Vortragsfolien

APTs: Sind gezielte Angriffe normal?
Jürgen Eckel
[email protected]
Helene Hochrieser
[email protected]
Welche Anomalien können gefunden werden?
Wie lässt sich anormales Verhalten extrahieren?
Zeithorizont für sinnvolle Bewertungen
Prozessverhalten
Merkmalsraum definieren
Motivation
© 2015 IKARUS Security Software GmbH
Das Ziel
• Erkennung von APTs in Unternehmensnetzwerken
• Wie ist ein APT strukturiert?
a)
Cyber Kill Chain (Reconnaissance, Weaponization, Delivery,
Expoitation, Installation, C&C, Action on Objectives)
b) Intrusion Detection System
I.
II.
III.
Preparation
Intrusion
Active Breach
(hours/months)
(seconds)
(months)
• Erkennung von aktiven Einbrüchen
© 2015 IKARUS Security Software GmbH
Wie wollen wir das erreichen?
• Ungewöhnliches Verhalten innerhalb des Unternehmensnetzes erkennen
• Konzeptionell Verschiedene Erkennungsarten
a) Netzwerk
b) Payload
c) Endpoint
• Erkennung von Anomalien am Endpunkt (auch Netzwerkeinsicht)
a)
b)
c)
d)
Lernphase: was passiert im Unternehmen, was ist normal
Aus Sicht der Betriebssysteme (Kernel)
Keine reaktive Technologie
Unterstützung von IoCs (keine Primärtechnologie)
© 2015 IKARUS Security Software GmbH
Konzeptioneller Aufbau
Erkennung
Applikations Server
Endpunkt
© 2015 IKARUS Security Software GmbH
Endpunkt
Endpunkt
Endpoints
Endpoints
Endpoints
Endpunkt
….
Welche Anomalien können gefunden werden?
Wie lässt sich anormales Verhalten extrahieren?
Zeithorizont für sinnvolle Bewertungen
Prozessverhalten
Merkmalsraum definieren
© 2015 IKARUS Security Software GmbH
1. Merkmalsraum definieren
• Abbildung von Systemverhalten um Anomalien
darin zu finden
• Anormale Prozesse = neuartiges Verhalten in
gewissem Zeitraum -> neue Applikationen /
bekannte Applikationen verhalten sich untypisch
• Wahl der Merkmale ist entscheidend!!! Beliebige
Abbildung möglich – Anomalieerkennung
funktioniert -> relevante Anomalien?
-> Kontext für Anomalien definieren
© 2015 IKARUS Security Software GmbH
1.1 Anomalien
•
•
•
•
•
Untypische Datenmengen werden übertragen
Unübliche Zugriffe von außen (Remote to Local)
Unübliche Zugriffe auf Ressourcen
Nicht gewährte Rechte (User to Root)
Abfrage unüblicher Infos / unüblicher Mengen an Infos
© 2015 IKARUS Security Software GmbH
1.2 Systemverhalten als Baum
•
•
•
•
•
Prozessbäume mit Eltern-, Kindbeziehungen
Inkl. Ressourcen: Registryeinträge, Dateien, Netzwerksockets, Imageloads
Datenflüsse zwischen den Knoten -> Merkmale für die Anomalieerkennung?
Gesamtbäume sehr umfangreich
Merkmalsberechnung über ganze Bäume -> hohe Performanz erforderlich
© 2015 IKARUS Security Software GmbH
© 2015 IKARUS Security Software GmbH
Welche Anomalien können gefunden werden?
Wie lässt sich anormales Verhalten extrahieren?
Zeithorizont für sinnvolle Bewertungen
Prozessverhalten
© 2015 IKARUS Security Software GmbH
2. Prozessverhalten im Zeitverlauf
• Wie verhalten sich Prozesse im Zeitverlauf?
• Wird die gesamte Prozessvergangenheit (alle Ereignisse) benötigt?
• Zeitliche Betrachtung über Prozessbäume: Teilbäume? Einschränkung über
Prozessterminierung? Entfernung alter Teilbäume?
© 2015 IKARUS Security Software GmbH
2.1 Prozesshierarchie im Zeitverlauf
© 2015 IKARUS Security Software GmbH
Welche Anomalien können gefunden werden?
Wie lässt sich anormales Verhalten extrahieren?
Zeithorizont für sinnvolle Bewertungen
© 2015 IKARUS Security Software GmbH
3. Zeithorizont
• “Concept drift” der Daten im Zeitverlauf: Normalverhalten ändert sich
• Neues Verhalten sieht zu Beginn wie Rauschen aus
• Modellierung benötigt “Gedächtnis” über die Zeit
© 2015 IKARUS Security Software GmbH
Welche Anomalien können gefunden werden?
Wie lässt sich anormales Verhalten extrahieren?
© 2015 IKARUS Security Software GmbH
4. Extraktion von anormalem Verhalten
• Überwachte Verfahren schlechter geeignet: erfordern ständige “manuelle”
(korrekte) Klassifikation von Trainingsdaten
• Unüberwachte Methode: Clustering – Clustern von Streams: durchgehender
Datenstrom im Zeitverlauf
• Ermöglicht Anpassung an Veränderung
© 2015 IKARUS Security Software GmbH
4.1 Clustern von Streams
1. Herkömmliches Clustern im
Merkmalsraum (zB…): Zusammenfassen
der Datenpunkte zu Gruppen
2. Daraus: Clusterprofil als Basis
3. Nächster Zeitschritt: Daten einfügen in
Profil – Profil anpassen
4. Neue Muster entstehen, alte
verschwinden
5. “Starke” Muster sollen länger im Profil
bleiben als “schwache”
© 2015 IKARUS Security Software GmbH
5. Anomalietypen
Welche Typen können gefunden werden?
• Punktanomalie: Einzelner Datenpunkt ist anormal im
Merkmalsraum
• Kontextuelle Anomalie: Email-Abruf-Häufigkeit für Benutzer A im
Wochentagsvergleich – erhöhte Anzahl für bestimmte Benutzer
am Sonntag untypisch -> Kontext in Merkmale abbilden
• Kollektive Anomalie: Anomalien nur erkennbar über Beziehung
zwischen Daten (zB zeitlich). Hat ein Merkmal sehr oft
hintereinander den selben (unbedenklichen) Wert -> Bedenklich? > Abbildung der Beziehung notwendig -> Veränderung der Werte,
Frequenz
© 2015 IKARUS Security Software GmbH
Zusammenfassung
Herausforderungen:
• Merkmalsraum definieren: Abbildung des Systemverhalten auf
aussagekräftige Merkmale
• Betrachtung der Prozessvergangenheit
• Betrachtung der Systemvergangenheit
-> Entwicklung eines Clusterprofils
-> Extraktion von anormalem Verhalten
© 2015 IKARUS Security Software GmbH
Sind APTs normal?
• Oberflächliche Betrachtung von APTs kann normales Verhalten zeigen
• Betrachtungsweise aus dem richtigen Blickwinkel macht sie sichtbar
© 2015 IKARUS Security Software GmbH
Thank you.
Questions?
© 2015 IKARUS Security Software GmbH

Download Report