APTs: Sind gezielte Angriffe normal? Jürgen Eckel Eckel.J@ikarus.at Helene Hochrieser Hochrieser.H@ikarus.at

Ähnliche Dokumente
Bernadette Büsgen HR-Consulting

MARCANT - File Delivery System

WinVetpro im Betriebsmodus Laptop

Erfahrungen mit Hartz IV- Empfängern

ADDISON Aktenlösung Automatischer Rewe-Import. Technische Beschreibung

Internet online Update (Mozilla Firefox)

Mobiler. Vernetzter. Emotionaler. Wie SBG auf die Entwicklung des Internets reagiert

OECD Programme for International Student Assessment PISA Lösungen der Beispielaufgaben aus dem Mathematiktest. Deutschland

Erfolg beginnt im Kopf

Wir machen neue Politik für Baden-Württemberg

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Von Perimeter-Security zu robusten Systemen

Allgemeines zu Datenbanken

AbaWeb Treuhand. Hüsser Gmür + Partner AG 30. Oktober 2008

Die Installation eines MS SQL Server 2000 mit SP3a wird in diesem Artikel nicht beschrieben und vorausgesetzt.

Professionelle Seminare im Bereich MS-Office

Einrichtung HBCI mit PIN/TAN in VR-NetWorld-Software

Hardware - Software - Net zwerke

CMS.R. Bedienungsanleitung. Modul Cron. Copyright CMS.R Revision 1

Hilfedatei der Oden$-Börse Stand Juni 2014

Print2CAD 2017, 8th Generation. Netzwerkversionen

Vorstellung - "Personal Remote Desktop" für (fast) alle Hardwareplattformen und Betriebssysteme

Anleitung zur Verwendung der VVW-Word-Vorlagen

Arbeiten mit UMLed und Delphi

ecaros2 - Accountmanager

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

QTrade GmbH Landshuter Allee München Seite 1

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

Installation von Druckern auf dem ZOVAS-Notebook. 1. Der Drucker ist direkt mit dem Notebook verbunden

WICHTIGER HINWEIS FÜR HÄNDLER UND SERVICE-WERKSTÄTTEN:

Umleiten von Eigenen Dateien per GPO

Deutschland-Check Nr. 35

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Veröffentlichen von Apps, Arbeitsblättern und Storys. Qlik Sense Copyright QlikTech International AB. Alle Rechte vorbehalten.

Verkaufsstätten. Dipl.- Ing.(FH) M.Eng.(TU) Thomas Höhne

Installations Guide für YAJSW und DTLDAP

Abwesenheitsnotiz im Exchange Server 2010

Internet online Update (Internet Explorer)

Schuljahreswechsel im Schul-Webportal

Betriebliche Gestaltungsfelder

Die richtigen Partner finden, Ressourcen finden und zusammenführen

Der Fachkräftemangel ist kein Mythos. Konjunkturell und strukturell ist (und bleibt) er ein Problem.

Auswertung Fünfjahresüberprüfung

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

SYN Grundlagen Algorithmen Anwendung FIN. Anomalieerkennung. UnFUG WS2011/2012. Alexander Passfall Hochschule Furtwangen

Mobiles SAP für Entscheider. Permanente Verfügbarkeit der aktuellen Unternehmenskennzahlen durch den mobilen Zugriff auf SAP ERP.

Was ist das Tekla Warehouse

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Speicher in der Cloud

Windows Vista Security

Die künftige Ingenieurausbildung in der EU - Brennpunkt Ostsee-Raum oder The Network of Excellence in Mechatronics in the Baltic Sea Region

Fachkräftemangel: Herausforderung für das Personalmanagement?

[DvBROWSER] Offline-Viewer für [DvARCHIV] und [DvARCHIVpersonal] Version 2.2

WinCVS Version 1.3. Voraussetzung. Frank Grimm Mario Rasser

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

KeyGateway incadea.engine DMS KeyReport Schlüsselmanagement auf höchstem Niveau

Einrichtung HBCI-Schlüsseldatei in VR-NetWorld-Software

FIREBIRD BETRIEB DER SAFESCAN TA UND TA+ SOFTWARE AUF MEHR ALS EINEM COMPUTER

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Systemvoraussetzung < zurück weiter >

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Melde- und Veröffentlichungsplattform Portal (MVP Portal) Hochladen einer XML-Datei

Übung - Datenmigration in Windows Vista

2. Installation unter Windows 10 mit Internetexplorer 11.0

FastViewer v3 bei der TechniData IT-Service GmbH

Integrierte Dienstleistungen regionaler Netzwerke für Lebenslanges Lernen zur Vertiefung des Programms. Lernende Regionen Förderung von Netzwerken

Typo3: Nachrichten verfassen

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Senioren ans Netz. schreiben kurze Texte. Lektion 9 in Themen aktuell 2, nach Übung 7

SCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...

Ihr Benutzerhandbuch AVIRA ANTIVIR EXCHANGE

Anleitung für die Einrichtung weiterer Endgeräte in 4SELLERS SalesControl

SUB-ID- VERWALTUNG MIT GPP SETUP-GUIDE FÜR PUBLISHER

GI-Technologien zur Umsetzung der EU-Wasserrahmenrichtlinie (WRRL): Wissensbasen. Teil 1: Einführung: Wissensbasis und Ontologie.

Benutzerhandbuch - Elterliche Kontrolle

Handbuch ECDL 2003 Basic Modul 6: Präsentation Diagramm auf einer Folie erstellen

teamsync Kurzanleitung

Software- und Druckerzuweisung Selbstlernmaterialien

Browsereinstellungen für moneycheck24 in Explorer unter Windows

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Lichtbrechung an Linsen

Pflegerisiko und Pflegeversicherung Status und Potenziale aus Sicht der Versicherungs-Makler

1.3. Installation und Konfiguration von Filr Desktop

a.sign Client Lotus Notes Konfiguration

Datenbanken Microsoft Access 2010

Neue Arbeitswelten Bürokultur der Zukunft

Pflegeberichtseintrag erfassen. Inhalt. Frage: Antwort: 1. Voraussetzungen. Wie können (Pflege-) Berichtseinträge mit Vivendi Mobil erfasst werden?

IBM SPSS Statistics Version 22. Installationsanweisungen für Linux (Lizenz für gleichzeitig angemeldete Benutzer)

Workshop: Eigenes Image ohne VMware-Programme erstellen

Produktvorstellung: CMS System / dynamische Webseiten. 1. Vorwort

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Deutsches Rotes Kreuz. Kopfschmerztagebuch von:

Installation & Konfiguration AddOn AD-Password Changer

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Benutzerverwaltung und Rechtevergabe

Bedienungsanleitung GYMplus

Abschluss Version 1.0

Business-Coaching. Berufliche Coachingthemen:

Gezielt über Folien hinweg springen

Transkript:

APTs: Sind gezielte Angriffe normal? Jürgen Eckel Eckel.J@ikarus.at Helene Hochrieser Hochrieser.H@ikarus.at

Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen Prozessverhalten Merkmalsraum definieren Motivation

Das Ziel Erkennung von APTs in Unternehmensnetzwerken Wie ist ein APT strukturiert? a) Cyber Kill Chain (Reconnaissance, Weaponization, Delivery, Expoitation, Installation, C&C, Action on Objectives) b) Intrusion Detection System I. Preparation (hours/months) II. Intrusion (seconds) III. Active Breach (months) Erkennung von aktiven Einbrüchen

Wie wollen wir das erreichen? Ungewöhnliches Verhalten innerhalb des Unternehmensnetzes erkennen Konzeptionell Verschiedene Erkennungsarten a) Netzwerk b) Payload c) Endpoint Erkennung von Anomalien am Endpunkt (auch Netzwerkeinsicht) a) Lernphase: was passiert im Unternehmen, was ist normal b) Aus Sicht der Betriebssysteme (Kernel) c) Keine reaktive Technologie d) Unterstützung von IoCs (keine Primärtechnologie)

Konzeptioneller Aufbau Erkennung Applikations Server Endpunkt Endpunkt Endpunkt Endpoints Endpoints Endpoints Endpunkt.

Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen Prozessverhalten Merkmalsraum definieren

1. Merkmalsraum definieren Abbildung von Systemverhalten um Anomalien darin zu finden Anormale Prozesse = neuartiges Verhalten in gewissem Zeitraum -> neue Applikationen / bekannte Applikationen verhalten sich untypisch Wahl der Merkmale ist entscheidend!!! Beliebige Abbildung möglich Anomalieerkennung funktioniert -> relevante Anomalien? -> Kontext für Anomalien definieren

1.1 Anomalien Untypische Datenmengen werden übertragen Unübliche Zugriffe von außen (Remote to Local) Unübliche Zugriffe auf Ressourcen Nicht gewährte Rechte (User to Root) Abfrage unüblicher Infos / unüblicher Mengen an Infos

1.2 Systemverhalten als Baum Prozessbäume mit Eltern-, Kindbeziehungen Inkl. Ressourcen: Registryeinträge, Dateien, Netzwerksockets, Imageloads Datenflüsse zwischen den Knoten -> Merkmale für die Anomalieerkennung? Gesamtbäume sehr umfangreich Merkmalsberechnung über ganze Bäume -> hohe Performanz erforderlich

Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen Prozessverhalten

2. Prozessverhalten im Zeitverlauf Wie verhalten sich Prozesse im Zeitverlauf? Wird die gesamte Prozessvergangenheit (alle Ereignisse) benötigt? Zeitliche Betrachtung über Prozessbäume: Teilbäume? Einschränkung über Prozessterminierung? Entfernung alter Teilbäume?

2.1 Prozesshierarchie im Zeitverlauf

Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren? Zeithorizont für sinnvolle Bewertungen

3. Zeithorizont Concept drift der Daten im Zeitverlauf: Normalverhalten ändert sich Neues Verhalten sieht zu Beginn wie Rauschen aus Modellierung benötigt Gedächtnis über die Zeit

Welche Anomalien können gefunden werden? Wie lässt sich anormales Verhalten extrahieren?

4. Extraktion von anormalem Verhalten Überwachte Verfahren schlechter geeignet: erfordern ständige manuelle (korrekte) Klassifikation von Trainingsdaten Unüberwachte Methode: Clustering Clustern von Streams: durchgehender Datenstrom im Zeitverlauf Ermöglicht Anpassung an Veränderung

4.1 Clustern von Streams 1. Herkömmliches Clustern im Merkmalsraum (zb ): Zusammenfassen der Datenpunkte zu Gruppen 2. Daraus: Clusterprofil als Basis 3. Nächster Zeitschritt: Daten einfügen in Profil Profil anpassen 4. Neue Muster entstehen, alte verschwinden 5. Starke Muster sollen länger im Profil bleiben als schwache

5. Anomalietypen Welche Typen können gefunden werden? Punktanomalie: Einzelner Datenpunkt ist anormal im Merkmalsraum Kontextuelle Anomalie: Email-Abruf-Häufigkeit für Benutzer A im Wochentagsvergleich erhöhte Anzahl für bestimmte Benutzer am Sonntag untypisch -> Kontext in Merkmale abbilden Kollektive Anomalie: Anomalien nur erkennbar über Beziehung zwischen Daten (zb zeitlich). Hat ein Merkmal sehr oft hintereinander den selben (unbedenklichen) Wert -> Bedenklich? - > Abbildung der Beziehung notwendig -> Veränderung der Werte, Frequenz

Zusammenfassung Herausforderungen: Merkmalsraum definieren: Abbildung des Systemverhalten auf aussagekräftige Merkmale Betrachtung der Prozessvergangenheit Betrachtung der Systemvergangenheit -> Entwicklung eines Clusterprofils -> Extraktion von anormalem Verhalten

Sind APTs normal? Oberflächliche Betrachtung von APTs kann normales Verhalten zeigen Betrachtungsweise aus dem richtigen Blickwinkel macht sie sichtbar

Thank you. Questions?

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback