Μελέτη έξυπνων μεθοδολογιών που μπορούν να βελτιώσουν τις υπηρεσίες της ασφαλείας των υπολογιστών και να επεκτείνουν τη λειτουργικότητα των SIEM. Η ευφυΐα στα SIEM έγκειται στη χρήση των ευφυών κανόνων, των τεχνολογιών επιχειρησιακής νοημοσύνης, στα πλαίσια ανταλλαγής πληροφοριών σχετικά με τις απειλές, καθώς και στα πρότυπα της μηχανικής μάθησης. Διπλωματική εργασία στο ΠΜΣ Ευφυείς Τεχνολογίες Διαδικτύου, επιβλέπων καθηγητής κ. Χρήστος Ηλιούδης.

1. Ασφάλεια
Διαδικτυακών
Πληροφοριακών
Συστημάτων
ΕΥΦΥΗ SIEM
(SECURITY INFORMATION EVENT MANAGEMENT)
Επιβλέπων καθηγητής:
Χρήστος Ηλιούδης
Διεθνές Πανεπιστήμιο
της Ελλάδος

2.  Σύμφωνα με την ετήσια έρευνα της ομάδας RISK του
παρόχου Verizon για το έτος 2018, καταγράφηκαν
53.000 συμβάντα και 2.216 επιβεβαιωμένες
παραβιάσεις δεδομένων παγκοσμίως.
 Συνολικά το 68% του κακόβουλου λογισμικού
(malware) εντοπίζεται μετά από μήνες μόλυνσης
 Το 20% των malware εντοπίζεται μετά από μερικές
εβδομάδες
 και μόνο το 12% των malware εντοπίζεται άμεσα ή
μετά από κάποιες ημέρες.
ΕΠΙΓΝΩΣΗ ΤΗΣ ΚΑΤΑΣΤΑΣΗΣ ΤΗΣ ΑΣΦΑΛΕΙΑΣ
https://bit.ly/2TnsTt0

3.  Τα logs περιέχουν χρήσιμες πληροφορίες, όπως:
1. Ποιος μας επιτίθεται;
2. Με ποιούς τρόπους απέκτησαν πρόσβαση στο
σύστημα μας;
 Οι επιτυχημένες επιθέσεις σπάνια μοιάζουν με
πραγματικές επιθέσεις. Συνήθως γίνονται αντιληπτές
κατά την μετέπειτα εγκληματολογική έρευνα.
ΑΡΧΕΙΑ ΚΑΤΑΓΡΑΦΗΣ (LOGS)

4.  Τα εργαλεία ανίχνευσης εισβολών (Intrusion
Detection Systems - IDS) εντοπίζουν μόνο πακέτα,
πρωτόκολλα και διευθύνσεις IP. Περιορίζονται σε ένα
στατικό τρόπο αναγνώρισης μοτίβων και ενεργειών
γνωστών ως υπογραφές τις επίθεσης (Indicators of
Compromise - IoCs).
 Τα προϊόντα προστασίας των άκρων του δικτύου
(Endpoint security) εντοπίζουν μόνο αρχεία, μη
εξουσιοδοτημένους χρήστες και συσκευές.
 Τα logs των διάφορων υπηρεσιών εμφανίζουν μόνο
τις συνδέσεις των χρηστών, τις δραστηριότητες των
υπηρεσιών και τις αλλαγές των ρυθμίσεων.
ΜΗΧΑΝΙΣΜΟΙ ΤΗΣ ΑΣΦΑΛΕΙΑΣ

5.  Σκεφτείτε τα SIEM ως ένα σύστημα διαχείρισης των
συστημάτων και των μηχανισμών της ασφάλειας.
 Συνδέουν τις πληροφορίες που περιέχονται στα
υπάρχοντα συστήματα και επιτρέπουν την ανάλυση
και την διασταύρωση, σε ένα ενιαίο περιβάλλον.
 Πλεονεκτήματα:
 Ολοκληρωτική άποψη του δικτύου
 Έγκαιρη ανίχνευση των περιστατικών ασφαλείας
 Μεγάλη ακρίβεια των αποτελεσμάτων
 Ελαχιστοποίηση των πιθανών εσφαλμένων
ειδοποιήσεων (false positives )
Η ΚΑΙΝΟΤΟΜΙΑ ΤΩΝ SIEM

6.  Τα SIEM διαθέτουν ικανότητες ανάλυσης μεγάλου
όγκου δεδομένων.
 Η λειτουργία τους είναι, τόσο χρήσιμη όσο και οι
πληροφορίες που τα τροφοδοτούν.
 Ελέγχουν το περιεχόμενο των logs και το συγκρίνουν με
ένα σύνολο κανόνων, για τον εντοπισμό πιθανών
παραβιάσεων των απαιτήσεων συμμόρφωσης, με τους
κανονισμούς της ασφάλειας.
 Η κύρια αιτία τοποθέτησης των SIEM είναι για λόγους
εφαρμογής της πολιτικής συμμόρφωσης. Σχετική
έρευνα ανέδειξε ότι το ποσοστό αυτό προσεγγίζει το
80% της χρήσης.
Ο ΡΟΛΟΣ ΤΩΝ SIEM ΣΤΗΝ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗ
ΣΤΡΑΤΗΓΙΚΗ

7.  Κάθε ΛΣ και κάθε εφαρμογή καταγράφουν τα logs με
το δικό τους τρόπο, καθιστώντας δύσκολο το χειρισμό.
 Τα περισσότερα logs συντάσσονται με τέτοιο τρόπο,
ώστε να μπορούν να διαβαστούν από τον άνθρωπο και
όχι από τους υπολογιστές.
 Η ανάλυση των logs είναι εφικτή με τις διαδικασίες
της συλλογής, της κανονικοποίησης και της
συνάθροισης.
 Η μονάδα διαχείρισης των logs είναι υπεύθυνη για την
αποθήκευση, την αρχειοθέτηση, την οργάνωση και την
ανάκτηση.
ΣΥΛΛΟΓΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΤΩΝ LOGS

8. Παρακολούθηση πληροφοριών σε προστατευμένο
περιβάλλον
Συλλογή και διαχείριση των logs σε πραγματικό χρόνο
Αναφορές συμμόρφωσης και παρουσίαση
Συσχέτιση συμβάντων (event correlation)
Ανάλυση συμπεριφοράς και αποτροπή απειλών
Διαχείριση της ασφάλειας στα άκρα του δικτύου
Υπηρεσίες εγκληματολογικής αξιολόγησης (forensics)
Υπηρεσίες SaaS (SIEM as a Service)
Υποστήριξη επιχειρησιακών κέντρων ασφάλειας (Security
Operation Centers - SOCs) και ομάδων αντιμετώπισης
περιστατικών στον κυβερνοχώρο (Cyber Incident Response
Teams - CIRTs)
ΠΕΡΙΓΡΑΦΗ ΤΗΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΩΝ SIEM

9.  Η συσχέτιση είναι η διαδικασία αντιστοίχισης των
συμβάντων, που προέρχονται από διαφορετικά
συστήματα (κεντρικούς υπολογιστές, συσκευές
δικτύου, μηχανισμούς ασφάλειας).
 Επιτρέπει τον προσδιορισμό διαφορετικών
συμβάντων, τα οποία καταγράφονται συνολικά στο
δίκτυο και πιθανόν να αποκαλύψουν την εξέλιξη μιας
επίθεσης.
 Επίσης, επιτρέπει την αυτοματοποίηση του
εντοπισμού συμβάντων, με την χρήση κανόνων.
Η ΔΥΝΑΜΗ ΤΗΣ ΣΥΣΧΕΤΙΣΗΣ

10.  Η διαφορά της συσχέτισης ειδοποιήσεων μεταξύ:
 και
Η ΔΥΝΑΜΗ ΤΗΣ ΣΥΣΧΕΤΙΣΗΣ ΙΙ

11.  Τα SIEM πλαισιώνουν τις λειτουργίες των SOCs
παρέχοντας προηγμένες υπηρεσίες ασφάλειας, που
συμβάλλουν στην προληπτική αντιμετώπιση των
απειλών, όπως:
 Διαχείριση ευπαθειών (Vulnerabilities management)
 Αντιμετώπιση περιστατικών (Incident response)
 Υπηρεσίες πληροφοριών σχετικά με τις απειλές
(Cyber Threat Intelligence - CTI)
 Προηγμένη ανάλυση μεγάλων όγκων δεδομένων
(SIEM & Big Data Security Analytics )
ΥΠΟΣΤΗΡΙΞΗ SOC(S) ΚΑΙ CIRT(S)

12. Η ΑΝΑΤΟΜΙΑ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ SIEM
https://bit.ly/3amXkVQ

13. Η ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΤΩΝ SIEM

14. ΣΥΓΚΡΙΣΗ ΤΩΝ SIEM ΑΝΟΙΚΤΟΥ ΚΩΔΙΚΑ
Χαρακτηριστικά
προϊόντος
AlienVault
OSSIM
Elastic SIEM OSSEC Wazuh MozDef
Παρακολούθηση
πραγματικού
χρόνου
≈ 200 EPS < 500 EPS < 500 EPS 300M EPS
Περίπτωση
χρήσης
Πειραματικά
και μικρού
μεγέθους
δίκτυα
Πειραματικά
και μικρού
μεγέθους
δίκτυα
Μεγαλύτερα
δίκτυα και
cloud
υπηρεσίες
Μεγάλα δίκτυα
και cloud
υπηρεσίες
Ευφυείς
λειτουργίες
Συσχέτιση
Elastic
Common
Schema
Security
analytics
Machine
Learning, SOAR
Cyber Threat
Intelligence
OTX
Εμπορική
έκδοση
OTX RESTful API
Αναφορές
συμμόρφωσης
GDPR, PCI-DDS,
HIPAA, ISO
27001 κ.α.
Kibana
PCI-DDS, GDPR,
HIPAA κ.α.
Kibana

15.  H ανάπτυξη της ευφυΐας είναι ένα αποτέλεσμα
συντονισμένης προσπάθειας και είναι εφικτή με:
 Τη χρήση των ευφυών κανόνων,
 Τη χρήση τεχνολογιών επιχειρηματικής νοημοσύνης,
 Τα συνεργατικά πλαίσια διαμοιρασμού IoCs και τις
υπηρεσίες CTI,
 Tα πρότυπα της Μηχανικής Μάθησης.
Η ΕΥΦΥΪΑ ΣΤΑ SIEM

16.  Ανίχνευση συμβάντων και σε επίπεδο εφαρμογής.
 Υποστηρίζουν τη διαρκή ενημέρωση με νέες
υπογραφές και το διαμοιρασμό έτοιμων κανόνων με
τις κοινότητες CTI, π.χ. MISP (Malware Information
Sharing Platform).
 Εργαλείο sigmac - μετατροπή κανόνων Sigma σε
ερωτήματα SIEM και εξαγωγή, σε μορφή κατάλληλη
για εισαγωγή στις υποστηριζόμενες πλατφόρμες.
 Εργαλείο sigma2misp – εισαγωγή κανόνων στην
πλατφόρμα MISP.
ΕΥΦΥΕΙΣ ΚΑΝΟΝΕΣ - SIGMA

17.  Ανάλυση υπογραφών σε αρχεία και στη μνήμη.
 Υποστηρίζει αυτόνομη και συνεργατική λειτουργία:
oIDS (Zeek, aka Bro)
oAV (ClamAV)
 Ιδανική χρήση για την αποκάλυψη των απειλών APT
(Advance Persistent Threats).
 Κατηγοριοποίηση των διαφορετικών οικογενειών
malware.
ΕΥΦΥΕΙΣ ΚΑΝΟΝΕΣ - YARA

18.  rule Example {
 meta:
 description = "This is an example"
 strings:
 $my_text_string = "text"
 $my_hex_string = { E2 34 A1 C8 23 FB }
 $my_regex_string = /md5: [0-9a-fA-F]{32}/
 condition:
 $my_text_string or $my_hex_string or
$my_regex_string
 }
ΠΑΡΑΔΕΙΓΜΑ ΚΑΝΟΝΑ YARA

19.  Το εργαλείο yarGen διαθέτει μια τεράστια βάση
δεδομένων, η οποία περιέχει καλόβουλα αλφαριθμητικά
(goodwares) και καλοήθης κώδικες λειτουργίας
(opcodes).
 Εξάγει όλα τα ASCII και UNICODE strings από τα αρχεία
που εξετάζει.
 Αντικαθιστά τα όμοια goodwares που εμφανίζονται στη
βάση δεδομένων.
 Η ταξινόμηση των αλφαριθμητικών πραγματοποιείται με
τη χρήση του ταξινομητή Naive Bayes.
 Έπειτα από διαδοχικές συγκρίσεις μεταξύ των αρχείων,
εξάγονται τα αλφαριθμητικά και σχηματίζονται οι απλοί
(Simple rules) και οι υπέρ κανόνες (Super rules)
ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΠΑΡΑΓΩΓΗ ΚΑΝΟΝΩΝ
YARA

20.  Στατική ανάλυση του malware njRAT και παραγωγή
κανόνα με το εργαλείο yarGen
ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΠΑΡΑΓΩΓΗ ΚΑΝΟΝΩΝ
YARA II

21.  Εκτέλεση σάρωσης και εντοπισμός του κακόβουλου
λογισμικού, με τη χρήση του παραγόμενου κανόνα
στο εργαλείο Yara
ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΠΑΡΑΓΩΓΗ ΚΑΝΟΝΩΝ
YARA III

22. ΣΥΓΚΡΙΣΗ ΠΑΡΑΓΟΜΕΝΩΝ ΚΑΝΟΝΩΝ ΜΕ ΤΑ
ΕΤΟΙΜΑ ΣΥΝΟΛΑ
Κακόβουλο
λογισμικό
Κοινά αλφαριθμητικά Λειτουργία
njRAT "cmd.exe /c ping 127.0.0.1 & del "" wide Κλήση προγράμματος του ΛΣ
njRAT "Execute ERROR" fullword wide
Αποστολή μηνύματος σφάλματος
κατά την αποσυμπίεση
njRAT "GetVolumeInformation"
Ανάκτηση πληροφοριών σχετικά
με το σύστημα αρχείων
WannaCry "tasksche.exe"
Διεργασία κρυπτογράφησης των
αρχείων του Η/Υ
WannaCry
"GlobalMsWinZonesCacheCounterMutexA"
fullword ascii
Κλήση αντικειμένου mutex για την
αποτροπή εκτέλεσης
περισσότερων του ενός
στιγμιότυπου
WannaCry "icacls . /grant Everyone:F /T /C /Q" fullword ascii
Αλλαγή δικαιωμάτων αρχείων και
φακέλων, τροποποίηση λιστών
ελέγχου πρόσβασης

23.  Τα πρότυπα σύνταξης κανόνων επεκτείνουν την
ανίχνευση στα ανώτερα στρώματα του μοντέλου OSI
 Ανίχνευση σε πραγματικό χρόνο και επαύξηση του
εύρος κάλυψης με τις υπηρεσίες CTI
 Επιτρέπουν το διαμοιρασμό των πληροφοριών μεταξύ
των ερευνητικών ομάδων
 Το yarGen παρέχει δυνατότητα παραγωγής πολλαπλών
κανόνων, με σημαντική ακρίβεια
 Ωστόσο, καταναλώνει τους πόρους του συστήματος, η
διαχείριση των goodwares και η ακρίβεια των
παραγόμενων strings μπορούν να βελτιωθούν
ΣΥΜΠΕΡΑΣΜΑΤΑ

24.  Η διπλωματική μας εργασία παρέχει ένα θεωρητικό
υπόβαθρο στις σύγχρονες τεχνολογίες της ασφάλεια
υπολογιστικών συστημάτων.
 Η έρευνα μας θα μπορούσε να επεκταθεί στη μελέτη
των αλγόριθμων, που υλοποιούν οι μέθοδοι
αυτοματοποιημένης παραγωγής κανόνων και στην
ανάπτυξη ενός υπολογιστικού πλαισίου, βασισμένου
στα ενιαία πρότυπα σύνταξης κανόνων.
 Η ανάπτυξη ενός εργαλείου αυτοματοποιημένης
παραγωγής των κανόνων Sigma, αποτελεί μια
επιπλέον προγραμματιστική πρόκληση, καθώς μέχρι
στιγμής δεν έχει υλοποιηθεί κάτι αντίστοιχο.
ΜΕΛΛΟΝΤΙΚΕΣ ΕΠΕΚΤΑΣΕΙΣ

25. ΕΥΧΑΡΙΣΤΟΥΜΕ ΓΙΑ ΤΗΝ ΠΡΟΣΟΧΗ ΣΑΣ