user-verhaltens-analyse - asecus · 3gartner, market guide for endpoint detection and response...

User-Verhaltens-Analyse:Erkennen und stoppen von (gut getarnten) Netzwerk-bedrohungen

Ronny Fischer

SE, Palo Alto Networks Schweiz

Agenda

• Über die Notwendigkeit von Verhaltensanalyse in der IT Security

• Machine-Learning und Verhaltensanalyse

• Die Qualität der verarbeitenden Daten

• Verhaltensanalyse bei Palo Alto Networks

2 | © 2018 Palo Alto Networks, Inc. All Rights Reserved.

Wieso braucht man

Verhaltensanalyse in der

IT Security ?

Wenn sich genau jetzt,

ein Angreifer in Ihrem Netzwerk befindet....

...würden Sie ihn erkennen?

Erfolgreiche Attacken benötigen viele Schritte

Um Cyberangriffe erfolgreich zu verhindern, muss ein Schritt unterbrochen werden

• Passiert in Sekunden / Minuten• Generiert eine kleine Anzahl von Netzwerk Verbindungen• Kann mit bestehender Technologie entdeckt werden

(TP, WF, URL Filtering)

• Passiert über Tage/Wochen/Monate• Generiert eine grosse Anzahl von Netzwerk Verbindungen• Kann schwer mit bestehender Technologie entdeckt

werden

Lebenszyklus einer erfolgreichen Attacke

Data Exfiltration

Lateral Movement

Malware Installation

VulnerabilityExploit

Command and Control

5 | © 2017, Palo Alto Networks. Confidential and Proprietary.

Wieso ist es so schwer, Angreifer im eigenen Netzwerk zu erkennen?


Erfolgreiche Angreifer können sich hinter gültigen

Anmeldeinformationen und legitimen Zugriff verstecken.

Sicherheitsteams fokussieren sich oft auf das Finden

von Malware und das Entdecken von Einbrüchen.

Sicherheitsteams sind häufig mit zahlreichen Alarmen

überlastet, die auf mehr oder weniger statischen

Korrelationen basieren.

Malware is Just One of the Tools Attackers Use

MALWAREAdmin Utilities

SecureCRT

Putty

BeyondExec

VMware vSphere

MobaXterm

Remote Desktop

TeamViewer

WinVNC

Radmin

AnyDesk

LogMeIn

Networking und Hacking Tools

Angry IP Scanner

PingInfoView

Nmap

Ping

Mimikatz

* LightCyber Cyber Weapons Report

Angreifer benötigen keine Malware (mehr) wenn Sie im Netzwerk sind.

Erkennung von internen Attacken funktioniert anders

• Angreifer müssen viele verschiedene Aktionen durchführen um Ihre Ziele zu erreichen.

• Jede einzelne dieser Aktionen kann unverdächtig aussehen.

Mit Verhaltensanalyse können Organisationen verändertes Verhalten aufdecken. Angreifer können verändertes Verhalten nicht kaschieren.


Data Exfiltration

VulnerabilityExploit

Malware Installation

Command and Control

Lateral Movement

Wiederholter Zugriff auf eigenartige Domains

Änderung der Verbindungs-

kadenz

Ungewöhnlich grosse

Uploads

Endpunkt

Detection &

Response

Netzwerkverkehr

Analyse

Benutzer &

Entität Analyse

3Gartner, Market Guide for Endpoint Detection and Response Solutions, 30 November 2016

2Gartner, Market Guide for User and Entity Behavior Analytics, 08 December 2016

1Gartner, New Network-Based Approach to Threat Defense, June 2017

Verhaltens-

analyse

Verhaltensanalyse

kombiniert Netzwerk-, Benutzer-

und Endpunktverhalten um

Bedrohungen über den ganzen

Attackenzyklus aufzudecken.

Verhaltensanalyse liefert tiefgehende

Erkenntnisse über die eigene IT

Landschaft und profitiert von NTA1,

UEBA2 und EDR3 Produkten.

Wie wendet man

Machine-Learning auf

Verhaltensanalyse an?

Machine-Learning contra...

11 | ©2014, Palo Alto Networks. Confidential and Proprietary.

Rohe Log Nachrichten

Source Destination Port Time

10.0.0.23 65.1.1.1 443 02:22:23 1/05/17

10.0.22.23 10.0.22.24 80 02:22:26 1/05/17

10.0.0.2 10.0.0.10 53 02:22:27 1/05/17

10.0.8.4 10.0.22.24 995 02:23:01 1/05/17

Manuelle Sichtung von

Netzwerk-Daten; viele

Verbindungen von vielen

Endpunkten mit vielen

Details.

Unpraktisch

Korrelations-Regeln

Hohe Wahrscheinlichkeit

von Falschalarmen

Regeln korrelieren statisch

Daten vom Netzwerkverkehr,

Sicherheitsalarmen und

Benutzern, Maschinen und

Zeit.

Verhaltensanalyse &

Machine Learning

Akkurat und effizient

Erkennung basierend auf

Anzahl der Verbindungen im

Vergleich zu früherem

Verhalten, Peer-Verhalten,

Gerätetyp und Zielverhalten.

Machine Learning Methoden

Unsupervised Learning

Daten sind nicht nach Gut und Böse

klassifiziert (aber es muss Beides vorhanden sein).

• Wenn Du das magst, magst Du vielleicht

das hier

• Versuche mal Song X weil Du soeben

Song Y angehört hast

• Finde mir Schuhe die folgendermaßen

ausschauen...

Algorithms Cluster: k-means, hierarchical clustering,

neural networks, deep neural networks, etc. etc.

Die Maschine lernt zu lernen.

Supervised Learning

Grosse Datenmengen die informative Proben

aller Art enthalten:

• Gute Applikationen und Malware

• Gute Domains und böse Domains

• Legitime Emails und Spam

Algorithmus Klassifizierung: «bag of words, decision

trees, k-nearest neighbor, naïve bayes classifiers, etc.

etc.»

Die Maschine lernt zu klassifizieren.

Machine Learning für (menschliches) Verhalten

• Entdeckt Unregelmässigkeiten (Anomalien)

• Unsupervised Machine Learning ist hier eher im Einsatz weil:

• Jede Organisation und jeder Benutzer kann und wird sich anders verhalten.

• "Gutes" Verhalten eines Benutzers kann im Kontext eines anderen Benutzers schädlich sein.

• Menschen sind unberechenbar.

13

Die Qualität der Daten

entscheidet über die

Qualität von

Machine Learning!

Über die Qualität der zu verarbeitenden Daten

Garbage in, Garbage out

• Generische Logdaten sind die einfachste Quelle von Big Data Analyse

• Nicht konsistent über Netzwerke, Produkten, Versionen und Einstellungen

• Nur der kleinste gemeinsame Nenner kann benutzt werden

15

IN OUTResultat: Wir bekommen eine eindimensionale Sicht

auf risikoreiche Benutzer, basierend auf schwachem

Kontext.

Gute Daten ermöglichen akkurate Entdeckungen und beinhalten:• Benutzer IDs und Geräte IDs

• Applikation ID und Applikations-Kontext, nicht nur Quell-Adresse/Port und Ziel-

Adresse/Port.

Verdächtiges Netzwerkverhalten mit Machine Learning entdecken

• Finde Geräte & Benutzer die

Ihr Kommunikationsverhalten

ändern.

• Finde Geräte & Benutzer die

sich anders als Ihre Peers

verhalten.

Entdeckung

• Host Typ (was ist ein PC was ein

Server)

• Meistbenutzte Ports oder

Applikationen

• Aktuelles Verhalten von ähnlichen

Maschinen & Benutzern

• Historisches Verhalten von

ähnlichen Maschinen &

Benutzern

Profilerstellung

Um verdächtiges Netzwerkverhalten zu entdecken, müssen die aktuellsten Daten

verwendet werden um neue Modele zu erstellen, die dann mit historischen Modellen

verglichen werden können.

Mehr Kontext in Log-Daten bedeuten bessere "Etikettierung" und adäquate Erstellung von

Modellen.

Source Dest Port User App

10.0.1.2 65.3.1.9 443 UserA SSL

10.1.0.5 10.4.2.3 80 UserB RPC

10.2.0.2 10.5.7.8 53 UserC DNS

10.3.0.4 10.6.1.4 995 UserD SMB

Data: NGFW Logs

• Host ID, User ID, App ID

Applikation

HTTPprotocol

http://abc.com/p?i=2Response code: 301Response size: 20application context

abc.comdomain

Netzwerk

10.8.1.10source IP

64.81.2.23destination IP

TCP/80destination port

Mehr Kontext bring mehr Qualität

Benutzer

gengeluser

FinanceOrganization Unit

Prozess

co_afd.exeexecutable

MalwareWildFire analysis

Mia LopezProcess owner

Host

DEV1hostname

00:1b:17:05:2c:10MAC address

Windows 8.1Operating System

Wie funktioniert

Verhaltensanalyse bei

Palo Alto Networks?

Verhaltensanalyse benötigt eine flexible (Cloud) Architektur


Sehr viel Speicherplatz plus

schnelle und umfangreiche

Abfragen von Benutzer-,

Applikations, - Endpoint- und

Sicherheitslogs bedingt

Skalierbarkeit.

Skalierbarkeit

Kleine Änderungen einer

Variablen bei Big-Data

Analyse kann zu großen

Ausschlägen im Resultat

führen.

Leverage-Effekt

Entdeckungs-Algorithmen

müssen kontinuierlich verfeinert

und weiterentwickelt werden. On-

Premise Software und eigene

Entwicklungen werden dem nicht

vollumfänglich gerecht.

Flexibilität

Remote

office

Mobile

users

Headquarters

Mobile

user

Branch

office

Vereinfachtes Log-Management für mehr Sicherheit

20 | © 2018, Palo Alto Networks. All Rights Reserved.

Skalierbare Datensammlung von NGFW, Traps und GlobalProtect

Kontextreiche Daten

für das innovative

Application Framework

Konsistentes Log

Management «as a

cloud service»

www

SaaS

LOGGING

SERVICE

Palo Alto Networks - Application Framework


DATA CENTER /

PRIVATE CLOUD

MOBILE

USERS ENDPOINTSSAASPUBLIC

CLOUD

APPLICATION FRAMEWORK

INTERNET

GATEWAY

LOGGING SERVICE

MOBILE

NETWORKS

THREAT INTEL DATA

CUSTOMERS APPS3RD PARTY PARTNERS APPSPALO ALTO NETWORKS APPS

MINEMELD

AUTOFOCUS

LIGHTCYBER

THREAT

INTEL

ANALYTICS

AUTOMATION

EDR

IOT

SECURITY

Other…

CUSTOMER APP

CUSTOMER APP

Endpoint Data Center

Campus Network Data Center

2 31Entdeckt Angriffe basierend auf Netzwerk, Endpoint und Cloud Daten.

Verhaltensanalyse mit PAN-OS & Magnifier

Magnifier

Cloud Data Center

Logging

Service

Pathfinder VM

Next-Generation Firewall


Campus

Data Collection

Directory Sync

1

Cloud Data Center


2 3Schnelle Untersuchung von Angriffen mit automatisierter Analyse der Endpunkte.

1Entdeckt Angriffe basierend auf Netzwerk, Endpoint und Cloud Daten.



Magnifier

Cloud Data Center

Logging

Service

Pathfinder VM



Campus Directory Sync

Endpoint Interrogation

WildFireAnalysis

2

Cloud Data Center



Magnifier

Cloud Data Center

Logging

Service

Pathfinder VM



Campus Directory Sync


2 3Schnelle Untersuchung von Angriffen mit automatisierter Analyse der Endpunkte.

Aktion, z.Bsp. via Blocken des betroffenen Gerätes mit externen, dynamischen Listen.

1Entdeckt Angriffe basierend auf Netzwerk, Endpoint und Cloud Daten.

Access Blocked by Firewall

3

25

Magnifier Architektur

«Pre-compute learning» von 1,000+ Verhaltens- Dimensionen

Time Profile• History, per Detector

• Network -> Application

Peer Profile• Peer profile, per

Detector

Entity Profile• Entity Type

• User, admin, workstation,

server, server type

ML T

echniq

ue

Pre-Compute Learning UN

SU

PE

RV

ISE

DS

UP

ER

VIS

ED

Bilder sagen mehr als Worte...


▪ Entdeckt

«komisches»

Administratives

Verhalten

▪Vergleicht mit Zeit

und Peers

Magnifier Reporting

27 | © 2018, Palo Alto Networks. All Rights Reserved.

▪ Attack Detection Report:

– Zusammenfassung nach

Status, Kategorie, Typ

und Betriebssystem

– Zeigt Alarme in einer

Zeitachse

– Verfügbar als HTML und

PDF Reports

• Verhindert kostspielige Verstöße durch:

• Verhaltensanalyse basierend auf dem App-

Framework

• Machine Learning und Cloud Skalierbarkeit

• Integrierte Threat Analyse und schnelle

Aktionen auf Netzwerk-Level

Reduziert

Risiken

Stoppt Attacken durch gesteigerte Produktivität in der Analyse

MAGNIFIERMACHINE LEARNING • Automatisierte Entdeckung und Aktionen um den

Analyse Aufwand zu verringern

• Einfache Implementierung und geringer

administrativer Aufwand

• Kostengünstiger und hoch skalierbarer Speicher

für Log-Daten

Optimierte

Abläufe


Schlussbemerkungen &

Fragen

Ein paar Bemerkungen zu Verhaltensanalyse

• Verhaltensanalyse wird nach dem Ereignis durchgeführt. • Insofern ist diese Art von Technologie immer retrospektiv.

• Verhaltensanalyse alarmiert nicht explizit nach bösem Verhalten, sondern sucht nach eigenartigem und abnormalen Verhalten.• Abnormales Verhalten ohne böse Absicht existiert im Bereich des Möglichen.

• Automatische Aktionen als Reaktion von Alarmen in der Verhaltensanalyse kann zu einem Unterbruch in der Kommunikation führen.• Falschalarme können nicht einfach als solche klassifiziert werden, ist aber durch Training

der entsprechenden Algorithmen im Bereich des Möglichen.

• Schwierig wird es wenn ein Verhalten alarmiert wird, dass so nicht stattgefunden hat (normalerweise ein Bug in den Algorithmen).

• Es ist auch möglich das der Konsument von Verhaltensanalyse auf eine Ereignis aufmerksam gemacht wird, das ihn nicht wirklich interessiert.

Verhaltensanalyse ist kein Ersatz zu bekannten Sicherheitstechnologien, sondern ergänzt und vereinfacht die IT Security.

THANK YOU

Email: [email protected] l Twitter: @PaloAltoNtwks

user-verhaltens-analyse - asecus · 3gartner, market guide for endpoint detection and response...

Documents