Un opérateur de sauvegarde aura l'autorisation et les marqueurs comportementaux de quelqu'un qui déplace beaucoup de données. Comme tout administrateur système où il n'y a pas d'opérateur de sauvegarde dédié.

Snowden était un administrateur système. Il connaîtrait tous les protocoles de protection en place. Il pourrait simplement usurper l'identité de n'importe qui, de n'importe quelle zone, télécharger des choses, se faire passer pour le suivant et continuer à le faire.

S'il est de notoriété publique qu'il n'y a pas de protection pare-balles contre un attaquant dédié, imaginez un attaquant dédié interne de confiance avec les privilèges sysadmin.

Les systèmes de détection d'anomalies comme Beehive permettent plus facilement qu'auparavant de fouiller dans de nombreuses données et de détecter les comportements suspects. Cela signifie qu'il est possible pour un analyste de se concentrer sur les données les plus pertinentes, de traiter plus de données en moins de temps et d'utiliser également des données d'entrée plus détaillées pour l'analyse. De cette façon, la chance est plus élevée qu'avant que quelqu'un puisse détecter un comportement indésirable.

Il est affirmé (et je n'ai aucune raison de douter de cette affirmation) dans l'article de Beehive que le système peut détecter plus d'incidents que les systèmes habituellement utilisés - mais il n'est pas affirmé que le système peut détecter chaque incident ou même combien de tous les incidents il pourrait détecter. Ainsi, il se peut que d'autres systèmes ne détectent que 10% de tous les incidents et que Beehive détecte 20%, ce qui est bien mais pas vraiment satisfaisant.

Un tel système pourrait-il détecter quelqu'un comme Snowden? Cela dépend beaucoup de la quantité, du type et du détail des données collectées à des fins d'analyse, de la rigueur des politiques de sécurité existantes afin que les violations de la politique puissent être enregistrées et du niveau d'illégalité (comme le voit la NSA). les activités de Snowden différaient de son activité professionnelle habituelle. Plus il diffère, plus il est probable qu'il puisse être détecté par un système de détection d'anomalies. Mais plus les activités illégales et légales sont similaires en termes de données enregistrées, moins il est probable que les activités illégales soient signalées comme des anomalies.

En d'autres termes: cela pourrait aider à détecter certaines actions de type Snowden mais il ne détectera pas toutes les actions de type Snowden. Et prévenir de telles actions serait encore plus difficile, plus probablement une détection plus précoce après qu'un certain dommage a déjà été fait et limiter ainsi l'impact.

L'intention de Snowden était l'exfiltration de données et il était également administrateur système. Ainsi, il avait accès à de grandes quantités de données que les utilisateurs normaux n'avaient pas et aurait un modèle différent de la façon dont il interagit avec le réseau. Si Beehive était en place, il se peut qu'il ait enregistré qu'il faisait quelque chose, mais quiconque a l'intention d'exfiltrer des données aurait su comment contourner les alertes: rendez votre modèle d'exfiltration de données "normal" à partir du moment où le système a commencé à se former et cela ne serait pas signalé comme une activité anormale. Snowden aurait pu avoir l'habitude de transférer 16 Go par jour sur une clé USB, mais tant qu'il n'a pas fait de changement soudain dans ses techniques, Beehive ne l'aurait pas signalé.

Je travaille sur certaines méthodes personnalisées au travail pour détecter ce type de modèle. Mais, pour le moment, je ne connais rien d'automatisé qui fasse du bon travail.

Non, ce n'est pas possible.

Et la citation que vous avez tirée expliquait clairement pourquoi, et comment les gens en sont venus à prétendre que c'était possible.

Ce que Beehive pourrait faire c'est vous dire qu'une attaque à la Snowden a eu lieu. (même si @ThoriumBR un SNOWDEN n'aurait pas été empêché)

Ce que vous (ou ce type) prétendez, c'est que cela pourrait EMPECHER une telle attaque, ce qui est très, très différent. et (peut-être, je n'ai pas trop lu) en combinant cela avec une analyse avancée, ce qui signifie que même si votre système d'analyse et de marquage fonctionne en temps réel, il serait probablement trop tard.

[Imaginez simplement où Beehive entre en jeu:

Action suspecte -> programme de sécurité -> journal -> la ruche extrait les données -> analyse de la ruche -> drapeau jeté -> intervention?

C'est beaucoup trop tard (et cela suppose que les journaux sont évalués en temps réel]

Les journaux sont destinés à une enquête rétroactive et non à une intervention en temps réel.

Ce que vous pouvez faire est de produire un pseudo-journal pour toute action, faites analyser par Beehive et seulement après avoir été éclairé au vert, l'action est exécutée. L'énorme surcoût et le retard notable rendraient cette approche vraiment difficile à vendre à n'importe quel gestionnaire. gs mais intégrer des mécanismes d'évaluation dans votre plate-forme serait bien meilleur]

Tout d'abord, il y a une distinction très importante entre être capable de détecter un acteur "Snowden-like" et pouvoir prévenir un acteur. Pour autant que j'ai vu, Beehive ne prétend pas en empêcher un, mais semble plutôt promettre la possibilité de vous avertir qu'une activité suspecte se produit dans votre réseau. Bien sûr, pas aussi bon, mais toujours considéré comme un «Saint Graal» dans certaines communautés de recherche.

Cela dit, je doute extrêmement que Beehive soit capable de répondre à ces attentes. L'apprentissage automatique peut très bien extraire des modèles complexes à partir de grandes piles de données avec des identités fiables. Par exemple, différencier les images de chats et de chiens est extrêmement fiable; nous pouvons tous le faire 99 +% du temps, mais si je devais dire quel est l'algorithme exact pour prendre 100x100 pixels et déterminer le chat contre le chien, je ne sais pas comment je le ferais. Mais je peux vous fournir 100 000 de ces images et laisser les méthodes ML déterminer une règle qui différencie de manière fiable les deux en fonction des valeurs de 100x100 pixels. Si je fais les choses correctement, les règles créées par ML devraient même fonctionner sur de nouvelles images de chats et de chiens, en supposant qu'aucun changement important dans les nouvelles données (c'est-à-dire, si je n'utilise que des laboratoires et des chats tabby dans les données d'entraînement, alors essayez d'obtenir pour identifier un terrier ... bonne chance). C'est la force de ML.

La détermination des «comportements suspects» est une question beaucoup plus difficile. Nous n'avons pas 100 000 échantillons de mauvais comportements confirmés, et nous n'avons même pas vraiment 100 000 échantillons de bons comportements confirmés! Pire encore, ce qui était une bonne méthode de ML qui fonctionnait hier ne fonctionne pas aujourd'hui; contrairement aux chats et aux chiens sur les photos, les adversaires essaient vraiment de vous tromper. La plupart des personnes que je connais travaillant sur le ML pour la cybersécurité ont accepté que l'idée d'une détection purement automatisée dépasse notre portée pour le moment, mais peut-être pouvons-nous créer des outils pour automatiser des tâches répétitives très spécifiques qu'un analyste de la sécurité doit faire encore et encore, les rendant ainsi plus efficaces.

Cela dit, les auteurs de Beehive semblent avoir sauté cette leçon et prétendent avoir résolu ce problème. Je me méfie beaucoup des performances, d'autant plus que les méthodes qu'ils suggèrent sont les premières qu'un chercheur en ML pourrait penser d'essayer et ont été systématiquement rejetées comme inutiles. Par exemple, ils suggèrent d'utiliser la PCA pour identifier les valeurs aberrantes dans les journaux. Cela, et des variantes de celui-ci, a été essayé des centaines de fois et le résultat est toujours que l'analyste de la sécurité arrête la "détection automatique" car ils obtiennent tellement de faux positifs que cela coûte beaucoup plus de temps ça sauve.

Bien sûr, dans toutes ces méthodes, le diable est que les détails et les détails de ces types de méthodes ne sont jamais vraiment exposés dans les travaux publiés ("nous avons utilisé PCA pour rechercher des valeurs aberrantes dans les journaux du serveur" est un déclaration extrêmement vague). Il est toujours possible qu'ils aient un moyen très intelligent de prétraiter les données avant d'appliquer leurs méthodes qui n'ont pas été publiées. Mais je serais prêt à parier mon bras droit qu'aucun utilisateur de Beehive ne sera en mesure de faire la différence de manière fiable entre un comportement «de type Snowden» et une utilisation non conflictuelle d'un réseau dans le monde réel en temps réel.