Ανάλυση κίνησης δικτύων υποδομών ζωτικής σημασίας με τη χρήση του Apache Spot.

Abstract

Το Apache Spot είναι ένα υπό εξέλιξη έργο του Ιδρύματος για την ανίχνευση ανωμαλιών σε δεδομένα τηλεμετρίας δικτύου μεγάλου όγκου. Παρουσιάζει ιδιαίτερο ενδιαφέρον αλλά και πολυπλοκότητα καθώς συνδυάζει τους τομείς Κυβερνοασφάλειας, Μεγάλων Δεδομένων και Μηχανικής Μάθησης. Σε αυτή την εργασία γίνεται η παρουσίαση της λειτουργίας του, η εγκατάσταση και η παραμετροποίησή του και η χρήση του στο δικτυακό περιβάλλον μιας Υποδομής Ζωτικής Σημασίας (ΥΖΣ), ενταγμένο σε ένα πλαίσιο για την αξιολόγιση των αποτελεσμάτων. Πιο συγκεκριμένα, αναλύονται δεδομένα netflow εξωτερικής, εσωτερικής και κίνησης ενδοδικτύου που συλλέχθηκαν για διάρκεια δύο μηνών από υποδομή μεσαίου μεγέθους από τον χώρο της Υγείας που χρησιμοποιεί καθιερωμένα συστήματα ασφαλείας. Στόχος είναι ο εντοπισμός ευρημάτων σε ένα πραγματικό δίκτυο αλλά και ενδεχόμενων περιορισμών στις δυνατότητές του. Παρουσιάζεται η μεθοδολογία της ανάλυσης που περιλαμβάνει τη χρήση επιπλέον υπηρεσιών πληροφοριών φήμης, τις πληροφορίες από κατάλογο των κόμβων του δικτύου και τη χρήση εργαλείου εκτέλεσης αξιολόγησης ευπάθειας των εμπλεκόμενων κόμβων. Εξετάζοντας τη συμπεριφορά του Apache Spot κατά την ανίχνευση πολυήμερων σαρώσεων με μεταβλητά χαρακτηριστικά, διαπιστώνεται ότι δεν υπάρχει συνοχή στα αποτελέσματα καθώς οι εν λόγω σαρώσεις δεν ανιχνεύονται κάθε ημέρα. Επίσης, από την ιχνηλάτηση ύποπτων ροών προκύπτουν επιθέσεις που έγιναν άλλες μέρες και δεν έχουν εντοπιστεί στα αποτελέσματα, γεγονός, όμως, που δείχνει ότι αποτελεί άριστο εργαλείο ιχνηλάτησης. Στην ανίχνευση ανωμαλιών όπου ύποπτες ροές είναι αυτές που ο αλγόριθμός υπολογίζει ότι έχουν την χαμηλότερη πιθανότητα, οι πιθανότητες καθορίζονται από τα χαρακτηριστικά των ροών αλλά και το σύνολο της κίνησης γεγονός που εξηγεί την έλλειψη συνοχής που παρατηρήθηκε. Πάραυτα, από τα ευρήματα προκύπτει ότι μπορεί να εντοπίσει ενέργειες που έχουν διαφύγει των άλλων συστημάτων προστασίας. Για παράδειγμα, εντοπίστηκε αμφίδρομη επικοινωνία με κόμβο που φιλοξενούσε κακόβουλο λογισμικό, επικοινωνία που ολοκληρώθηκε σε συνολικά μόλις τέσσερις ροές και μεταφέρθηκαν ελάχιστα MB. Αν η ανάλυση είναι σε βάθος χρόνου, το Spot μπορεί να αποκαλύψει κακόβουλες ενέργειες μη ορατές σε άλλα συστήματα και να μειώσει τον μέσο χρόνο ανίχνευσης και αντίδρασης σε ένα συμβάν κυβερνοασφάλειας. Οι ΥΖΣ έχουν σαν προτεραιότητά τους την ελαχιστοποίηση των επιπτώσεων των κυβερνοεπιθέσεων και το Apache Spot είναι ένα εργαλείο που μπορεί να προστεθεί στην πολύ-επίπεδη προστασία τους έχοντας έναν ξεχωριστό ρόλο.

Apache Spot is an incubating project of the Foundation, used for anomaly detection in large volumes of network telemetry data. It is of particular interest and as it combines the fields of Cybersecurity, Big Data, and Machine Learning. This thesis contains the presentation of Spot’s functionality, installation and configuration process, and its usage in the networking environment of critical infrastructure, integrated into a framework for the evaluation of the results. Specifically, it analyses internal, external, and intranet netflow data collected over a two-month period from a medium-sized healthcare facility, which uses established security systems. The purpose is to identify findings in a real network, along with possible limitations to its capabilities. The analysis methodology including the use of additional reputation information services, information from network inventory, and the use of a vulnerability assessment tool for the nodes involved is presented. Having inspected Apache Spot’s behavior when detecting several-day scans with variable characteristics, it is deduced that the results are quite inconsistent, as these scans are not detected every day. In addition, attacks that occurred on different days and cannot be found in the results are traced during the investigation of suspicious connections, proving that Spot is an excellent investigating tool. In the anomaly detection where suspicious flows are the ones that the algorithm calculates to have the lowest probability, the probabilities are determined by the characteristics of the flows and the total traffic, which explains the lack of coherence observed. However, the findings show that it can identify actions that have eluded other protection systems For instance, bidirectional communication was detected with a node hosting malware, communication completed in a total of just four flows and minimal MB transferred. For a long-term analysis, Apache Spot can reveal malicious actions invisible to other security systems and reduce the average of the detection and reaction time to a cybersecurity incident. The priority of critical infrastructure is the minimization of the effects of cyberattacks and Apache Spot is a tool that can be added to their multi-level protection having a special role.