Deteção de acessos anómalos a bases de dados críticas

Águas, José Maria Águas de Matos

http://hdl.handle.net/10451/48349

Utilize este identificador para referenciar este registo.

Nome:	Descrição:	Tamanho:	Formato:
ulfc126386_tm_José_Águas.pdf		4.14 MB	Adobe PDF	Ver/Abrir

Contacte-nos

Autores

Águas, José Maria Águas de Matos

Orientador(es)

Ferreira, Pedro Miguel Frazão Fernandes

Resumo(s)

O acesso ilícito e exfiltração il´ıcita de informação confidencial e privada das organizações e dos seus clientes é um risco cada vez mais relevante, com um custo associado potencialmente muito elevado. A exfiltração ilícita de informação, onde informação sensível é acedida e transferida para o exterior da organização, sem autorização, constitui um incidente de cibersegurança grave. Com entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD), a proteção dos dados e o controlo de acessos torna-se ainda mais importante numa entidade com a dimensão da Altice Portugal (MEO), em quem um número muito elevado de clientes confiam a sua informação privada e altamente sensível (telefonemas móveis e fixos, SMS, televisão, geolocalização dos mesmos, entre outros). Os dados podem ser acedidos tanto por colaboradores internos como externos (subcontratados) e todos os acessos devem ser considerados como possíveis ameaças à sua integridade e confidencialidade. Neste projeto é descrita uma solução desenvolvida com o intuito de detetar e prevenir problemas desta natureza, recorrendo, essencialmente, ao IBM Guardium, que é uma tecnologia de monitorização e segurança de bases de dados e sistemas de ficheiros. A monitorização é realizada às bases de dados críticas da organização (classificadas como RGPD críticas e relevantes no combate à fraude), capturando o tráfego e recorrendo aos mecanismos de monitorização e deteção de anomalias disponibilizados pelo IBM Guardium. O objetivo é identificar automaticamente, e em tempo útil, acessos anómalos aos dados críticos sob monitorização. O projeto utiliza dois módulos do IBM Guardium. O primeiro, através da implementação de políticas de segurança, identifica anomalias em tempo (quase) real. O segundo, através da análise de outliers produzidos pelo algoritmo de Machine Learning do IBM Guardium, são identificadas alterações de comportamento dos utilizadores, sendo que os resultados de ambos os métodos são comparados. Além do mais, foram desenvolvidos feature decorators (decoradores), que enriquecem toda a informação capturada, e dashboards que integram atividade relevante das bases de dados, anomalias e alarmes produzidos, de modo a agilizar tanto o processo de análise como o de comunicação.

The illicit access and illicit data exfiltration of organizations and their clients’ confidential and private information is an increasingly relevant risk, with a potentially very high associated cost. The illicit data exfiltration of information, where sensitive information is accessed and transferred outside the organization without authorization, constitutes a serious cyber security incident. With an implementation of General Data Protection Regulation (GDPR), the protection of data and access control becomes even more important considering an entity with the dimension of Altice Portugal (MEO), in which a significant number of customers trust their private and highly sensitive information (mobile and fixed phone calls, SMS, television, geolocation of themselves, among others). The data can be accessed by both internal and external collaborators (subcontractors) and all accesses should be considered as possible threats to their integrity and confidentiality. This project describes a solution developed with the aim of detecting and preventing problems of this nature, using essentially IBM Guardium, which is a monitoring and security technology for databases and file systems. The monitoring is performed on critical databases of the organization (classified as critical and relevant GDPR in combating fraud), capturing traffic and using the mechanisms for monitoring and detecting anomalies provided by IBM Guardium. The main goal is to automatically identify in a timely manner, anomalous accesses to critical data under monitoring. The project uses two IBM Guardium processes. The first, through the implementation of security policies, identifies anomalies at near real-time. The second, through the analysis of outliers produced by the IBM Guardium machine learning algorithm, identifies changes in user behaviour and afterwards the results of both methods are compared. Furthermore, feature decorators, which enrich all captured information, and dashboards that integrate relevant database activity, anomalies and alarms produced, have been developed in order to speed up both the analysis and the communication process.

Descrição

Trabalho de projeto de mestrado, Engenharia Informática (Sistemas de Informação) Universidade de Lisboa, Faculdade de Ciências, 2020

Palavras-chave

Monitorização Segurança Bases de Dados Exfiltração Políticas de Segurança Aprendizagem Automática Trabalhos de projeto de mestrado - 2020

URI

http://hdl.handle.net/10451/48349

Coleções

FC-DI - Master Thesis (projects)

Ver registo completo