APTs: Sind gezielte Angriffe normal? Jürgen Eckel Eckel.J@ikarus.at Helene Hochrieser Hochrieser.H@ikarus.at
Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen Prozessverhalten Merkmalsraum definieren Motivation
Das Ziel Erkennung von APTs in Unternehmensnetzwerken Wie ist ein APT strukturiert? a) Cyber Kill Chain (Reconnaissance, Weaponization, Delivery, Expoitation, Installation, C&C, Action on Objectives) b) Intrusion Detection System I. Preparation (hours/months) II. Intrusion (seconds) III. Active Breach (months) Erkennung von aktiven Einbrüchen
Wie wollen wir das erreichen? Ungewöhnliches Verhalten innerhalb des Unternehmensnetzes erkennen Konzeptionell Verschiedene Erkennungsarten a) Netzwerk b) Payload c) Endpoint Erkennung von Anomalien am Endpunkt (auch Netzwerkeinsicht) a) Lernphase: was passiert im Unternehmen, was ist normal b) Aus Sicht der Betriebssysteme (Kernel) c) Keine reaktive Technologie d) Unterstützung von IoCs (keine Primärtechnologie)
Konzeptioneller Aufbau Erkennung Applikations Server Endpunkt Endpunkt Endpunkt Endpoints Endpoints Endpoints Endpunkt.
Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen Prozessverhalten Merkmalsraum definieren
1. Merkmalsraum definieren Abbildung von Systemverhalten um Anomalien darin zu finden Anormale Prozesse = neuartiges Verhalten in gewissem Zeitraum -> neue Applikationen / bekannte Applikationen verhalten sich untypisch Wahl der Merkmale ist entscheidend!!! Beliebige Abbildung möglich Anomalieerkennung funktioniert -> relevante Anomalien? -> Kontext für Anomalien definieren
1.1 Anomalien Untypische Datenmengen werden übertragen Unübliche Zugriffe von außen (Remote to Local) Unübliche Zugriffe auf Ressourcen Nicht gewährte Rechte (User to Root) Abfrage unüblicher Infos / unüblicher Mengen an Infos
1.2 Systemverhalten als Baum Prozessbäume mit Eltern-, Kindbeziehungen Inkl. Ressourcen: Registryeinträge, Dateien, Netzwerksockets, Imageloads Datenflüsse zwischen den Knoten -> Merkmale für die Anomalieerkennung? Gesamtbäume sehr umfangreich Merkmalsberechnung über ganze Bäume -> hohe Performanz erforderlich
Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen Prozessverhalten
2. Prozessverhalten im Zeitverlauf Wie verhalten sich Prozesse im Zeitverlauf? Wird die gesamte Prozessvergangenheit (alle Ereignisse) benötigt? Zeitliche Betrachtung über Prozessbäume: Teilbäume? Einschränkung über Prozessterminierung? Entfernung alter Teilbäume?
2.1 Prozesshierarchie im Zeitverlauf
Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen
3. Zeithorizont Concept drift der Daten im Zeitverlauf: Normalverhalten ändert sich Neues Verhalten sieht zu Beginn wie Rauschen aus Modellierung benötigt Gedächtnis über die Zeit
Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren?
4. Extraktion von anormalem Verhalten Überwachte Verfahren schlechter geeignet: erfordern ständige manuelle (korrekte) Klassifikation von Trainingsdaten Unüberwachte Methode: Clustering Clustern von Streams: durchgehender Datenstrom im Zeitverlauf Ermöglicht Anpassung an Veränderung
4.1 Clustern von Streams 1. Herkömmliches Clustern im Merkmalsraum (zb ): Zusammenfassen der Datenpunkte zu Gruppen 2. Daraus: Clusterprofil als Basis 3. Nächster Zeitschritt: Daten einfügen in Profil Profil anpassen 4. Neue Muster entstehen, alte verschwinden 5. Starke Muster sollen länger im Profil bleiben als schwache
5. Anomalietypen Welche Typen können gefunden werden? Punktanomalie: Einzelner Datenpunkt ist anormal im Merkmalsraum Kontextuelle Anomalie: Email-Abruf-Häufigkeit für Benutzer A im Wochentagsvergleich erhöhte Anzahl für bestimmte Benutzer am Sonntag untypisch -> Kontext in Merkmale abbilden Kollektive Anomalie: Anomalien nur erkennbar über Beziehung zwischen Daten (zb zeitlich). Hat ein Merkmal sehr oft hintereinander den selben (unbedenklichen) Wert -> Bedenklich? - > Abbildung der Beziehung notwendig -> Veränderung der Werte, Frequenz
Zusammenfassung Herausforderungen: Merkmalsraum definieren: Abbildung des Systemverhalten auf aussagekräftige Merkmale Betrachtung der Prozessvergangenheit Betrachtung der Systemvergangenheit -> Entwicklung eines Clusterprofils -> Extraktion von anormalem Verhalten
Sind APTs normal? Oberflächliche Betrachtung von APTs kann normales Verhalten zeigen Betrachtungsweise aus dem richtigen Blickwinkel macht sie sichtbar
Thank you. Questions?