Un operatore di backup avrà il permesso e gli indicatori comportamentali di qualcuno che sposta molti dati in giro. Come ogni amministratore di sistema in cui non esiste un operatore di backup dedicato.

Snowden era un amministratore di sistema. Conosceva tutti i protocolli di protezione in atto. Potrebbe semplicemente impersonare chiunque, da qualsiasi area, scaricare cose, impersonare il prossimo e continuare a farlo.

Se è risaputo che non esiste una protezione antiproiettile contro un aggressore dedicato, immagina un attaccante interno dedicato fidato con privilegi di amministratore di sistema.

I sistemi di rilevamento delle anomalie come Beehive rendono più semplice di prima scavare tra molti dati e rilevare comportamenti sospetti. Ciò significa che è possibile per un analista concentrarsi sui dati più rilevanti, elaborare più dati in un tempo più breve e utilizzare anche dati di input più dettagliati per l'analisi. In questo modo la possibilità è più alta rispetto a prima che qualcuno possa rilevare un comportamento indesiderato.

Si afferma (e non ho motivo di dubitare di questa affermazione) nel documento di Beehive che il sistema può rilevare più incidenti rispetto ai sistemi solitamente utilizzati, ma non è affermato che il sistema possa rilevare ogni incidente o anche quanti di tutti gli incidenti potrebbe rilevare. Pertanto, potrebbe essere che altri sistemi rilevano solo il 10% di tutti gli incidenti e Beehive rilevi il 20%, il che è buono ma non proprio soddisfacente.

Un sistema del genere potrebbe rilevare qualcuno come Snowden? Questo dipende molto da quanto e quale tipo e quali dettagli di dati vengono raccolti per l'analisi, quanto rigide sono le politiche di sicurezza esistenti in primo luogo in modo che le violazioni delle politiche possano essere registrate e quanto illegale (come visto dalla NSA) le attività di Snowden differivano dalla sua solita attività lavorativa. Più è diverso, più è probabile che possa essere rilevato dal sistema di rilevamento delle anomalie. Ma più attività illegali e legali sono simili in termini di dati registrati, meno è probabile che le attività illegali vengano segnalate come anomalie.

In altre parole: potrebbe aiutare a rilevare alcune azioni di tipo Snowden ma non rileverà tutte le azioni di tipo Snowden. E prevenire tali azioni sarebbe ancora più difficile, più probabile è una diagnosi più precoce dopo che un danno è già stato fatto, limitando così l'impatto.

L'intento di Snowden era l'esfiltrazione di dati ed era anche un amministratore di sistema. Quindi, aveva accesso a grandi quantità di dati che gli utenti normali non avevano e avrebbero avuto un modello diverso di come interagisce con la rete. Se Beehive fosse stato installato, potrebbe aver registrato che stava facendo qualcosa, ma chiunque abbia l'intenzione di esfiltrazione di dati avrebbe saputo come aggirare gli avvisi: rendi "normale" il tuo modello di esfiltrazione di dati dal momento in cui il sistema ha iniziato a essere addestrato e non sarebbe contrassegnata come attività anomala. Snowden avrebbe potuto scaricare 16 GB al giorno su una chiavetta USB, ma se non avesse apportato modifiche improvvise alle sue tecniche, Beehive non lo avrebbe segnalato.

Sto lavorando su alcuni modi personalizzati al lavoro per rilevare questo tipo di pattern. Ma al momento non conosco niente di automatizzato che possa fare un buon lavoro.

No, non può.

E la citazione che hai tirato ha spiegato chiaramente perché no e come le persone sono arrivate ad affermare che potrebbe farlo.

Cosa potrebbe essere in grado di fare Beehive non resta che dirti che ha avuto luogo un attacco in stile Snowden. (anche se con @ThoriumBR un SNOWDEN non sarebbe stato impedito)

Quello che tu (o quel ragazzo) affermi è che potrebbe PREVENIRE un simile attacco, che è molto, molto diverso. e (forse, non ho letto troppo) combinandola con alcune analisi avanzate. Ciò significa che anche se il tuo sistema di analisi e segnalazione è in esecuzione in tempo reale, probabilmente sarebbe troppo tardi.

[Immagina solo dove arriva Beehive:

Azione sospetta -> programma di sicurezza -> registro -> alveare estrae dati -> analisi alveare -> bandiera lanciata -> intervento?

Questo è troppo tardi (e si presume che i log vengano valutati in tempo reale]

I log servono per un'indagine retroattiva, non per un intervento in tempo reale.

Quello che potresti fare è produrre un pseudo-registro per qualsiasi azione, analizzalo da Beehive e solo dopo aver ricevuto il via libera l'azione viene eseguita. L'enorme overhead e il notevole ritardo renderebbero quell'approccio davvero difficile da vendere a qualsiasi manager. [anche, non usando lo gs ma incorporare meccanismi di valutazione nella tua piattaforma sarebbe molto meglio]

Prima di tutto, c'è una distinzione molto importante tra essere in grado di rilevare un attore "simile a Snowden" e essere in grado di prevenirne uno. Per quanto ho visto, Beehive non pretende di prevenirne uno, ma sembra piuttosto promettere la capacità di darti avvisi che si stanno verificando attività sospette nella tua rete. Certo, non così buono, ma ancora considerato un "Santo Graal" in alcune comunità di ricerca.

Detto questo, sono estremamente dubbioso che Beehive sia in grado di soddisfare queste aspettative. L'apprendimento automatico può fare abbastanza bene per estrarre modelli complessi da grandi pile di dati con identità affidabili. Ad esempio, la differenziazione tra immagini di cani e gatti è estremamente affidabile; possiamo farlo tutti il ​​99 +% delle volte, ma se dovessi dire qual è l'algoritmo esatto per prendere 100x100 pixel e determinare gatto vs cane, non ho idea di come lo farei. Ma posso fornirti 100.000 di tali immagini e lasciare che i metodi ML stabiliscano una regola che differenzia in modo affidabile tra i due in base ai valori di 100x100 pixel. Se faccio le cose per bene, le regole create da ML dovrebbero funzionare anche su nuove immagini di cani e gatti, presumendo che non ci siano cambiamenti enormi nei nuovi dati (cioè, se ho usato solo laboratori e gatti soriani nei dati di addestramento, allora prova a ottenere per identificare un terrier ... buona fortuna). Questa è la forza di ML.

Determinare il "comportamento sospetto" è una questione molto più difficile. Non abbiamo 100.000 campioni di cattivo comportamento confermato e non abbiamo nemmeno 100.000 campioni di buon comportamento confermato! Peggio ancora, quello che era un buon metodo ML che funzionava ieri non funziona oggi; a differenza dei cani e dei gatti nelle foto, gli avversari si sforzano di ingannarti. La maggior parte delle persone che conosco che lavorano su ML per la sicurezza informatica hanno accettato che l'idea di un rilevamento puramente automatizzato è al di fuori della nostra portata al momento, ma forse possiamo creare strumenti per automatizzare attività ripetitive molto specifiche che un analista della sicurezza deve svolgere più e più volte rendendoli così più efficienti.

Detto questo, gli autori di Beehive sembrano aver saltato quella lezione e affermano di aver risolto questo problema. Sono molto sospettoso delle prestazioni, soprattutto considerando che i metodi che suggeriscono sono i primi che un ricercatore di ML potrebbe pensare di provare e sono stati regolarmente rifiutati come non utili. Ad esempio, suggeriscono di utilizzare PCA per identificare i valori anomali nei log. Questo, e le sue variazioni, sono stati provati centinaia di volte e il risultato è sempre che l'analista della sicurezza disattiva il "rilevamento automatico" perché ottiene così tanti falsi positivi che costa molto più tempo di salva.

Ovviamente, in tutti questi metodi, il diavolo sono i dettagli e i dettagli di questi tipi di metodi non vengono mai realmente esposti nel lavoro pubblicato ("abbiamo usato PCA per cercare valori anomali nei log del server" è un dichiarazione estremamente vaga). È sempre possibile che abbiano un modo super intelligente di pre-elaborare i dati prima di applicare i loro metodi che non sono stati pubblicati sulla carta. Ma sarei disposto a scommettere sul mio braccio destro che nessun utente di Beehive sarà in grado di distinguere in modo affidabile tra il comportamento "simile a Snowden" e l'uso reale non antagonista di una rete in tempo reale.