Transcript
APTs: Sind gezielte Angriffe normal?
Jürgen Eckel
[email protected] Helene Hochrieser
[email protected]
Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen Prozessverhalten Merkmalsraum definieren
Motivation
© 2015 IKARUS Security Software GmbH
Das Ziel • Erkennung von APTs in Unternehmensnetzwerken • Wie ist ein APT strukturiert? a)
Cyber Kill Chain (Reconnaissance, Weaponization, Delivery, Expoitation, Installation, C&C, Action on Objectives) b) Intrusion Detection System I. II. III.
Preparation Intrusion Active Breach
(hours/months) (seconds) (months)
• Erkennung von aktiven Einbrüchen
© 2015 IKARUS Security Software GmbH
Wie wollen wir das erreichen? • Ungewöhnliches Verhalten innerhalb des Unternehmensnetzes erkennen • Konzeptionell Verschiedene Erkennungsarten a) Netzwerk b) Payload c) Endpoint
• Erkennung von Anomalien am Endpunkt (auch Netzwerkeinsicht) a) b) c) d)
Lernphase: was passiert im Unternehmen, was ist normal Aus Sicht der Betriebssysteme (Kernel) Keine reaktive Technologie Unterstützung von IoCs (keine Primärtechnologie)
© 2015 IKARUS Security Software GmbH
Konzeptioneller Aufbau
Erkennung
Applikations Server
Endpunkt © 2015 IKARUS Security Software GmbH
Endpunkt
Endpunkt
Endpoints Endpoints Endpoints Endpunkt
….
Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen Prozessverhalten
Merkmalsraum definieren
© 2015 IKARUS Security Software GmbH
1. Merkmalsraum definieren • Abbildung von Systemverhalten um Anomalien darin zu finden • Anormale Prozesse = neuartiges Verhalten in gewissem Zeitraum -> neue Applikationen / bekannte Applikationen verhalten sich untypisch • Wahl der Merkmale ist entscheidend!!! Beliebige Abbildung möglich – Anomalieerkennung funktioniert -> relevante Anomalien? -> Kontext für Anomalien definieren
© 2015 IKARUS Security Software GmbH
1.1 Anomalien • • • • •
Untypische Datenmengen werden übertragen Unübliche Zugriffe von außen (Remote to Local) Unübliche Zugriffe auf Ressourcen Nicht gewährte Rechte (User to Root) Abfrage unüblicher Infos / unüblicher Mengen an Infos
© 2015 IKARUS Security Software GmbH
1.2 Systemverhalten als Baum • • • • •
Prozessbäume mit Eltern-, Kindbeziehungen Inkl. Ressourcen: Registryeinträge, Dateien, Netzwerksockets, Imageloads Datenflüsse zwischen den Knoten -> Merkmale für die Anomalieerkennung? Gesamtbäume sehr umfangreich Merkmalsberechnung über ganze Bäume -> hohe Performanz erforderlich
© 2015 IKARUS Security Software GmbH
© 2015 IKARUS Security Software GmbH
Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen
Prozessverhalten
© 2015 IKARUS Security Software GmbH
2. Prozessverhalten im Zeitverlauf • Wie verhalten sich Prozesse im Zeitverlauf? • Wird die gesamte Prozessvergangenheit (alle Ereignisse) benötigt? • Zeitliche Betrachtung über Prozessbäume: Teilbäume? Einschränkung über Prozessterminierung? Entfernung alter Teilbäume?
© 2015 IKARUS Security Software GmbH
2.1 Prozesshierarchie im Zeitverlauf
© 2015 IKARUS Security Software GmbH
Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren?
Zeithorizont für sinnvolle Bewertungen
© 2015 IKARUS Security Software GmbH
3. Zeithorizont • “Concept drift” der Daten im Zeitverlauf: Normalverhalten ändert sich • Neues Verhalten sieht zu Beginn wie Rauschen aus • Modellierung benötigt “Gedächtnis” über die Zeit
© 2015 IKARUS Security Software GmbH
Welche Anomalien können gefunden werden?
Wie lässt sich anormales Verhalten extrahieren?
© 2015 IKARUS Security Software GmbH
4. Extraktion von anormalem Verhalten • Überwachte Verfahren schlechter geeignet: erfordern ständige “manuelle” (korrekte) Klassifikation von Trainingsdaten • Unüberwachte Methode: Clustering – Clustern von Streams: durchgehender Datenstrom im Zeitverlauf • Ermöglicht Anpassung an Veränderung
© 2015 IKARUS Security Software GmbH
4.1 Clustern von Streams 1. Herkömmliches Clustern im Merkmalsraum (zB…): Zusammenfassen der Datenpunkte zu Gruppen 2. Daraus: Clusterprofil als Basis 3. Nächster Zeitschritt: Daten einfügen in Profil – Profil anpassen 4. Neue Muster entstehen, alte verschwinden 5. “Starke” Muster sollen länger im Profil bleiben als “schwache”
© 2015 IKARUS Security Software GmbH
5. Anomalietypen Welche Typen können gefunden werden? • Punktanomalie: Einzelner Datenpunkt ist anormal im Merkmalsraum • Kontextuelle Anomalie: Email-Abruf-Häufigkeit für Benutzer A im Wochentagsvergleich – erhöhte Anzahl für bestimmte Benutzer am Sonntag untypisch -> Kontext in Merkmale abbilden • Kollektive Anomalie: Anomalien nur erkennbar über Beziehung zwischen Daten (zB zeitlich). Hat ein Merkmal sehr oft hintereinander den selben (unbedenklichen) Wert -> Bedenklich? > Abbildung der Beziehung notwendig -> Veränderung der Werte, Frequenz
© 2015 IKARUS Security Software GmbH
Zusammenfassung Herausforderungen: • Merkmalsraum definieren: Abbildung des Systemverhalten auf aussagekräftige Merkmale
• Betrachtung der Prozessvergangenheit
• Betrachtung der Systemvergangenheit -> Entwicklung eines Clusterprofils -> Extraktion von anormalem Verhalten © 2015 IKARUS Security Software GmbH
Sind APTs normal? • Oberflächliche Betrachtung von APTs kann normales Verhalten zeigen • Betrachtungsweise aus dem richtigen Blickwinkel macht sie sichtbar
© 2015 IKARUS Security Software GmbH
Thank you. Questions?
© 2015 IKARUS Security Software GmbH
