Bedrägerier och Bedrägerier och intrångsdetekteringintrångsdetektering

Emilie Lundin BarseEmilie Lundin BarseDatorteknik,Datorteknik,

Chalmers Tekniska HögskolaChalmers Tekniska Högskola

IntroduktionIntroduktion

Telekom-operatörer förlorar Telekom-operatörer förlorar uppskattningsvis 3-6% på grund av uppskattningsvis 3-6% på grund av bedrägerierbedrägerier

Svårare att mäta för dataintrångSvårare att mäta för dataintrång– kostnad för stöld av hemlig information?kostnad för stöld av hemlig information?– kostnad för ”nertid” i systemet?kostnad för ”nertid” i systemet?– kostnad för dålig publicitet (t.ex. för banker)?kostnad för dålig publicitet (t.ex. för banker)?

Finns kommersiella Finns kommersiella intrångsdetekteringssystem (IDS) och intrångsdetekteringssystem (IDS) och bedrägeridetekteringssystem (FDS/FMS)bedrägeridetekteringssystem (FDS/FMS)– Inte särskilt effektiva...Inte särskilt effektiva...

Händer intressanta saker inom Händer intressanta saker inom forskningenforskningen

InnehållInnehåll

Bedrägerier och intrångBedrägerier och intrång Hur detekteras intrång och Hur detekteras intrång och

bedrägerier?bedrägerier? Kommersiella detekteringssystemKommersiella detekteringssystem Problem och möjligheterProblem och möjligheter Lagar, regler och etikLagar, regler och etik FramtidenFramtiden

Bedrägerier och Bedrägerier och intrångintrång

Definition Definition avav “fraud” “fraud” ((bedrägeribedrägeri)) ””En medvetet vilseledande eller oriktig En medvetet vilseledande eller oriktig

handling som resulterar i otillbörlig handling som resulterar i otillbörlig förmån/vinst åt sig själv eller någon förmån/vinst åt sig själv eller någon annan”annan”

Definitionen inkluderar “insiders”Definitionen inkluderar “insiders” FraudFraud kan anses vara ett kan anses vara ett

applikationsspecifikt specialfall av applikationsspecifikt specialfall av intrångintrång

(Vi sysslar med bedrägerier mot (Vi sysslar med bedrägerier mot tekniska system)tekniska system)

Bedrägerier – historikBedrägerier – historik

John Draper, 1972John Draper, 1972– Visslade till sig gratis-samtal med hjälpVisslade till sig gratis-samtal med hjälp

av en visselpipa (2600 Hz) från ett av en visselpipa (2600 Hz) från ett flingpaketflingpaket(Blue boxing)(Blue boxing)

Kevin Poulsen, 1990Kevin Poulsen, 1990

– Lurade till sig en Lurade till sig en Porsche 944 S2Porsche 944 S2 genomgenomatt ta över alla inkommande telefonlinjer att ta över alla inkommande telefonlinjer tilltillradiostationen KIIS-FM. (102nd caller)radiostationen KIIS-FM. (102nd caller)

– Fortsatte med att ”vinna”… 1 Porsche Fortsatte med att ”vinna”… 1 Porsche till, till, $22.000, två resor till Hawaii… 5 år i $22.000, två resor till Hawaii… 5 år i fängelse.fängelse.

Telekom-bedrägerier – Telekom-bedrägerier – historikhistorik Fraud i fast telefoni (från tidigt 1970-tal)Fraud i fast telefoni (från tidigt 1970-tal)

– Clip-on fraudClip-on fraud (mycket enkelt och fungerar ännu, (mycket enkelt och fungerar ännu, kräver dock fysisk access till kablarna vilket kräver dock fysisk access till kablarna vilket begränsar missbruket). begränsar missbruket).

– Signalling abuseSignalling abuse. Fungerar ej längre (i Sverige). . Fungerar ej längre (i Sverige). Fungerade tidigare pga att signalering och trafik Fungerade tidigare pga att signalering och trafik utnyttjade samma nät.utnyttjade samma nät.

– Payphone fraud.Payphone fraud. Manipulerade telefonautomater Manipulerade telefonautomater eller telefonkort. eller telefonkort.

– Card fraudCard fraud. Stulna kreditkortsnummer och PIN . Stulna kreditkortsnummer och PIN används för att ringa via en operatörs växel. används för att ringa via en operatörs växel.

– CPE (PBX).CPE (PBX). Kundväxlar där man kan utnyttja Kundväxlar där man kan utnyttja vidarekoppling och möjligheter till extern access.vidarekoppling och möjligheter till extern access.

– Premium rate services (PRS).Premium rate services (PRS). Missbruk av Missbruk av betalsamtal. T.ex. fejkade betaltjänster som man betalsamtal. T.ex. fejkade betaltjänster som man ringer från stulna telefoner/abonnemang.ringer från stulna telefoner/abonnemang.

Telekom-bedrägerier – Telekom-bedrägerier – historikhistorik Fraud i mobil telefoni (1980-tal och 1990-tal)Fraud i mobil telefoni (1980-tal och 1990-tal)

– EavesdroppingEavesdropping. NMT-systemet hade ej kryptering. . NMT-systemet hade ej kryptering. – TumblingTumbling. Byte av telefonens serienummer . Byte av telefonens serienummer

medgav fri access till nätet. Bristfällig medgav fri access till nätet. Bristfällig accesskontroll i de analoga mobiltelefonisystemen.accesskontroll i de analoga mobiltelefonisystemen.

– CloningCloning. Duplicering och förfalskning av SIM-kort. . Duplicering och förfalskning av SIM-kort. Gör att någon annan får betala för samtalen.Gör att någon annan får betala för samtalen.

– Subscription fraudSubscription fraud. Teckning av abonnemang . Teckning av abonnemang under falskt namn.under falskt namn.

– Call sellingCall selling. En variant av ”subscription fraud” med . En variant av ”subscription fraud” med ett mer storskaligt syfte.ett mer storskaligt syfte.

– Roaming fraudRoaming fraud. Utnyttjande av fördröjningar i . Utnyttjande av fördröjningar i kommunikation mellan roaming-partners.kommunikation mellan roaming-partners.

Definition av intrångDefinition av intrång

En samling handlingar som utförs En samling handlingar som utförs med avsikten att påverka med avsikten att påverka integritet, sekretess eller integritet, sekretess eller tillgänglighet för en datorresurstillgänglighet för en datorresurs– inkluderar förutom attacker med inkluderar förutom attacker med

lyckat resultat också lyckat resultat också attackförberedelse och attackförsökattackförberedelse och attackförsök

Typer av intrångTyper av intrång

Vanliga typerVanliga typer– vanligast är troligtvis ”attacker” som letar efter vanligast är troligtvis ”attacker” som letar efter

öppna portar och svagheteröppna portar och svagheter port-scanning: nmapport-scanning: nmap svaghets-scanning: satan, saint, nessussvaghets-scanning: satan, saint, nessus

– buffer overflow, heap overflow, integer buffer overflow, heap overflow, integer overflow och varianter dominerar stort bland overflow och varianter dominerar stort bland attacker som påverkar systemets integritet och attacker som påverkar systemets integritet och sekretess (t.ex. ger administratörs-rättigheter)sekretess (t.ex. ger administratörs-rättigheter)

– attacker mot tillgängligheten (denial-of-service) attacker mot tillgängligheten (denial-of-service) är vanliga och svåra att skydda sig motär vanliga och svåra att skydda sig mot

Klassificering av Klassificering av intrångintrång Finns ingen klassificering av intrång som är Finns ingen klassificering av intrång som är

användbar för att avgöra hur de ska detekterasanvändbar för att avgöra hur de ska detekteras De som finns visar attackmetod, attackmål De som finns visar attackmetod, attackmål

eller vilka delar av systemet som påverkaseller vilka delar av systemet som påverkas– T.ex. MIT Lincoln Labs klassificering, som användes T.ex. MIT Lincoln Labs klassificering, som användes

för DARPAs IDS-testning:för DARPAs IDS-testning: probeprobe remote-to-localremote-to-local user-to-rootuser-to-root denial-of-servicedenial-of-service data attackdata attack

– Har visats att dessa klasser inte motsvarar hur väl en Har visats att dessa klasser inte motsvarar hur väl en detektor kan detektera attackerna (Killourhy et al. detektor kan detektera attackerna (Killourhy et al. 2004)2004)

En viktig uppgift för säkerhetsforskare är att En viktig uppgift för säkerhetsforskare är att skapa en sådan klassificeringskapa en sådan klassificering

Hur detekteras Hur detekteras intrång och intrång och bedrägerier?bedrägerier?

Komponenter i ett Komponenter i ett detekteringssystemdetekteringssystem

MålsystemMålsystem

analys-

motorrespons-

enhet

sensorsensor

sensorsensor

sensorsensor

tillstånds-tillstånds-

infoinfo

detekterings-detekterings-

policypolicy

åtgärds-åtgärds-

policypolicy

sensor-sensor-

konfig.konfig.

logdata-logdata-

lagringlagring

Sensorer för Sensorer för intrångsdetekteringintrångsdetektering

Nätverkstrafik för att detektera Nätverkstrafik för att detektera ”nätverks”-attacker”nätverks”-attacker

Systemanrop för att detektera Systemanrop för att detektera program som beter sig program som beter sig misstänktmisstänkt

Användarkommandon för att Användarkommandon för att upptäcka ”masquerading”, dvs upptäcka ”masquerading”, dvs användarkonton som tagits över användarkonton som tagits över av angripareav angripare

Inloggningar för att veta vem Inloggningar för att veta vem som var inne i systemet vid som var inne i systemet vid tidpunkten för attackentidpunkten för attacken

Vanligt att dela upp IDSer i Vanligt att dela upp IDSer i nätverks-baseradenätverks-baserade och och ”host”-”host”-baseradebaseradeinloggningarinloggningar

programbeteende(systemanrop)

programbeteende(systemanrop)

användar-kommandon

användar-kommandon

nätverks-trafik

nätverks-trafik

Sensorer för Sensorer för bedrägeridetekteringbedrägeridetektering

Samtalsinformation Samtalsinformation (call records) för att (call records) för att upptäcka misstänkt upptäcka misstänkt användarbeteendeanvändarbeteende

Kundinformation för Kundinformation för att upptäcka kunder att upptäcka kunder som registrerat sig som registrerat sig med falsk identitet med falsk identitet (subscription fraud)(subscription fraud)

Betalningsinformation Betalningsinformation för att upptäcka höga för att upptäcka höga kostnader eller kostnader eller avvikelser jämfört avvikelser jämfört med andra med andra informationskällorinformationskällor

telekom-telekom-

operatöroperatör

telekom-telekom-

operatöroperatör

kund-databas

kund-databas

samtals-register

samtals-register

betalnings-information

betalnings-information

DetekteringsmetoderDetekteringsmetoder KlassificeringKlassificering

– skilja normala händelser från misstänktaskilja normala händelser från misstänkta– görs genom att man tar reda på hur görs genom att man tar reda på hur

normalbeteende normalbeteende ellereller attackbeteende ser ut attackbeteende ser ut anomalidetektering – utgå från normalbeteendeanomalidetektering – utgå från normalbeteende missbruksdetektering – utgå från attackbeteendemissbruksdetektering – utgå från attackbeteende

– inte alltid möjligt att få perfekt detektering, inte alltid möjligt att få perfekt detektering, eftersom normala händelser överlappar med eftersom normala händelser överlappar med attackbeteendeattackbeteende

statistisk fördelningför normalbeteende

statistisk fördelningför attackbeteende

parameter-värde?

DetekteringsmetoderDetekteringsmetoder

Regelbaserade/ Regelbaserade/ mönstermatchnimönstermatchningng

ExpertsystemExpertsystem TröskelvärdenTröskelvärden Statistisk analysStatistisk analys Bayesianska nätBayesianska nät Neurala nätNeurala nät Markov-modellerMarkov-modeller ......

H I

ED

A B

G

F

DomesticUser

CommercialUser

Customerchurn

ProfileChange

‘Hot’Destinations

RevenueLoss

Propensityto Fraud

BadDebt

C LowIncome

Pr{A} = 0.76 Pr{B} = 0.24 Pr{C} = 0.74

Pr{D|¬A} = 0.27 Pr{D|A} = 0.73  

Pr{E|¬A,¬B,x} = 0.01    Pr{E|¬A,B,¬C} = 0.02 Pr{E|¬A,B,C} = 0.04 Pr{E|A,x,x} = 0.03

Pr{F|¬B,x} = 0.00 Pr{F|B,¬C} = 0.01 Pr{F|B,C} = 0.04

Pr{G|¬D,¬E} = 0.03 Pr{G|¬D,E} = 0.72  Pr{G|¬D,E} = 0.84 Pr{G|D,E} = 0.96  Pr{H|¬E} = 0.58 Pr{H|E} = 0.42  Pr{I|¬E,¬F} = 0.02 Pr{I|¬E,F} = 0.98  Pr{I|E,¬F} = 1 Pr{I|E,F} = 1  

Vad är skillnaden Vad är skillnaden mellan IDS och FDS?mellan IDS och FDS? FDS kan ses som ett applikationsspecifikt IDSFDS kan ses som ett applikationsspecifikt IDS

– FDS måste anpassas till varje unik applikationFDS måste anpassas till varje unik applikation– Inga ”standardiserade” applikationer finns!Inga ”standardiserade” applikationer finns!

FDS definierar ofta larm-trösklar vilket FDS definierar ofta larm-trösklar vilket förenklar detekteringsproblemetförenklar detekteringsproblemet

En fördel med FD är att man enkelt kan väga En fördel med FD är att man enkelt kan väga investeringskostnaden mot dess nyttainvesteringskostnaden mot dess nytta

Ett FDS detekterar Ett FDS detekterar konsekvensenkonsekvensen av ett av ett intrång eller missbrukintrång eller missbruk

Ett FDS detekterar missbruk av en tjänsts Ett FDS detekterar missbruk av en tjänsts affärslogikaffärslogik

Kommersiella system

Kommersiella system - Kommersiella system - FDSFDS Exempel från telekom (rapport från Exempel från telekom (rapport från

2000)2000)– Sheriff, British TelecomSheriff, British Telecom– Fraud office, EricssonFraud office, Ericsson– Cerebrus, Nortel NetworksCerebrus, Nortel Networks– Compaq FMS, CompaqCompaq FMS, Compaq– ... (11 system har undersökts)... (11 system har undersökts)– Indata: Indata:

CDR (Call Data Record), CDR signaleringsdata, CDR (Call Data Record), CDR signaleringsdata, abonnent-databas, platsabonnent-databas, plats

– Bedrägerier: Bedrägerier: subscription, bad dept, cloning, roaming, clip-subscription, bad dept, cloning, roaming, clip-

on, call sell, prepaid, calling card, ...on, call sell, prepaid, calling card, ... 11 bedrägerier har undersökts i rapporten11 bedrägerier har undersökts i rapporten

Kommersiella system – FDS Kommersiella system – FDS (forts.)(forts.)

– Metoder:Metoder: regelbaserad detektering (alla system)regelbaserad detektering (alla system) användar-profilering (de flesta system)användar-profilering (de flesta system) AI/”intelligenta metoder” (några system)AI/”intelligenta metoder” (några system) ””hot lists”hot lists”

– DetekteringDetektering några få har gett uppgiftnågra få har gett uppgift lyckad detektering: 50%, 90%, 95%lyckad detektering: 50%, 90%, 95% falska larm: 50%, 60%falska larm: 50%, 60%

Kommersiella system - Kommersiella system - IDSIDS Exempel (från Doidy 2004):Exempel (från Doidy 2004):

– Snort – open source, nätverksbaseratSnort – open source, nätverksbaserat– Prelude – open source, hybridPrelude – open source, hybrid– LIDS – open source, hostbaseratLIDS – open source, hostbaserat– ISS RealSecure – finns både för nätverk och ISS RealSecure – finns både för nätverk och

serverserver– CISCO intrusion detection – nätverksbaseratCISCO intrusion detection – nätverksbaserat– ......– Indata: Indata:

Nätverkstrafik, systemanrop, filsystemsinfo, Nätverkstrafik, systemanrop, filsystemsinfo, brandväggsloggar, autentiseringsinfo, ...brandväggsloggar, autentiseringsinfo, ...

– Intrång: Intrång: det finns inga system som specificerar vilka det finns inga system som specificerar vilka

intrång de klarar och inte klarar?!intrång de klarar och inte klarar?!

Kommersiella system – Kommersiella system – IDS (forts.)IDS (forts.)

– Metoder:Metoder: regelbaserad detektering (alla system)regelbaserad detektering (alla system) anomalidetektering (i vissa system som anomalidetektering (i vissa system som

komplement)komplement)– Detektering:Detektering:

Finns inga ”vetenskapliga” testresultat för Finns inga ”vetenskapliga” testresultat för kommersiella systemkommersiella system

svårt att mäta detekteringsresultat och falsklarm, svårt att mäta detekteringsresultat och falsklarm, pga problem med att skaffa testdatapga problem med att skaffa testdata

Bästa testet av IDSer är gjort av DARPA:Bästa testet av IDSer är gjort av DARPA:– genererade testdata genom simulering av många genererade testdata genom simulering av många

datorer, användare och attackerdatorer, användare och attacker– testade forskningsprototyperna de har finansierattestade forskningsprototyperna de har finansierat– detekteringsresultat på ca 40-100%, mycket sämre detekteringsresultat på ca 40-100%, mycket sämre

för nya och ”smarta” attackerför nya och ”smarta” attacker– ca 10 falsklarm per dag (ev. högre på mer ca 10 falsklarm per dag (ev. högre på mer

realistiska data)realistiska data)

Intrusion prevention Intrusion prevention systemssystems Nya ”inne”-grejenNya ”inne”-grejen Gartner Group-rapport: ”IDS is dead, long Gartner Group-rapport: ”IDS is dead, long

live IPS”live IPS”– orsakade en del rabalderorsakade en del rabalder

Lite oklar terminologi, kan betyda olika Lite oklar terminologi, kan betyda olika sakersaker

Ofta avses IDS med automatisk Ofta avses IDS med automatisk återkopplingåterkoppling– konfigurera om brandväggkonfigurera om brandvägg– avbryt TCP-uppkopplingaravbryt TCP-uppkopplingar– stäng ner tjänsterstäng ner tjänster– stoppa systemanrop i realtidstoppa systemanrop i realtid

Problem och Problem och möjligheter med möjligheter med detekteringssystemdetekteringssystem

De största praktiska De största praktiska problemenproblemen

1.1. Falska larmFalska larm

2.2. AnpassningAnpassning

3.3. DetekteringsförmågaDetekteringsförmåga

4.4. SkalbarhetSkalbarhet

5.5. Brist på mätmetoderBrist på mätmetoder

Problem 1Problem 1

Falska larmFalska larm– Många larmMånga larm– Om detekteringen är 95% korrekt och det Om detekteringen är 95% korrekt och det

finns 0.1% bedrägerier i den analyserade finns 0.1% bedrägerier i den analyserade informationen så kommer 99% av alla larm informationen så kommer 99% av alla larm att vara falsklarm!att vara falsklarm!

– Avvägning mellan att täcka in alla attacker Avvägning mellan att täcka in alla attacker och mängden falska larm man kan hanteraoch mängden falska larm man kan hantera

– Tar mycket tid att utreda larmTar mycket tid att utreda larm– Ingen skillnad mellan larm från attacker Ingen skillnad mellan larm från attacker

som drabbar aktiva/inaktiva IP-adresser som drabbar aktiva/inaktiva IP-adresser eller känsliga/okänsliga systemeller känsliga/okänsliga system

Möjligheter 1Möjligheter 1

Korrelering av larmKorrelering av larm– högre trovärdighet till larm som högre trovärdighet till larm som

rapporteras av mer än en källarapporteras av mer än en källa ””Root cause analysis”Root cause analysis”

– hitta orsaken till grupper av larmhitta orsaken till grupper av larm– att rapportera orsaken istället för larmen att rapportera orsaken istället för larmen

själva reducerar mängden larm kraftigtsjälva reducerar mängden larm kraftigt– (Avhandling, Julisch 2003)(Avhandling, Julisch 2003)

Indata med lägre ”brus”-nivåIndata med lägre ”brus”-nivå

Problem 2Problem 2

AnpassningAnpassning– Går inte att köpa ett färdig-anpassat Går inte att köpa ett färdig-anpassat

detekteringssystemdetekteringssystem– Ofta unika tjänsterOfta unika tjänster– Användarnas beteende varierarAnvändarnas beteende varierar– Kan ta ca två veckor att anpassa ett Kan ta ca två veckor att anpassa ett

enkelt nätverksbaserat IDS till ett enkelt nätverksbaserat IDS till ett specifikt system och då får man specifikt system och då får man inaktivera regler som kan vara inaktivera regler som kan vara intressantaintressanta

Möjligheter 2Möjligheter 2

Automatisk justering av IDSAutomatisk justering av IDS– vilka regler är intressanta för mitt system?vilka regler är intressanta för mitt system?– vilka regler ger för mycket falsklarm?vilka regler ger för mycket falsklarm?– (exjobbare kollar på detta)(exjobbare kollar på detta)

Förbered systemet genom att träna det Förbered systemet genom att träna det på syntetiska datapå syntetiska data– färdiganpassat IDS från börjanfärdiganpassat IDS från början– kan träna det för intressanta attacker och kan träna det för intressanta attacker och

situationer som inte tidigare har förekommitsituationer som inte tidigare har förekommit– (Barse, Kvarnström och Jonsson, 2003)(Barse, Kvarnström och Jonsson, 2003)

Problem 3Problem 3

DetekteringsförmågaDetekteringsförmåga– GeneraliseringsproblemGeneraliseringsproblem

kommersiella regelbaserade kommersiella regelbaserade system upptäcker ofta bara en system upptäcker ofta bara en mycket specifik instans av mycket specifik instans av attackenattacken

nya intrång, nya varianter och nya intrång, nya varianter och dolda intrång upptäcks intedolda intrång upptäcks inte

– Bättre detektering får inte Bättre detektering får inte ske på bekostnad av fler ske på bekostnad av fler falsklarmfalsklarm

Möjligheter 3Möjligheter 3

Nya Nya detekteringsmetodedetekteringsmetoderr– VisualiseringVisualisering

Hitta mönster och Hitta mönster och avvikande avvikande beteendenbeteenden

Använda den Använda den mänskliga hjärnansmänskliga hjärnansstyrka!styrka!

Kombinera metoderKombinera metoder– måste avgöra vilka måste avgöra vilka

som täcker in olika som täcker in olika områden bästområden bäst

Suspects

Premium Rate Services

Service Users

Möjligheter 3 (forts.)Möjligheter 3 (forts.)

Kombinera anomali- och missbruks-Kombinera anomali- och missbruks-detekeringdetekering– använd anomalidetektering kompletterad använd anomalidetektering kompletterad

med regler för att identifiera attackernamed regler för att identifiera attackerna– missbruksdetektering kompletterad med missbruksdetektering kompletterad med

anomalidetektering för att avgöra vilka anomalidetektering för att avgöra vilka larm som är relevantalarm som är relevanta

– metoder som kan konstruera egna regler metoder som kan konstruera egna regler baserat på träningsdata där både attacker baserat på träningsdata där både attacker och normalt beteende finns med (t.ex. och normalt beteende finns med (t.ex. RIPPER av Lee et al.)RIPPER av Lee et al.)

Bättre kvalité på indataBättre kvalité på indata– logdata kan täcka in attacker bättre än logdata kan täcka in attacker bättre än

vad som görs idagvad som görs idag

Problem 4Problem 4

SkalbarhetSkalbarhet– större bandbredd än större bandbredd än

10Mbit/s på nätverket 10Mbit/s på nätverket ger problemger problem

– antal regler påverkar antal regler påverkar prestanda kraftigtprestanda kraftigt

– problem med att problem med att korrelera information korrelera information från många spridda från många spridda sensorersensorer

Möjligheter 4Möjligheter 4

Distribuera nätverkstrafik till flera Distribuera nätverkstrafik till flera sensorersensorer– ””smart” uppdelning krävssmart” uppdelning krävs– (Kruegel et al. 2002)(Kruegel et al. 2002)

Applikations-baserade IDSerApplikations-baserade IDSer– skydda bara viktiga/känsliga resurser i skydda bara viktiga/känsliga resurser i

systemetsystemet– t.ex. webserver-IDS, mailserver-IDS, ...t.ex. webserver-IDS, mailserver-IDS, ...

Minska mängden indataMinska mängden indata– filtrera bort ”onödigt” datafiltrera bort ”onödigt” data

vad är onödigt?vad är onödigt?– nya datakällornya datakällor

Problem 5Problem 5

MätmetoderMätmetoder– det finns ingen det finns ingen

”innehållsförteckning” på ”innehållsförteckning” på detekteringssystem som detekteringssystem som talar om vad de klarar talar om vad de klarar och inte klararoch inte klarar

– enda seriösa IDS-enda seriösa IDS-jämförelsen är DARPAs jämförelsen är DARPAs och den har fått mycket och den har fått mycket kritikkritik

Möjligheter 5Möjligheter 5

Gemensamma testdataGemensamma testdata– det går inte att jämföra resultat från IDSer det går inte att jämföra resultat från IDSer

som testats på olika datasom testats på olika data egenskaper hos data påverkar egenskaper hos data påverkar

detekteringsresultatendetekteringsresultaten

Metoder för att generera testdataMetoder för att generera testdata– syntetiska data (Barse, Kvarnström och syntetiska data (Barse, Kvarnström och

Jonsson, 2003)Jonsson, 2003) Metoder för att analysera testdataMetoder för att analysera testdata

– finns inte några enkla lösningar ännufinns inte några enkla lösningar ännu

Bättre logdata för Bättre logdata för detekteringdetektering Bättre indata gerBättre indata ger

– färre falska larm färre falska larm – bättre detekteringbättre detektering– mindre skalbarhetsproblemmindre skalbarhetsproblem

Bättre täckning av attackerBättre täckning av attacker– analysera vilka spår attacker lämnar analysera vilka spår attacker lämnar

i logdata och undersök hur i logdata och undersök hur användbara spåren äranvändbara spåren är

Filtrera bort onödiga dataFiltrera bort onödiga data– hitta kombinationer av data som hitta kombinationer av data som

täcker in attacker och filtrera bort täcker in attacker och filtrera bort restenresten

Pågående forskning...Pågående forskning...

Lagar, regler och etikLagar, regler och etik

Personlig integritet Personlig integritet och loggning går inte och loggning går inte ihop?ihop? Personuppgiftslagen (1998)Personuppgiftslagen (1998)

– personuppgifter ska endast samlas in för särskilda, personuppgifter ska endast samlas in för särskilda, uttryckligt angivna och berättigade ändamåluttryckligt angivna och berättigade ändamål

– personuppgifter får inte behandlas för något ändamål personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna som är oförenligt med det för vilket uppgifterna samlades insamlades in

– de personuppgifter som behandlas ska vara adekvata de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med och relevanta i förhållande till ändamålen med behandlingenbehandlingen

– personuppgifter får behandlas bara om den personuppgifter får behandlas bara om den registrerade har lämnat sitt samtyckeregistrerade har lämnat sitt samtycke

– ...... Säkerhet är viktig för att skydda kundernas Säkerhet är viktig för att skydda kundernas

personliga integritetpersonliga integritet– tekniska åtgärder krävstekniska åtgärder krävs

PUL och företagets PUL och företagets intressenintressen Är IP-adress en personuppgift?Är IP-adress en personuppgift?

– oklart, men EU-kommissionen anser detoklart, men EU-kommissionen anser det– en person kan i vissa fall identifierasen person kan i vissa fall identifieras

Är behandling tillåten?Är behandling tillåten?– om företagets intresse tydligt överväger om företagets intresse tydligt överväger

kundens intresse av skydd av den kundens intresse av skydd av den personliga integritetenpersonliga integriteten

– upptäcka/förebygga brott skulle kunna upptäcka/förebygga brott skulle kunna berättiga behandlingberättiga behandling

– finns ingen praxisfinns ingen praxis Krävs samtycke?Krävs samtycke?

– inte om företaget har berättigat intresse inte om företaget har berättigat intresse – oklart om kunderna måste informerasoklart om kunderna måste informeras

ForskningForskning

För forskning inom bedrägeri- och För forskning inom bedrägeri- och intrångsdetektering behövs dataintrångsdetektering behövs data

Oklart om man får dela med sig av Oklart om man får dela med sig av logdata från datorsystem/tjänsterlogdata från datorsystem/tjänster– hur kan man avidentifiera data?hur kan man avidentifiera data?

HoneypotsHoneypots– ””lura” angriparen till att begå brott för att lura” angriparen till att begå brott för att

kunna övervakakunna övervaka– spridd användning, men oklart om lagligtspridd användning, men oklart om lagligt– håller troligtvis inte i rättegånghåller troligtvis inte i rättegång

FramtidenFramtiden

FramtidenFramtiden

IDS blir som IDS blir som antivirusprogram?antivirusprogram?

Övervakning av Övervakning av datorsystem behövsdatorsystem behövs– vi kan inte betrakta vi kan inte betrakta

dem som en ”svart dem som en ”svart låda”låda”

Datorsystemen sprids Datorsystemen sprids alltmer och allt alltmer och allt viktigare funktioner i viktigare funktioner i samhället datoriserassamhället datoriseras