Operator kopii zapasowej będzie miał pozwolenie i znaczniki behawioralne osoby, która przenosi dużo danych. Jak każdy administrator systemu, w którym nie ma dedykowanego operatora kopii zapasowych.

Snowden był administratorem systemu. Znał wszystkie obowiązujące protokoły ochronne. Mógłby po prostu podszywać się pod kogokolwiek z dowolnego obszaru, pobierać rzeczy, podszywać się pod następne i robić to dalej.

Jeśli powszechnie wiadomo, że nie ma kuloodpornej ochrony przed dedykowanym napastnikiem, wyobraź sobie zaufanego wewnętrznego, dedykowanego napastnika z uprawnieniami administratora systemu.

Systemy wykrywania anomalii, takie jak Beehive, ułatwiają przeszukiwanie dużej ilości danych i wykrywanie podejrzanych zachowań. Oznacza to, że analityk może skupić się na bardziej istotnych danych, przetworzyć więcej danych w krótszym czasie, a także wykorzystać bardziej szczegółowe dane wejściowe do analizy. W ten sposób szansa jest większa niż wcześniej, że ktoś może wykryć niepożądane zachowanie.

Twierdzono (i nie mam powodu wątpić w to twierdzenie) w artykule Beehive, że system może wykryć więcej incydentów niż zwykle używane systemy - ale nie twierdzi się, że system może wykryć każdy incydent lub nawet ile wszystkich incydentów może wykryć. Dlatego może się zdarzyć, że inne systemy wykrywają tylko 10% wszystkich incydentów, a Beehive wykrywa 20%, co jest dobre, ale niezbyt zadowalające.

Czy taki system może wykryć kogoś takiego jak Snowden? Zależy to w dużej mierze od tego, ile i jakiego rodzaju i jakie szczegóły danych gromadzimy do analizy, jak rygorystyczne są istniejące polityki bezpieczeństwa, aby można było rejestrować naruszenia zasad, oraz ile nielegalnych (według NSA) działalność Snowdena różniła się od jego zwykłej pracy. Im bardziej się różni, tym większe prawdopodobieństwo, że zostanie wykryty przez system wykrywania anomalii. Ale im więcej podobnych nielegalnych i legalnych działań jest pod względem zarejestrowanych danych, tym mniejsze jest prawdopodobieństwo, że nielegalne działania zostaną zgłoszone jako anomalia.

Innymi słowy: może pomóc wykryć niektóre akcje typu Snowden, ale nie wykryje wszystkich akcji typu Snowden. Zapobieganie takim działaniom byłoby jeszcze trudniejsze, bardziej prawdopodobne jest wczesne wykrycie po wyrządzeniu szkody, a tym samym ograniczenie wpływu.

Zamiarem Snowdena było eksfiltracja danych, a także był administratorem systemu. Miał więc dostęp do dużych ilości danych, których zwykli użytkownicy nie mieli i miałby inny wzorzec interakcji z siecią. Jeśli Beehive był na miejscu, mógł zarejestrować, że coś robi, ale każdy, kto ma zamiar eksfiltrować dane, wiedziałby, jak ominąć ostrzeganie: spraw, aby wzorzec eksfiltracji danych był „normalny” od momentu rozpoczęcia szkolenia systemu i nie zostanie oflagowany jako aktywność anomalna. Snowden mógł mieć wzór zrzucania 16 GB dziennie na pendrive'a USB, ale dopóki nie zmieniłby nagle swoich technik, Beehive by go nie zgłosił.

Pracuję na temat niestandardowych sposobów wykrywania tego rodzaju wzorców w pracy. Ale w tej chwili nie znam niczego zautomatyzowanego, co wykonałoby dobrą robotę.

Nie, nie może.

A cytat, który podałeś, jasno wyjaśnił, dlaczego nie, i jak ludzie zaczęli twierdzić, że może.

Co może być w stanie Beehive mówi, że miał miejsce atak w stylu Snowdena. (nawet jeśli @ThoriumBR nie zapobiegłby SNOWDEN'owi)

Ty (lub ten facet) twierdzisz, że może ZAPOBIEC takiemu atakowi, co jest o wiele, bardzo różne. i (być może nie czytałem zbyt wiele), łącząc to z zaawansowaną analizą, co oznacza, że ​​nawet jeśli Twój system analizy i oznaczania flag działa w czasie rzeczywistym, prawdopodobnie byłoby za późno.

[Wyobraź sobie, gdzie wkracza Ul:

Podejrzana akcja -> program bezpieczeństwa -> log -> ul wyciąga dane -> analiza ula -> rzucona flaga -> interwencja?

To jest zbyt późno (i zakłada się, że dzienniki są oceniane w czasie rzeczywistym]

Dzienniki służą do wstecznego dochodzenia, a nie do interwencji w czasie rzeczywistym.

Co możesz zrobić, to stworzyć pseudo-log dla dowolnej akcji, przeanalizuj go przez Beehive i dopiero po zapaleniu się zielonego światła akcja zostanie wykonana. Ogromne obciążenie i zauważalne opóźnienie sprawiłyby, że takie podejście byłoby naprawdę trudne do sprzedania każdemu menedżerowi. [również, nie używając lo gs, ale wbudowane mechanizmy oceny na platformie byłyby znacznie lepsze]

Przede wszystkim istnieje bardzo ważna różnica między możliwością wykrycia aktora podobnego do Snowdena a możliwością zapobieżenia mu. O ile widziałem, Beehive nie twierdzi, że zapobiega temu, ale raczej obiecuje możliwość wysyłania alertów, że w Twojej sieci ma miejsce podejrzana aktywność. Jasne, nie tak dobre, ale w niektórych społecznościach badawczych nadal uważane za „świętego Graala”.

Mając to na uwadze, bardzo wątpię, czy Beehive jest w stanie spełnić te oczekiwania. Uczenie maszynowe może całkiem nieźle radzić sobie z wyodrębnianiem złożonych wzorców z dużych stosów danych z niezawodnymi tożsamościami. Na przykład rozróżnianie zdjęć kotów i psów jest niezwykle wiarygodne; wszyscy możemy to zrobić w 99 +% przypadków, ale gdybym musiał powiedzieć, jaki jest dokładny algorytm pobierania w rozdzielczości 100x100 pikseli i określania kota vs psa, nie mam pojęcia, jak bym to zrobił. Mogę jednak dostarczyć 100 000 takich obrazów i pozwolić metodom ML opracować regułę, która niezawodnie rozróżnia te dwa obrazy na podstawie wartości 100x100 pikseli. Jeśli zrobię wszystko dobrze, reguły stworzone przez ML powinny działać nawet na nowych obrazach kotów i psów, zakładając brak dużych zmian w nowych danych (tj. Jeśli w danych treningowych korzystałem tylko z laboratoriów i pręgowanych kotów, to spróbuj uzyskać aby zidentyfikować teriera ... powodzenia). To jest siła ML.

Określenie „podejrzanego zachowania” jest znacznie trudniejszym problemem. Nie mamy 100 000 próbek potwierdzonego złego zachowania, a tak naprawdę nie mamy nawet 100 000 próbek potwierdzonego dobrego zachowania! Co gorsza, to, co było dobrą metodą ML, która działała wczoraj, dziś nie działa; w przeciwieństwie do kotów i psów na zdjęciach, przeciwnicy bardzo się starają cię oszukać. Większość osób, które znam, pracując nad ML dla cyberbezpieczeństwa, zgodziło się, że idea czysto zautomatyzowanego wykrywania jest obecnie poza naszym zasięgiem, ale być może możemy zbudować narzędzia do automatyzacji bardzo konkretnych, powtarzalnych zadań, które analityk bezpieczeństwa musi wykonywać w kółko dzięki czemu są bardziej wydajne.

Wydaje się, że autorzy Beehive pominęli tę lekcję i twierdzą, że rozwiązali ten problem. Jestem wysoce podejrzliwy w stosunku do wyników, zwłaszcza biorąc pod uwagę, że metody, które sugerują, są pierwszymi, które badacz ML może pomyśleć, i są rutynowo odrzucane jako nieprzydatne. Na przykład sugerują użycie PCA do identyfikacji wartości odstających w dziennikach. To i jego odmiany były wypróbowywane setki razy, w wyniku czego analityk bezpieczeństwa zawsze wyłącza „automatyczne wykrywanie”, ponieważ otrzymuje tak wiele fałszywych alarmów, że kosztuje to dużo więcej czasu niż to oszczędza.

Oczywiście we wszystkich tych metodach diabeł tkwi w szczegółach, a szczegóły tego typu metod nigdy nie są ujawniane w opublikowanych pracach („użyliśmy PCA do wyszukania wartości odstających w dziennikach serwera”) skrajnie niejasne stwierdzenie). Zawsze jest możliwe, że mają jakiś super sprytny sposób na wstępne przetwarzanie danych przed zastosowaniem swoich metod, które nie znalazły się na papierze. Ale byłbym gotów założyć się o moją prawą rękę, że żaden użytkownik Beehive nie będzie w stanie w sposób wiarygodny rozróżnić zachowań „podobnych do Snowdena” od niekonkurencyjnego wykorzystania sieci w rzeczywistym świecie w czasie rzeczywistym.