Search

Nästa generations intrångsdetektering

man-tittar-pa-data

Nästa generations intrångsdetektering

Datavetenskap står för en förändring i grunden av säkerhet och intrångsdetektering. Till skillnad från ett signaturbaserat tillvägagångssätt som ger en 1-till-1-analys av hot och motåtgärder, använder datavetenskap kollektivt lärande av alla hot som observerats tidigare för att proaktivt identifiera nya som inte har setts tidigare.

På lång sikt är det viktigt att förstå vad, när, varför och hur. Faktisk kunskap och intelligens är mycket mer fördelaktigt när man utvärderar och löser nya problem som man inte har stött på tidigare.

Detta är en kritiskt viktig distinktion när man använder datavetenskap för att upptäcka hot. För att den traditionella modellen ska fungera måste alla svar vara kända i förväg. Till exempel har domänen ACME.com setts bete sig dåligt tidigare, därför är det dåligt.

Datavetenskap förväntar sig att det ställs riktiga frågor och tillämpar kollektivt lärande för att utvärdera det okända.

Många leverantörer slänger sig med begreppen ML och AI, så låt oss gräva i, hur det är annorlunda och varför det betyder något.

 

En traditionell metod för intrångsdetektering

De flesta lösningar behandlar upptäckter av incidenter som ett datavetenskapligt problem. Ta exempelvis nätverksattribut för att kontrollera anslutningar eller datavolymer, hitta ett “normalläge” och flagga utifrån det sedan allt “annorlunda” som en avvikelse.

Tanken är att angripare kommer att bete sig annorlunda, så avvikelserna kommer att hitta dem.

Grundtanken är bra men det finns två problem som gör att detta misslyckas i praktiken:

Det finns många aktiviteter i företagsnätverk som observeras. Tillvägagångssättet slutar med nålar i en stor höstack, där sedan analytikerna får försöka hitta den specifika nålen.

Om du observerade en användare i 30 dagar, hur troligt är det att du kan förutsäga vad de kommer att göra den 31: e dagen? Låt oss vara generösa och säga sannolikheten är 95%. Så för varje 10.000 användare kommer du att ha 500 stycken som agerar konstigt på en given dag. Det kan vara något så enkelt som att en person istället för att vara på kontoret arbetar hemifrån dag 31.

Det kommer att ge riktiga larm och väldigt många falska larm. I stället är det bäst att tillsammans identifiera risker, vilka data som behövs för att upptäcka potentiella hot, samt samla in relevanta data och bygga användningsfall kring dessa. Det ger en hög grad av upptäckt med väldigt få falska larm.

Just falska larm är ett stort problem när man arbetar med att upptäcka hot. Anledningen är inte bara att det kostar en massa tid och pengar att undersöka dessa, utan även det större problemet att riktigt farliga hot kan drunkna bland alla falska larm. Detta finns det ett rad exempel på i stora kända säkerhetsincidenter, där det drabbade företaget hade information för att kunna upptäcka hotet tidigare, men den informationen drunknade bland annat i irrelevant data.

Kanske än värre, baserat på att regler ofta är inställda för att försöka hantera brusproblemet, är att bara leta efter avvikelser baserat på onormala händelser. Detta ger en angripare gott om utrymme att arbeta under radarn. Så angriparen finns inte ens i den där höstacken. Det betyder mycket extra arbete för ingenting.

 

Nästa generations intrångsdetektering: Framgångsmetoden för bättre intrångsdetektering

I stället för att analysera specifikt skadlig programvara med verktyg för att generera signaturer, identifierar säkerhetsanalytiker de grundläggande metoder som angripare måste använda för att lyckas utföra sina attacker. Dessa metoder förblir konstant även när verktyget ändras. Metoder är de svåraste och dyraste för angripare att ändra.

I framgångsrika lösningar för intrångsdetektering samarbetar forskare och säkerhetsanalytiker, och väljer vilken Machine Learning-teknik som är bäst för att hitta det riktade beteendet utan signaturer: metoden sker via inlärning, lärande, heuristik – ofta flera tekniker i samma modell.

Genom att fokusera specifikt på användbara beteenden från angripare och lärandet kring dessa genom avancerad Machine Learning, kan vi upptäcka aktivitet med väldigt bra precision.

Kontroller av angripares beteenden spänner över hela kedjan, och allt som en angripare måste göra för att lyckas.

Exempelvis:
Titta på hur anslutningen sker, det spelar ingen roll vilket specifikt verktyg som används eller om trafiken är krypterad eller inte.

Lära sig om nätverket, som de utan någon vetskap om, anslutit sig till. Detta inkluderar både nätverksskanningar och mer avancerade tekniker så som AD-rekords för att lära sig om administratörsgrupper , eller fildelningar för att försöka hitta referenser begravda i skript eller för att hitta var datat kommer ifrån.

Vidare görs kontroll på flytt av data, oavsett om det är genom stulna konton, sårbarheter eller genom att öppna upp bakdörrar som tidigare installerats på ett infekterat system.

För varje host i nätverket kartläggs vilka referenser den använder för att komma åt vilka tjänster; vilka andra hosts den administrerar via vilka protokoll; hur den använder RPC för exekvering av remote-kod; hur det använder RDP. Så när en stulen referens används för att försöka röra sig kommer det att utlösa en eller flera av dessa modeller.

Fokus ska ske på de tidiga stadierna av attacken, då upptäcks också eventuell datafiltrering som sker. Detta både genom att titta på hur data samlas in, arrangeras och flyttas ut från nätverket.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.