"/>

Risico assurence van Lateral Movement

Geplaatst op 08-01-2021

Risico assurance van Lateral Movement met behulp van Benford’s Law

Mogelijke toepassingen voor detectie van Insider Threats

 

Het detecteren van afwijkende netwerkactiviteit is een krachtige manier om activiteiten van insider bedreigingen te ontdekken. Het is echter tijdrovend om basisverkeer vast te stellen en verkeersgegevens te verwerken. Deze blogpost van Emily Kessel van de Carnagie Mellon University onderzoekt hoe een wiskundige wet, die al in forensische accounting wordt gebruikt, kan helpen bij het opsporen van activiteiten van voorkennis zonder de inspanning van traditionele anomaliedetectie. Om veel van deze laterale bewegingen te voorkomen is er Safe-T’s ZoneZero MFA, het is de de eerste zero-trust netwerktoegang (ZTNA) oplossing ooit die is ontworpen om gecentraliseerde MFA toe te voegen aan elk bedrijfsmiddel (systeem, server, gegevens, applicatie, enz.).

 

 

Maar nu terug naar Benford’s Law

Wat als je moet kunnen laten zien dat je het risico van Lateral Movement beheerst?  Dan is Benfords Law een mooie manier om extra gegevens te kunnen tonen om in Control en compliant te zijn.De wet van Benford van afwijkende getallen stelt dat in het algemeen, in natuurlijk voorkomende getallenverzamelingen, het leidende cijfer waarschijnlijk klein is. Dit betekent dat het cijfer 1 30,1 procent van de tijd het leidende cijfer zal zijn in een echte dataset; het cijfer 2 is 17,6 procent van de tijd het eerste cijfer; en elk volgend cijfer, 3 tot en met 9, zal het eerste cijfer zijn met afnemende frequentie. De resulterende neerwaarts aflopende curve kan worden gebruikt als een basislijn om te bepalen of een dataset echt of gefabriceerd is.Accountants vergelijken vaak de eerste cijfers van financiële transactiegegevens, zoals grootboekposten, met een Benford-curve om afwijkingen op te sporen die op fraude kunnen duiden. Dezelfde techniek kan worden gebruikt om onregelmatige netwerkactiviteit en andere gegevens te detecteren die kunnen duiden op kwaadaardige activiteiten van binnenuit

 

Onderliggende wiskunde

De wet van Benford is gebaseerd op logaritmen met grondtal 10 die de kans berekenen dat getal x begint met cijfer d als log10 (x) ligt in het interval van lengte log10 (d + 1) - log10 (d) = log10 (1 + 1 / d). Wanneer u de cijfers 1 tot en met 9 invoert, heeft elk volgend cijfer een afnemende kans dat dit het eerste cijfer is.

Figuur 1: Logaritmische intervallen van voorloopcijfers, gebaseerd op log10 (x)

 

De grootte van het nummer doet er niet toe. Of je nu te maken hebt met vijf-cijferige of tweecijferige getallen, de waarschijnlijkheid van een bepaald voorloopcijfer kan worden voorspeld voor gegevens die voldoen aan de aannames van Benford door te kijken naar de eerste twee decimalen van de log met grondtal 10 van het getal.

Beschouw 1.002: log10 (1.002) ≈ 3.000867. De eerste twee decimalen vallen binnen het .00-.30 interval, voor logwaarden met grondtal 10 van getallen met een voorloopcijfer van 1. Deze positie weerspiegelt het feit dat 30 procent van de natuurlijk voorkomende getallen die voldoen aan de aanname van Benford een voorloopcijfer hebben van 1. Beschouw op vergelijkbare wijze 52: log10 (52) ≈ 1,716000334. De eerste twee decimalen vallen binnen het interval van .70-.78, voor logwaarden met grondtal 10 van getallen met een voorloopcijfer 5. Deze positie geeft aan dat 8 procent van de getallen die passen bij de aannames van Benford een voorloopcijfer heeft van 5. De onderstaande tabel toont een vollediger voorbeeld van hoe de kans op voorloopcijfers wordt gevonden met logaritmeberekeningen met grondtal 10.

Tabel 1: Voorbeeld van Base-10-logboeken voor voorloopcijfers 1-9

De conclusie van al deze wiskunde: getallen in een dataset die aan alle aannames van Benford voldoen, zouden deze verdeling van voorloopcijfers moeten volgen, waarbij 1 de meest voorkomende en 9 de minste is.

 

Figuur 2: Kansverdeling van voorlopende cijfers volgens de wet van Benford

 

Om een conclusie over een Benford-curve geldig te maken, moeten de gegevens (1) numeriek zijn, (2) willekeurig worden gegenereerd, (3) groot zijn en (4) de omvang van gebeurtenissen vertegenwoordigen. Veel soorten gegevens voldoen aan deze aannames, inclusief het aantal inwoners, boekhoudgegevens en netwerkverkeer. Gegevens die bestaan uit nummers die als identificatiegegevens worden gebruikt, zoals telefoonnummers en burgerservicenummers, schenden de veronderstelling dat de gegevens willekeurig worden gegenereerd.

Figuur 3: Distributie van populatiegegevens met leidende cijfers

 

Toepassing in de boekhouding

 

De wet van Benford wordt veel gebruikt in de boekhouding om gegevens te onderzoeken op anomalieën die op fraude kunnen duiden. Boekhoudgegevens volgen over het algemeen de vier aannames die vereist zijn voor een geldige conclusie over een Benford-curve: grootboeken, resultatenrekeningen en inventarislijsten kunnen allemaal worden vergeleken met de curve om de echtheid te bepalen. Deze analyse kan een toelaatbaar bewijs zijn van fraude bij federale en nationale rechtbanken. De forensische accountantsgemeenschap accepteert over het algemeen de methodologie, waarnaar wordt verwezen in de Fraud Examiners Manual. Forensische accountants, fraudeonderzoekers, accountants en auditors gebruiken de wet van Benford om anomalieën op te sporen die moeten worden onderzocht. De combinatie van het algemeen aanvaarde gebruik van de methode, de academische reputatie en de brede beschikbaarheid van experts maken de toelaatbaarheid van Benford-analyses waarschijnlijk.

 

Het raamwerk verschuiven naar technische bedreigingen van binnenuit

 

Netwerkverkeer volgt doorgaans de vier aannames die nodig zijn om een ​​conclusie over de Benford-curve geldig te maken. Het langdurige gebruik van de Benford-analyse in de boekhouding en de geschiktheid ervan voor de natuurlijk gegenereerde gegevens van informatiebeveiliging maken het proces levensvatbaar voor technische bedreigingen van binnenuit. Benford-analyse is vooral nuttig bij het detecteren van zowel zeer waarschijnlijke als onwaarschijnlijke gegevenspunten, dus het dient als een dubbele maatstaf voor zowel normaliteit als aberratie.De huidige cyberbeveiligingssystemen zijn sterk afhankelijk van het identificeren van abnormaal gedrag. Alleen zoeken naar bekende handtekeningen heeft geen betrekking op de breedte van het bedreigingslandschap - onbekende handtekeningen zijn even belangrijk. Anomaliedetectie is over het algemeen moeilijk vast te stellen omdat het creëren van een basisverkeersprofiel en het verwerken van de grote hoeveelheid verkeersgegevens tijdrovende processen zijn.De wet van Benford kan helpen bij het vermijden van de inspanning voor het opsporen van afwijkingen op basis van de basislijn. Als het netwerkverkeer voldoet aan de aannames van de wet van Benford, kunnen verkeersgegevens die afwijken van de Benford-curve als een anomalie worden beschouwd.
De wet van Benford voert veel van het uitzoekwerk uit, in plaats van handmatige berekeningen.

 

Insider Threat-toepassingen

Laten we, om de mogelijke toepassingen van de wet van Benford op de detectie van bedreigingen van binnenuit te demonstreren, enkele scenario's onderzoeken die zijn geïnspireerd op de scenario's die we vastleggen in het CERT Insider Threat Incident Corpus.

Controleer fraude

Een organisatie heeft alarmdrempels ingesteld op $ 500 en $ 1.000. Een van de boekhouders heeft ongedekte cheques uitgeschreven voor $ 499 en $ 999, net onder de waarschuwingsdrempels. Nadat de organisatie een audit heeft uitgevoerd en de gegevens uit de boeken heeft vergeleken met de Benford-curve, wordt de boekhouder gepakt.
In deze situatie komen de cijfers 4 en 9 vaker voor als de voorloopcijfers dan zou moeten in een natuurlijke dataset. Deze gegevens zijn niet in overeenstemming met de wet van Benford en geven reden tot bezorgdheid.

 

Figuur 4: Hypothetische grootboekgegevens beïnvloed door fraude met cheques

 

Frauduleuze facturen

Een werknemer maakt fictieve factuurgegevens aan om zijn ongeoorloofde activiteit te verbergen door willekeurig getallen op de horizontale cijfertoetsen te typen. Een andere medewerker merkt onregelmatigheden op in de Benford-analyse van de factuurgegevens en de medewerker die de fictieve gegevens heeft gemaakt, wordt betrapt.

In deze situatie komen de cijfers 4, 5, 6 en 7 vaker voor als de eerste cijfers vanwege de handplaatsing van de werknemer op de cijfertoetsen. Zelfs gefabriceerde gegevens die willekeurig lijken, kunnen worden gescheiden van echte gegevens.

Afbeelding 5: gegevens gegenereerd door te typen op de horizontale cijfertoetsen

 

Gegevens exfiltratie

 

Een ontevreden mede-oprichter van een technologiebedrijf maakt ruzie met zijn partner en besluit het bedrijf te verlaten, maar niet voordat hij grote bedrijfsgeheimen heeft gedownload. De medeoprichter heeft geautoriseerde toegang tot de handelsgeheimen en bekijkt en werkt regelmatig met de bestanden. Hij verwerkt dagelijks talloze uploads en downloads, dus hij denkt niet dat hij gepakt zal worden. Maatregelen van netwerkverkeer volgen over het algemeen een Benford-curve. Hoewel de mede-oprichter zich doorgaans bezighoudt met handelsgeheimen en een hoog netwerkgebruik heeft, verschuift zijn onverwachte toename van de normale netwerkactiviteit de verdeling van voorloopcijfers in het netwerkverkeer van het bedrijf, wat een afwijking signaleert. Een analyse om veranderingen in de statistische verdeling van netwerkactiviteit te detecteren, activeert een waarschuwing voor verdachte activiteit. In dit geval komt de medeoprichter er niet mee weg.

 

IT-sabotage

Een medewerker komt erachter dat hij ontslagen gaat worden en besluit een denial-of-service (DoS) -aanval op het bedrijfsnetwerk uit te voeren. De IT-afdeling van het bedrijf heeft onlangs basis-intervaltijden en pakketlengtes vastgesteld. Ze zijn snel in staat om de anomalie veroorzaakt door de medewerker te identificeren en de aanval te stoppen.
De wet van Benford is vooral handig bij het detecteren van DoS-aanvallen, omdat het overspoelen van een netwerk met gegevens de natuurlijkheid van netwerkverkeer doorbreekt.

 

Laatste gedachten

Het is belangrijk om de bronnen te gebruiken waartoe we al toegang hebben. Veel boekhoudafdelingen hebben jarenlange ervaring met Benford-analyses, dus het toepassen van het Benford-raamwerk op een informatiebeveiligingscontext zou eenvoudiger moeten zijn dan het creëren van nieuwe technieken voor het bewaken van drempelactiviteit. Deze controle is niet afhankelijk van gelabelde historische gegevens. In plaats daarvan maakt het gebruik van de natuurlijke conformiteit van de gegevens met de aannames van de wet van Benford en toetst het die conformiteit aan de verwachting van Benford.

Niet alle organisatiegegevens voldoen aan de aannames van Benford. Organisaties die consequent transacties met hoge voorloopcijfers faciliteren, kunnen bijvoorbeeld merken dat de Benford-methode van beperkt nut is. In de toekomst zouden we het rendement op de investering en de doeltreffendheid van het gebruik van Benford-analyse voor anomaliedetectie kunnen vergelijken met meer conventionele statistische methoden die worden gebruikt voor dreiging van binnenuit, zoals de stelling van Bayes.

 

MFA toevoegen aan ALLE interne systemen

Hoe zou u zo'n aanval hebben geblokkeerd?

Oké, dus wat kunnen we doen? We kunnen complexe oplossingen inzetten die al het verkeer in het netwerk scannen en zoeken naar verkeer dat naar de C2-server gaat of van de C2-server naar de gecompromitteerde machine. Helemaal geen eenvoudige taak.

En zelfs als u al uw software van derden uitvoert en patcht, of een netwerkscanoplossing implementeert, wat garandeert dan dat de volgende Zero Day-aanval u geen kwaad zal doen? We moeten accepteren dat zolang ontwikkelaars software ontwikkelen, kwetsbaarheden het noodzakelijke kwaad zullen blijven waarmee we zullen moeten leven. Maar samenleven met hen betekent niet dat we het risico dat deze kwetsbaarheden door hackers worden misbruikt, niet kunnen verkleinen. Misschien willen we een andere aanpak overwegen: de interne processen controleren en beveiligen en de aanvallers continu uitdagen.

Er wordt ons vaak verteld dat we aan moeten nemen dat de aanvaller zich al in ons netwerk bevindt, dus waarom proberen we niet te voorkomen dat hij lateraal door ons netwerk beweegt? Het idee is dat ze wel binnenkomen, maar geen kwaad kunnen doen.

Wat als we 'auto magisch' MFA zouden kunnen toevoegen aan elk systeem, elke server en elke applicatie in het netwerk, zodat wanneer de aanvaller probeert toegang te krijgen tot een server vanaf de geïnfecteerde machine, zijn PowerShell-opdracht (als we de bovengenoemde aanval als voorbeeld nemen ), zou een MFA-verzoek hebben aangeroepen dat tot goedkeuring zou hebben verhinderd dat de opdracht kon worden uitgevoerd?

 

Safe-T's ZoneZero® MFA-oplossing

Maar we kunnen nu zeggen dat wat hierboven beschreven is, niet langer een droom is.   Safe-T ZoneZero MFA is de eerste zero-trust netwerktoegang (ZTNA) -oplossing ooit die is ontworpen om gecentraliseerde MFA toe te voegen aan elk bedrijfsmiddel (systeem, server, gegevens, applicatie, enz.).

Verbeterde en continue gebruikersauthenticatie is een van de belangrijkste componenten in zero-trust netwerktoegang. Identificatieproviders en multifactor-authenticatie-providers hebben het authenticatieproces verbeterd, maar de leidende ‘klant gebaseerde’ benadering zorgt voor uitdagingen op het gebied van integratie en onderhoud. Bovendien zijn veel niet-web toepassingen van nature niet compatibel met MFA.

Safe-T's ZoneZero MFA gecentraliseerde aanpak stelt klanten in staat om eenvoudig multi-factor authenticatie (sms, push-berichten, biometrisch, Telegram, WhatsApp, REST API) en identiteitsbewustzijn te integreren in alle toegangsscenario's - externe en interne gebruikers, VPN's, web en niet- web applicaties.

Dit product maakt deel uit van het ZoneZero Perimeter Access Orchestration-platform dat centraal beheer van alle beveiligde toegangstechnologieën biedt en organisaties helpt om zero-trust netwerktoegang (ZTNA) te bereiken.

Met Safe-T ZoneZero® MFA - kunt u voorkomen dat hackers zich door uw netwerk verplaatsen!

Door ZoneZero MFA in het netwerk te implementeren, is het nu mogelijk om ervoor te zorgen dat elk verzoek van een gebruiker / applicatie aan een applicatie een MFA-actie oproept, bijvoorbeeld een sms-bericht dat naar de IT-beheerder of relevante applicatieontwikkelaar wordt gestuurd. Totdat er op de MFA is gereageerd, wordt de uitvoering van de opdracht verhinderd.

Een dergelijke mogelijkheid zou de aanvalsvector van laterale beweging volledig hebben voorkomen, omdat bij de eerste poging om een ​​PowerShell-opdracht uit te voeren, de IT van het bedrijf op de hoogte zou zijn gebracht en de alarmen zouden zijn gaan rinkelen.

 

De oplossing - ‘Safe-T ZoneZero® MFA’

< >Gecentraliseerde aanpak - Geen integratie aan de clientzijde, Naadloze integratie - Snelle implementatie. Voeg MFA-mogelijkheden toe aan legacy-applicaties, propriëtaire services, RDP,bestandsshares, SSH, SFTP, VMWare, enz.Ingebouwde MFA of integratie met MFA, IdP's van derden - sms, push, biometrisch, telegram, WhatsApp, REST APIOndersteuning voor continue authenticatieBeleid voor toegangscontrole voor interne gebruikersGebruiker> App en app> App-gebruiksscenario's

 

Alle dank aan Emily Kessel van Carnegie Mellon University, dit artikel verscheen op 17 december op de website van Carnegie Mellon.

De pagina naar het originele artikel met bovendien nog meer links in het artikel vindt je HIER

Heb je vragen of wil je meer te weten komen over de diensten van Omerta, klik dan HIER

 

Extra info:

Aamo, I., "Over het gebruik van de wet van Benford om manipulatie van JPEG-biometrische gegevens te detecteren." Journal of Information Security, 8, 2017, 240-256. https://file.scirp.org/pdf/JIS_2017071914213246.pdf

Reese, M., "Waarom cyberveiligheid zich zorgen moet maken over de wet van Benford." LinkedIn, 2019. https://www.linkedin.com/pulse/why-cyber-security-should-care-benfords-law-mindy-reese

Sarkar, T., "Wat is de wet van Benford en waarom is deze belangrijk voor datawetenschap?" Towards Data Science, 2018. https://towardsdatascience.com/what-is-benfords-law-and-why-is-it-important-for-data-science-312cb8b61048

 

 

 

 

 

Contact

Omerta Information Security
Overwegwachter 4
3034KG Rotterdam

010 808 2503
SaFe-T's MFA is here to help

SaFe-T's MFA is here to help

Geplaatst op: 2021-03-04

Integrate Multi-Factor Authentication and Identity Awareness to any Service or Application Part of the ZoneZero Perimeter Access Orchestration Suite, ZoneZero MFA allows you to easily integrate mult...

Lees meer Archief
High Level logische netwerk segmentatie

High Level logische netwerk segmentatie

Geplaatst op: 2021-02-17

High Level logische netwerk segmentatie In 1 van onze vorige blogs hebben we besproken wat micro segmentatie precies is. Vandaag een voorbeeld van logische segmentatie. In een use case voor logische segmentatie...

Lees meer Archief