¿Aplicaciones de probabilidad / estadísticas en la seguridad de TI?

Varias áreas usan medios estadísticos y teoría de probabilidad.

• La Detección de intrusiones ya fue mencionada
• Usted menciona las huellas dactilares SSH, que se refieren al gran campo del análisis de tráfico. Hubo un documento en Oakland Security & La privacidad de este año es donde usan esto para descifrar VoIP encriptado.
• Otro aspecto es el análisis de canal lateral, donde usted prueba un sistema y mide el tiempo, etc. para inferir secretos basados en patrones estadísticos. Puede atacar tarjetas inteligentes, servicios de autenticación remota o el cifrado que se ejecuta en una máquina virtual al lado de la suya en la nube, deduciendo la clave secreta del tiempo de caché.
• La teoría de la probabilidad también se usa en sistemas de reputación, por ejemplo, p2p compartiendo sistemas o al diseñar un protocolo de enrutamiento basado en reputación para redes de sensores. Asigna confianza como una probabilidad / estimación de que otro dispositivo se comportará como se espera y modifica ese valor en función de diferentes clases de información, como recomendaciones o acciones observadas.
• También existe el campo (menor) de desarrollo de métricas para la seguridad. Los documentos de la conferencia metricon pueden darle una impresión en esa área. Miden los procedimientos de seguridad o programas específicos utilizando análisis estadístico y teoría de probabilidad para estimar resultados futuros.

Addendum: si está preguntando sobre futuros campos de trabajo en seguridad, pero no tiene experiencia en seguridad, le recomendaría el campo de administración de confianza y sistemas de reputación. Es fácil entrar en este tema bastante activo y muchas de las obras existentes son bastante adhoc. Respecto a las otras opciones ... el análisis del tráfico es muy antiguo. Algunos grandes ataques son posibles, pero no hay mucho espacio para una investigación sustancial. Es similar para los ataques de canal lateral, excepto en el área de ataques de hardware. Puede encontrar puestos de investigación y empleos en la industria allí, pero también necesita grandes habilidades en ingeniería eléctrica. Para Crypto, necesitas muy buenas habilidades matemáticas y hay pocas posiciones fuera de la investigación. La investigación de IDS está casi muerta, pero la industria de IDS está prosperando (como los antivirus). Sin embargo, no estoy seguro de si necesitan desarrolladores dedicados para sus evaluaciones estadísticas, creo que prefieren llevar a personas con experiencia sólida en seguridad de redes y sistemas.

Los sistemas de detección de intrusiones son un ajuste natural para las estadísticas.

Un ejemplo interesante que he encontrado:

En las IDS basadas en host, realice un seguimiento y analice estadísticamente las llamadas al sistema de una aplicación. Un enfoque interesante es agrupar las llamadas del sistema en pares, triples, etc. y luego observar su comportamiento cuando la aplicación encuentra un ataque.

Echa un vistazo a esto:

P. Astithas, V. Pappas, B. Maglaris, "Detección de intrusiones mediante procesos de monitoreo del sistema", en las Actas del 8º Taller Plenario de HPOVUA sobre Gestión de Redes y Sistemas, Berlín, Alemania, junio de 2001 . (es un archivo postscript)

También puede encontrar un interesante trabajo de análisis realizado con redes de alta velocidad donde los procesadores de red especializados capturan enormes cantidades de tráfico. En teoría, dicho análisis puede revelar ataques DDoS en curso y ser utilizado para implementar el filtrado dinámico.

También sugiero echar un vistazo a ideas interesantes en los procedimientos de RAID, el Simposio Internacional sobre Avances Recientes en Detección de Intrusos . Por lo que he visto mucho, está disponible en línea con acceso gratuito

Además de las cosas que otros han mencionado, otra área de cierta importancia para la seguridad (en términos de estadísticas) son las probabilidades generales. Por ejemplo, calcular la cantidad de contraseñas posibles de cierta longitud para crear un 'tamaño de clave' que tendría que ser iterado en un ataque de fuerza bruta. También puede modelar la probabilidad de que las personas elijan ciertas contraseñas sobre otras y, por lo tanto, hagan que su método de "fuerza bruta" sea más eficiente que la simple iteración. ES DECIR. la probabilidad de que las personas utilicen una contraseña que sea un nombre propio (o solo una palabra en inglés en general) y luego, posiblemente, seguido de algunos números, sobre una contraseña verdaderamente "aleatoria".     

La criptografía necesita muchas estadísticas. Desde la edad media (¿y antes?) El cifrado se ha roto por medios estadísticos.

Ahora, sus necesidades en el generador de números pseudoaleatorios deben ajustarse a la distribución estadística. Función de hashing que debe cumplir con algunas reglas.

También el análisis de esteganografía utiliza herramientas estadísticas para construir Oracle para determinar si algún contenido contiene información secreta o no.

La detección de comportamientos anormales también es un tema muy bueno, no solo para la detección de intrusiones, sino también para la detección de robos, la mitigación del terrorismo, etc.

Consulte Técnicas estadísticas para la seguridad de la red: detección y protección modernas de intrusiones con base estadística
enlace

La detección de anomalías es un problema difícil dado que los algoritmos a menudo se combinan de diferentes maneras para detectar diferentes tipos de anomalías. Los flujos masivos de datos agrupados y fragmentados (por ejemplo, xflows, alertas IDS, alertas HIDS, alertas modsec) significan grandes cantidades de permutaciones y grandes oportunidades.

Puedes pensar en convertirte en profesional con las habilidades de aprendizaje automático :

De wikipedia:

  

"El aprendizaje automático, una rama de la inteligencia artificial, es una disciplina científica relacionada con el diseño y el desarrollo de algoritmos que permiten a las computadoras desarrollar comportamientos basados en datos empíricos"

Muchas compañías de seguridad intentan mezclar y combinar técnicas de aprendizaje automático para mejorar sus productos.

Realizar una búsqueda en Amazon revela libros adicionales, por ejemplo:
Aprendizaje automático y minería de datos para la seguridad informática: métodos y aplicaciones
enlace

Además, hay literalmente cientos de artículos de investigación disponibles sobre estadísticas / probabilidad / aprendizaje automático aplicados a la seguridad.

Algunos ya han sido mencionados:

• IDS
• Criptoanálisis
• Criptografía (2 ángulos diferentes)
• Fuerza de la contraseña y otras métricas

Algunos que aún no se han mencionado:

• SIEM / SOC - analizando y corrolando registros y alertas
• WAF (servidor de seguridad de aplicación web): dado que la configuración de estos sistemas es una verdadera bestia, la mayoría de los WAF comerciales modernos han incorporado el modo de aprendizaje automático. basado en el análisis de comportamiento
• Comportamiento biometría - p. ej. su forma de andar, sus patrones de habla, sus movimientos, cómo escribe ... y, en menor medida, otros "regulares "biometría, también.
• sistemas de autenticación "basados en riesgos", como por ejemplo, éste .
• Análisis de fraude : este es uno importante.