Segurança de Informações e Comunicação: Uma visão acadêmica Instituto Tecnológico de Aeronáutica Laboratório de Segurança Inteligente de Informações (LABIN) Paulo André L. Castro Prof. Dr. pauloac@ita.br
Motivação A complexidade crescente dos sistemas e a rápida produção de grandes volumes de eventos impede a análise manual de incidentes de segurança. Torna-se necessário o uso de ferramentas inteligentes para a análise de segurança. Fundamental um comportamento pró-ativo em relação a segurança cibernética. O comportamento reativo pode ser tardio.
Objetivo do Labin Desenvolver atividades de projetos de pesquisas de uso de tecnologias de fusão e análise de dados voltados para a segurança da informação. Fusão e análise de dados é o processo de integração de múltiplos dados e conhecimento de objetos do mundo real em uma representação consistente, precisa e útil.
Linhas de Pesquisas Modelos para adaptação e integração de dados usando Ontologias. Modelos de impactos baseados em redes bayesianas. Modelos de simulação cibernética para apoio a sistemas de C2. Modelos de aprendizagem para identificação de padrões de ataques através de técnicas de Machine Learning
Projetos em Andamento Modelos para análise de impactos à missão (Maj. Av. Barreto, Prof Parente.) Modelos de Simulação para Consciência Situacional Cibernética (CSC) (Maj. Ex. André, Prof. Parente) Modelos de Análise de Intrusão de Ameaças Persistentes Avançadas (Parth Bath, Prof. Edgar Yano) Reconhecimento de padrões de ataques em grande volume de dados(big data) sobre eventos (logs) (Bruno Santos, Prof. Paulo André)
Modelos de Análise de Impactos à Missão Projeto diretamente ligado a necessidade da Força Aérea e busca responder a questões como: Recursos cibernéticos são adequados para atender a missão? Como atuar para ter maior garantias dos recursos cibernéticos? Como
Modelos de Simulação para CSC Consciência Situacional Cibernética (CSC) envolve Percepção, Entendimento e Projeção em contextos cibernéticos Modelos de Simulação para CSC buscam responder questões como: Quais os recursos cibernéticos chaves? Quais o papel desses recursos na situação cibernética e quais os mais vulneráveis? Quais serão os efeitos de um ataque? Quais são as melhores opções para a proteção da missão?
Simulação para CSC Modelo de Operações Modelo de Integração Modelo de Infraestrutura
Modelos de Análise de Intrusão de Ameaças Persistentes Avançadas Ataques direcionados (Targeted attacks) [3]: O ataque é contínuo ao alvo selecionado. O atacante não desiste para procurar alvos mais fáceis. Ameaça persistente avançado (Advanced Persistent Threat or APT) [4]: Ameaça pode persistir meses (ou anos) sem detecção. Uso de vulnerabilidades Zero-Day. Colaboração voluntária ou não de um agente interno. Objetivo de manter a(s) conquista(s) dentro do ambiente alvo por longo período Mecanismos de segurança corrente não são efetivos.
Intrusion Kill Chain Sequencia de atividades que um atacante inevitavelmente realiza para conseguir uma intrusão [4] Uma detecção da intrusão pode ocorrer apenas nas fases mais avançadas da cadeia, porém é possível realizar a reconstrução de uma cadeia de intrusão sob certas condições[8].
Intrusion Kill Chain [8] Seleção de alvos. Coleta de vulnerabilidades potenciais. Inclusão de código malicioso junto a arquivos tipo pdfs, docs, ppts and etc. Entrega do arquivo armado para o alvo. Uso de uma vulnerabilidade do alvo para ativar a exploração. Instalação de agente com controle remoto. Estabelecer um canal de C2 com servidor externo. Ações de roubo, adulteração, de destruição, etc. 11
Intrusion kill Chain Intrusion Kill Chain Reconstruction Reconstrução pode filtrar falsos positivos [8] Reconstrução permite um entendimento de como o ataque aconteceu e qual é o alvo. 12
Framework HIDS Log Management Intrusion Reconstruction Detection NIDS Flume Hadoop Cluster Server Hive/ Intrusion Reconstruction Kill Chain Patterns Mail Other Logging Services Log Management Module Control Module Malware Samples Logs from tools about malware sample for intrusion Synthesis Malware Analysis Module System Administrator
Alguns Experimentos e Resultados [9] Ambiente usados nos Experimentos
Reconstrução da Instrusão No primeiro caso de reconstrução da Intrusão usando nosso framework, foram obtidos os seguintes resultados O número total de registros de armazenados e manipulados através do Hadoop foram 69,969,233 em um cluster com cinco máquinas Hadoop O processo de reconstrução foi concluido em 7 minutos e 38 segundos Tempo de análise e reconstrução poderia ser reduzido com maior poder de processamento, porém tende a crescer com a complexidade das análises
Reconhecimento de padrões de ataques em grande volume de dados(big data) sobre eventos (logs) Reconhecer novos padrões de ataques (Zero-Day) através da análise de dados de eventos oriundos de vários sensores distintos Uso de técnicas de Machine Learning para identificar possíveis ataques, mesmo que nas fases avançadas do Kill Chain (Installation, C2, Actions) Atividade complexa, demandante de significativo poder computacional e com tendência a gerar falsos positivos Reconstrução da Intrusão como mecanismo para minimizar a ocorrência de falsos positivos
Reconhecimento de padrões de ataques em grande volume de dados(big data) sobre eventos (logs) Para utilizar técnicas de Machine learning, é preciso ter bases de dados para serem utilizadas no treinamento dos algoritmos Nossa idéa é promover competições acadêmicas entre os alunos do ITA em um ambiente de teste controlado e isolado para obter esses dados de treinamento
Instituto Tecnológico de Aeronáutica Laboratório de Segurança Inteligente de Informações (LABIN) Obrigado! Paulo André L. Castro Prof. Dr. pauloac@ita.br
Referências Bibliográficas 1. Endsley, M. R. Designing and Evaluation for Situation Awareness Enhancement. In Proceedings of The Human Factors Society 32 st Annual Meeting. 1988. 2. Gregoire, M. Bedoin, L. Visualization for Network Situational Awareness in Computer Network Defence, NATO OTAN RTO-MP-IST-043, paper 20, 2005. 3. Sood A.K., Enbody R.J. (2013) Targeted cyber attacks: A Superset of advanced persistent threats Security & Privacy, IEEE Volume 11, Issue 1,pages 54 61, Jan.-Feb. 2013 4. Hutchins Eric M., Cloppert Michael J., Amin Rohan M,(2011) Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains ICIW2011 5. White, T., Hadoop: The Definitive Guide, Third Edition, 2012 O Reilly 6. Capriolo E., Wampler D., Rutherglen J., Programming Hive, 2012,First Edition, O Reilly 7. Therdphapiyanak J., Piromsopa K., Applying Hadoop for log analysis toward distributed IDS ACM ICUIMC 2013, Article No. 3 8. Bhatt, P. Yano, E. A Hadoop based Framework to support Cybersecurity Situatiional Awareness. Proceeding of SIGE 2013.