciar entre imágenes de perros y gatos es extremadamente confiable; todos podemos hacerlo el 99% de las veces, pero si tuviera que decir cuál es el algoritmo exacto para captar 100x100 píxeles y determinar gato contra perro, no tengo idea de cómo haría eso. Pero puedo proporcionarle 100.000 imágenes de este tipo y dejar que los métodos de ML resuelvan una regla que diferencie de forma fiable entre las dos en función de los valores de 100x100 píxeles. Si hago las cosas bien, las reglas creadas por ML incluso deberían funcionar en nuevas imágenes de gatos y perros, asumiendo que no hay grandes cambios en los nuevos datos (es decir, si solo uso laboratorios y gatos atigrados en los datos de entrenamiento, luego intente obtener para identificar a un terrier ... buena suerte). Esa es la fuerza de ML

Determinar el "comportamiento sospechoso" es un tema mucho más difícil. ¡No tenemos 100.000 muestras de mal comportamiento confirmado, y ni siquiera tenemos 100.000 muestras de buen comportamiento confirmado! Peor aún, lo que fue un buen método de ML que funcionó ayer no funciona hoy; a diferencia de los gatos y los perros en las fotos, los adversarios realmente intentan engañarte. La mayoría de las personas que conozco que trabajan en ML para seguridad cibernética han aceptado que la idea de detección puramente automatizada está fuera de nuestro alcance en este momento, pero tal vez podamos crear herramientas para automatizar tareas repetitivas muy específicas que un analista de seguridad necesita hacer una y otra vez. Haciéndolos así más eficientes.

Dicho esto, los autores de Beehive parecen haberse saltado esa lección y afirman que han resuelto este problema. Sospecho mucho del rendimiento, especialmente dado que los métodos que sugieren son los primeros que un investigador de ML podría pensar en probar y que han sido rechazados de forma rutinaria por no ser útiles. Por ejemplo, sugieren utilizar PCA para identificar valores atípicos en los registros. Esto, y sus variaciones, se han intentado cientos de veces y el resultado siempre es que el analista de seguridad apaga la "detección automatizada" porque obtiene tantos falsos positivos que cuesta mucho más tiempo que ahorra.

Por supuesto, en todos estos métodos, el diablo es los detalles y los detalles de estos tipos de métodos nunca se exponen en el trabajo publicado ("usamos PCA para buscar valores atípicos en los registros del servidor" es un extremadamente declaración vaga). Siempre es posible que tengan alguna forma super inteligente de preprocesar los datos antes de aplicar sus métodos que no se incluyeron en el papel. Pero estaría dispuesto a apostar con mi brazo derecho a que ningún usuario de Beehive podrá diferenciar de manera confiable entre el comportamiento "como el de Snowden" y el uso real no adversario de una red en tiempo real.