Document details

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2018

Ao longo dos anos tem havido um crescimento do número de ataques informáticos, assim como um aumento da complexidade que estes demonstram, em grande parte devido a um aumento dos ganhos monetários em levar a cabo tais actividades. Com o aparecimento de novos ataques diariamente, a proteção de uma rede informática fica assente numa monitorização genérica do tráfego digital que esta transporta. Uma empresa que se pretenda proteger tem ao seu dispor um vasto leque de opções possíveis para este fim, incluindo sistemas de deteção de intrusão, firewalls e antivírus, que analisam o tráfego transmitido pela rede em busca de atividade suspeita. Se tal atividade for encontrada, é gerado um alerta com o intuito de sublinhar o possível ataque, podendo também ser despoletados mecanismos de resposta automáticos que bloqueiam o acesso. A confiabilidade que se consegue atribuir a estes sistemas de monitorização de rede é dada por duas propriedades fundamentais - a sensibilidade e a especificidade. A sensibilidade de um sistema de monitorização é dada pelo número de intrusões que são corretamente detetadas e se este valor for baixo significa que existe um grande número de ataques reais que passaram despercebidos. Por outro lado, a especificidade de um sistema é calculada com base no número de falsos alertas gerados – quanto mais baixo for este número mais específico é o sistema. Uma baixa especificidade traz custos acarretados, uma vez que é necessário gastar mais tempo a perceber a verdadeira natureza dos alertas gerados pelo sistema, ou, em pior caso, são despoletadas rotinas automáticas que afetam o estado da rede com base em informação falsa. Uma maneira de melhorar estas propriedades em sistemas de monitorização, e por consequência a confiabilidade que lhes é possível atribuir, é através do uso da técnica de design diversity, ou “diversidade de projeto”. Esta técnica consiste no uso de múltiplos sistemas diferentes em conjunto, com o objetivo de obter melhores resultados do que aqueles que seriam alcançáveis usando apenas os sistemas individualmente. Ao usar múltiplos sistemas, é esperado que os erros encontrados num sejam “cobertos” por outro, e desta forma se assemelhem a um único sistema superior. Quanto maior for a diversidade entre os sistemas individuais maiores são os potenciais ganhos do uso da técnica de diversidade de projeto, pois é menos provável que as lacunas de um sistema sejam encontradas em outros. Estes ganhos podem ser maximizados para ambientes específicos através da construção de sistemas de voto, que podem ser configurados de diversas maneiras dependendo do número de sistemas usados e da propriedade que se pretende aumentar – sensibilidade ou especificidade. Por exemplo, com o uso de dois sistemas de monitorização de rede, é possível fazer uma configuração 1-em-2, o que significa que desde que um sistema interno gere um alerta, esse alerta é considerado correto, e desta forma é garantido que a sensibilidade do sistema é igual ou superior à sensibilidade de cada um dos sistemas internos individualmente. Por outro lado, seria também possível usar uma configuração de 2-em-2, onde são necessários alertas gerados por ambos os sistemas internos para que este seja aceite como correto, e desta forma aumentando a especificidade observada quando comparada com a especificidade de cada um dos dois sistemas individualmente. É sabido que o uso da técnica de diversidade de projeto tem a capacidade de aumentar a confiabilidade dos sistemas onde é usada. No entanto, existem problemas que dificultam a adoção desta técnica. Existe um maior custo associado ao uso de diversidade de projeto, que provém da necessidade de comprar ou desenvolver os vários sistemas que compõem o sistema final, assim como a instalação e manutenção destes. Outra dificuldade passa pelo cálculo dos benefícios que são alcançáveis, uma vez que os ganhos de diversidade de projeto variam consoante o domínio aplicacional em que a técnica é aplicada, o que realça a necessidade de levar a cabo estudos num número alargado de contextos. Os resultados obtidos desses estudos possibilitam às empresas uma análise mais detalhada da situação em que se enquadram, e são necessários para justificar os custos associados com o uso da técnica. O principal objetivo desta dissertação assenta na produção de resultados sobre os efeitos do uso de diversidade de projeto, em especial no contexto de deteção de web scraping (uso de robots para extrair conteúdo encontrado em páginas web), onde este estudo ainda não foi feito. Desta forma, começamos por fazer um estudo do sistema Security Onion, uma distribuição de Linux usado para a monitorização de redes informáticas, com o objetivo de nos familiarizar com uma estrutura genérica de diversidade de projeto, uma vez que este sistema incorpora múltiplos detetores de intrusão. Posteriormente fazemos uma análise a uma coleção de dados constituída pelos logs de alertas de vários sistemas de monitorização de rede. Esta coleção de dados foi-nos fornecida pela empresa Amadeus, um fornecedor de serviços informáticos que suportam a indústria do turismo e viagens, e que é um dos parceiros do projeto Europeu H2020 DiSIEM, onde este trabalho se insere. Através da análise destes dados, evidenciamos alguns possíveis benefícios do uso de diversidade de projeto e, em particular, destacamos o uso dos sistemas Cisco ASA e Palo Alto Network Firewall como dois sistemas de particular interesse para o uso em diversidade de projeto. Fazemos depois uma terceira análise, a duas novas coleções de dados, constituídas pelos registos de acesso HTTP a um servidor Apache, gerido pela empresa Amadeus. Estes registos foram observados por dois sistemas de monitorização diferentes, denominados de Distil e Arcane, e cuja principal função era a deteção de atividades maliciosas de web scraping. Para a primeira coleção demonstramos que existem diferenças nos padrões de alerta de ambos os sistemas, e tentamos evidenciar de onde estas diferenças surgem. No entanto, face à falta de informação sobre quais acessos são realmente ataques ou não, as nossas conclusões desta análise são apenas preliminares. Os dados contidos na segunda coleção de dados de web scraping incluem informação de quais registos são de ataques reais, e com essa informação somos capazes de calcular a confiabilidade em termos das propriedades de sensibilidade e especificidade, não só de ambos os sistemas individualmente, mas também o que seria possível alcançar através do uso de sistemas de voto de 1-em-2 e 2-em-2. Posteriormente, exploramos as causas que geram os diferentes padrões de alertas de ambos os sistemas, tirando conclusões sobre a melhor maneira de os configurar, de modo a obter melhorias na sensibilidade ou especificidade. Esta última análise constitui provas concretas dos ganhos que podem ser alcançados com o uso de diversidade de projeto, e têm especial importância para a empresa Amadeus, pois permite-lhes configurar os seus sistemas de modo a obter melhorias em termos de segurança, com base nas recomendações que fazemos nesta dissertação.

The continuous increase in frequency and complexity of cyber-threats has placed organisations worldwide in an arms race to protect themselves. Network administrators are under constant pressure to improve the security properties of the networks they manage, and the reliability of the systems they employ. Monitoring systems are of particular importance in current times, as they perform the critical task of identifying incoming threats and breaches of security. These systems however, are not without their flaws, often missing attacks or raising alerts based on benign activity. The alerts generated by these monitoring systems can be classified as true positives or false positives. True positives identify alerts generated for real attacks, while false positives identify alerts generated for benign activity. When setting up a monitoring system, one hopes to have the highest number of true positives as possible, and the lowest number of false positives as possible. One way to alter these properties for the security of a network is through the use of design diversity. By utilising multiple, functionally diverse monitoring systems, an organisation can leverage the benefits and drawbacks of each individual system to achieve a more powerful combined system. The benefits of design diversity differ for different environments and network setups, and the use of such a technique can incur potentially great costs, which has historically lead organisations to shy away from the practice. In this dissertation we present the work we have done to further understand and assess the true benefits of using design diversity for the purposes of network monitoring. We present the results from three separate dataset analysis, all of which were provided by Amadeus, a multi-national IT provider. The first dataset consists of alerts generated by six different network security and monitoring systems, for which we have shown potential evidence of the benefits of design diversity. The second and third datasets consist of alerts generated for malicious web scraping attempts, with one of them including manually labelled attacks done by Amadeus’ engineers. For the last dataset we have been able to show concrete findings in favour of using design diversity, and in specific in the context of malicious web scraping. We have also used the findings from one of these datasets to publish a fast abstract for the International Conference on Dependable Systems and Networks 2018 (DSN’18).