View
5
Download
0
Category
Preview:
Citation preview
User-Verhaltens-Analyse:Erkennen und stoppen von (gut getarnten) Netzwerk-bedrohungen
Ronny Fischer
SE, Palo Alto Networks Schweiz
Agenda
• Über die Notwendigkeit von Verhaltensanalyse in der IT Security
• Machine-Learning und Verhaltensanalyse
• Die Qualität der verarbeitenden Daten
• Verhaltensanalyse bei Palo Alto Networks
2 | © 2018 Palo Alto Networks, Inc. All Rights Reserved.
Wieso braucht man
Verhaltensanalyse in der
IT Security ?
Wenn sich genau jetzt,
ein Angreifer in Ihrem Netzwerk befindet....
...würden Sie ihn erkennen?
Erfolgreiche Attacken benötigen viele Schritte
Um Cyberangriffe erfolgreich zu verhindern, muss ein Schritt unterbrochen werden
• Passiert in Sekunden / Minuten• Generiert eine kleine Anzahl von Netzwerk Verbindungen• Kann mit bestehender Technologie entdeckt werden
(TP, WF, URL Filtering)
• Passiert über Tage/Wochen/Monate• Generiert eine grosse Anzahl von Netzwerk Verbindungen• Kann schwer mit bestehender Technologie entdeckt
werden
Lebenszyklus einer erfolgreichen Attacke
Data Exfiltration
Lateral Movement
Malware Installation
VulnerabilityExploit
Command and Control
5 | © 2017, Palo Alto Networks. Confidential and Proprietary.
Wieso ist es so schwer, Angreifer im eigenen Netzwerk zu erkennen?
6 | © 2018 Palo Alto Networks, Inc. All Rights Reserved.
Erfolgreiche Angreifer können sich hinter gültigen
Anmeldeinformationen und legitimen Zugriff verstecken.
Sicherheitsteams fokussieren sich oft auf das Finden
von Malware und das Entdecken von Einbrüchen.
Sicherheitsteams sind häufig mit zahlreichen Alarmen
überlastet, die auf mehr oder weniger statischen
Korrelationen basieren.
Malware is Just One of the Tools Attackers Use
MALWAREAdmin Utilities
SecureCRT
Putty
BeyondExec
VMware vSphere
MobaXterm
Remote Desktop
TeamViewer
WinVNC
Radmin
AnyDesk
LogMeIn
Networking und Hacking Tools
Angry IP Scanner
PingInfoView
Nmap
Ping
Mimikatz
* LightCyber Cyber Weapons Report
Angreifer benötigen keine Malware (mehr) wenn Sie im Netzwerk sind.
Erkennung von internen Attacken funktioniert anders
• Angreifer müssen viele verschiedene Aktionen durchführen um Ihre Ziele zu erreichen.
• Jede einzelne dieser Aktionen kann unverdächtig aussehen.
Mit Verhaltensanalyse können Organisationen verändertes Verhalten aufdecken. Angreifer können verändertes Verhalten nicht kaschieren.
8 | © 2017, Palo Alto Networks. Confidential and Proprietary.
Data Exfiltration
VulnerabilityExploit
Malware Installation
Command and Control
Lateral Movement
Wiederholter Zugriff auf eigenartige Domains
Änderung der Verbindungs-
kadenz
Ungewöhnlich grosse
Uploads
Endpunkt
Detection &
Response
Netzwerkverkehr
Analyse
Benutzer &
Entität Analyse
3Gartner, Market Guide for Endpoint Detection and Response Solutions, 30 November 2016
2Gartner, Market Guide for User and Entity Behavior Analytics, 08 December 2016
1Gartner, New Network-Based Approach to Threat Defense, June 2017
Verhaltens-
analyse
Verhaltensanalyse
kombiniert Netzwerk-, Benutzer-
und Endpunktverhalten um
Bedrohungen über den ganzen
Attackenzyklus aufzudecken.
Verhaltensanalyse liefert tiefgehende
Erkenntnisse über die eigene IT
Landschaft und profitiert von NTA1,
UEBA2 und EDR3 Produkten.
Wie wendet man
Machine-Learning auf
Verhaltensanalyse an?
Machine-Learning contra...
11 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Rohe Log Nachrichten
Source Destination Port Time
10.0.0.23 65.1.1.1 443 02:22:23 1/05/17
10.0.22.23 10.0.22.24 80 02:22:26 1/05/17
10.0.0.2 10.0.0.10 53 02:22:27 1/05/17
10.0.8.4 10.0.22.24 995 02:23:01 1/05/17
Manuelle Sichtung von
Netzwerk-Daten; viele
Verbindungen von vielen
Endpunkten mit vielen
Details.
Unpraktisch
Korrelations-Regeln
Hohe Wahrscheinlichkeit
von Falschalarmen
Regeln korrelieren statisch
Daten vom Netzwerkverkehr,
Sicherheitsalarmen und
Benutzern, Maschinen und
Zeit.
Verhaltensanalyse &
Machine Learning
Akkurat und effizient
Erkennung basierend auf
Anzahl der Verbindungen im
Vergleich zu früherem
Verhalten, Peer-Verhalten,
Gerätetyp und Zielverhalten.
Machine Learning Methoden
Unsupervised Learning
Daten sind nicht nach Gut und Böse
klassifiziert (aber es muss Beides vorhanden sein).
• Wenn Du das magst, magst Du vielleicht
das hier
• Versuche mal Song X weil Du soeben
Song Y angehört hast
• Finde mir Schuhe die folgendermaßen
ausschauen...
Algorithms Cluster: k-means, hierarchical clustering,
neural networks, deep neural networks, etc. etc.
Die Maschine lernt zu lernen.
Supervised Learning
Grosse Datenmengen die informative Proben
aller Art enthalten:
• Gute Applikationen und Malware
• Gute Domains und böse Domains
• Legitime Emails und Spam
Algorithmus Klassifizierung: «bag of words, decision
trees, k-nearest neighbor, naïve bayes classifiers, etc.
etc.»
Die Maschine lernt zu klassifizieren.
Machine Learning für (menschliches) Verhalten
• Entdeckt Unregelmässigkeiten (Anomalien)
• Unsupervised Machine Learning ist hier eher im Einsatz weil:
• Jede Organisation und jeder Benutzer kann und wird sich anders verhalten.
• "Gutes" Verhalten eines Benutzers kann im Kontext eines anderen Benutzers schädlich sein.
• Menschen sind unberechenbar.
13
Die Qualität der Daten
entscheidet über die
Qualität von
Machine Learning!
Über die Qualität der zu verarbeitenden Daten
Garbage in, Garbage out
• Generische Logdaten sind die einfachste Quelle von Big Data Analyse
• Nicht konsistent über Netzwerke, Produkten, Versionen und Einstellungen
• Nur der kleinste gemeinsame Nenner kann benutzt werden
15
IN OUTResultat: Wir bekommen eine eindimensionale Sicht
auf risikoreiche Benutzer, basierend auf schwachem
Kontext.
Gute Daten ermöglichen akkurate Entdeckungen und beinhalten:• Benutzer IDs und Geräte IDs
• Applikation ID und Applikations-Kontext, nicht nur Quell-Adresse/Port und Ziel-
Adresse/Port.
Verdächtiges Netzwerkverhalten mit Machine Learning entdecken
• Finde Geräte & Benutzer die
Ihr Kommunikationsverhalten
ändern.
• Finde Geräte & Benutzer die
sich anders als Ihre Peers
verhalten.
Entdeckung
• Host Typ (was ist ein PC was ein
Server)
• Meistbenutzte Ports oder
Applikationen
• Aktuelles Verhalten von ähnlichen
Maschinen & Benutzern
• Historisches Verhalten von
ähnlichen Maschinen &
Benutzern
Profilerstellung
Um verdächtiges Netzwerkverhalten zu entdecken, müssen die aktuellsten Daten
verwendet werden um neue Modele zu erstellen, die dann mit historischen Modellen
verglichen werden können.
Mehr Kontext in Log-Daten bedeuten bessere "Etikettierung" und adäquate Erstellung von
Modellen.
Source Dest Port User App
10.0.1.2 65.3.1.9 443 UserA SSL
10.1.0.5 10.4.2.3 80 UserB RPC
10.2.0.2 10.5.7.8 53 UserC DNS
10.3.0.4 10.6.1.4 995 UserD SMB
Data: NGFW Logs
• Host ID, User ID, App ID
Applikation
HTTPprotocol
http://abc.com/p?i=2Response code: 301Response size: 20application context
abc.comdomain
Netzwerk
10.8.1.10source IP
64.81.2.23destination IP
TCP/80destination port
Mehr Kontext bring mehr Qualität
Benutzer
gengeluser
FinanceOrganization Unit
Prozess
co_afd.exeexecutable
MalwareWildFire analysis
Mia LopezProcess owner
Host
DEV1hostname
00:1b:17:05:2c:10MAC address
Windows 8.1Operating System
Wie funktioniert
Verhaltensanalyse bei
Palo Alto Networks?
Verhaltensanalyse benötigt eine flexible (Cloud) Architektur
19 | © 2018 Palo Alto Networks, Inc. All Rights Reserved.
Sehr viel Speicherplatz plus
schnelle und umfangreiche
Abfragen von Benutzer-,
Applikations, - Endpoint- und
Sicherheitslogs bedingt
Skalierbarkeit.
Skalierbarkeit
Kleine Änderungen einer
Variablen bei Big-Data
Analyse kann zu großen
Ausschlägen im Resultat
führen.
Leverage-Effekt
Entdeckungs-Algorithmen
müssen kontinuierlich verfeinert
und weiterentwickelt werden. On-
Premise Software und eigene
Entwicklungen werden dem nicht
vollumfänglich gerecht.
Flexibilität
Remote
office
Mobile
users
Headquarters
Mobile
user
Branch
office
Vereinfachtes Log-Management für mehr Sicherheit
20 | © 2018, Palo Alto Networks. All Rights Reserved.
Skalierbare Datensammlung von NGFW, Traps und GlobalProtect
Kontextreiche Daten
für das innovative
Application Framework
Konsistentes Log
Management «as a
cloud service»
www
SaaS
LOGGING
SERVICE
Palo Alto Networks - Application Framework
21 | © 2017, Palo Alto Networks. Confidential and Proprietary.
DATA CENTER /
PRIVATE CLOUD
MOBILE
USERS ENDPOINTSSAASPUBLIC
CLOUD
APPLICATION FRAMEWORK
INTERNET
GATEWAY
LOGGING SERVICE
MOBILE
NETWORKS
THREAT INTEL DATA
CUSTOMERS APPS3RD PARTY PARTNERS APPSPALO ALTO NETWORKS APPS
MINEMELD
AUTOFOCUS
LIGHTCYBER
THREAT
INTEL
ANALYTICS
AUTOMATION
EDR
IOT
SECURITY
Other…
CUSTOMER APP
CUSTOMER APP
Endpoint Data Center
Campus Network Data Center
2 31Entdeckt Angriffe basierend auf Netzwerk, Endpoint und Cloud Daten.
Verhaltensanalyse mit PAN-OS & Magnifier
Magnifier
Cloud Data Center
Logging
Service
Pathfinder VM
Next-Generation Firewall
Next-Generation Firewall
Campus
Data Collection
Directory Sync
1
Cloud Data Center
Campus Network Data Center
2 3Schnelle Untersuchung von Angriffen mit automatisierter Analyse der Endpunkte.
1Entdeckt Angriffe basierend auf Netzwerk, Endpoint und Cloud Daten.
Endpoint Data Center
Verhaltensanalyse mit PAN-OS & Magnifier
Magnifier
Cloud Data Center
Logging
Service
Pathfinder VM
Next-Generation Firewall
Next-Generation Firewall
Campus Directory Sync
Endpoint Interrogation
WildFireAnalysis
2
Cloud Data Center
Endpoint Data Center
Verhaltensanalyse mit PAN-OS & Magnifier
Magnifier
Cloud Data Center
Logging
Service
Pathfinder VM
Next-Generation Firewall
Next-Generation Firewall
Campus Directory Sync
Campus Network Data Center
2 3Schnelle Untersuchung von Angriffen mit automatisierter Analyse der Endpunkte.
Aktion, z.Bsp. via Blocken des betroffenen Gerätes mit externen, dynamischen Listen.
1Entdeckt Angriffe basierend auf Netzwerk, Endpoint und Cloud Daten.
Access Blocked by Firewall
3
25
Magnifier Architektur
«Pre-compute learning» von 1,000+ Verhaltens- Dimensionen
Time Profile• History, per Detector
• Network -> Application
Peer Profile• Peer profile, per
Detector
Entity Profile• Entity Type
• User, admin, workstation,
server, server type
ML T
echniq
ue
Pre-Compute Learning UN
SU
PE
RV
ISE
DS
UP
ER
VIS
ED
Bilder sagen mehr als Worte...
26 | © 2017, Palo Alto Networks. Confidential and Proprietary.
▪ Entdeckt
«komisches»
Administratives
Verhalten
▪Vergleicht mit Zeit
und Peers
Magnifier Reporting
27 | © 2018, Palo Alto Networks. All Rights Reserved.
▪ Attack Detection Report:
– Zusammenfassung nach
Status, Kategorie, Typ
und Betriebssystem
– Zeigt Alarme in einer
Zeitachse
– Verfügbar als HTML und
PDF Reports
• Verhindert kostspielige Verstöße durch:
• Verhaltensanalyse basierend auf dem App-
Framework
• Machine Learning und Cloud Skalierbarkeit
• Integrierte Threat Analyse und schnelle
Aktionen auf Netzwerk-Level
Reduziert
Risiken
Stoppt Attacken durch gesteigerte Produktivität in der Analyse
MAGNIFIERMACHINE LEARNING • Automatisierte Entdeckung und Aktionen um den
Analyse Aufwand zu verringern
• Einfache Implementierung und geringer
administrativer Aufwand
• Kostengünstiger und hoch skalierbarer Speicher
für Log-Daten
Optimierte
Abläufe
28 | © 2017, Palo Alto Networks. Confidential and Proprietary.
Schlussbemerkungen &
Fragen
Ein paar Bemerkungen zu Verhaltensanalyse
• Verhaltensanalyse wird nach dem Ereignis durchgeführt. • Insofern ist diese Art von Technologie immer retrospektiv.
• Verhaltensanalyse alarmiert nicht explizit nach bösem Verhalten, sondern sucht nach eigenartigem und abnormalen Verhalten.• Abnormales Verhalten ohne böse Absicht existiert im Bereich des Möglichen.
• Automatische Aktionen als Reaktion von Alarmen in der Verhaltensanalyse kann zu einem Unterbruch in der Kommunikation führen.• Falschalarme können nicht einfach als solche klassifiziert werden, ist aber durch Training
der entsprechenden Algorithmen im Bereich des Möglichen.
• Schwierig wird es wenn ein Verhalten alarmiert wird, dass so nicht stattgefunden hat (normalerweise ein Bug in den Algorithmen).
• Es ist auch möglich das der Konsument von Verhaltensanalyse auf eine Ereignis aufmerksam gemacht wird, das ihn nicht wirklich interessiert.
Verhaltensanalyse ist kein Ersatz zu bekannten Sicherheitstechnologien, sondern ergänzt und vereinfacht die IT Security.
THANK YOU
Email: rofischer@paloaltonetworks.com l Twitter: @PaloAltoNtwks
Recommended