Detektion av illasinnad exfiltrering av data via nätverk - En systematisk litteraturgenomgång
Publiceringsdatum: 2022-12-22
Rapportnummer: FOI-R--5376--SE
Sidor: 69
Skriven på: Svenska
Forskningsområde:
- Informationssäkerhet
Nyckelord:
- exfiltrering
- dataexfiltrering
- detektion
- it-säkerhet
- cyber
- DNS
- systematisk litteraturgenomgång
Sammanfattning
Den här rapporten presenterar en systematisk litteraturgenomgång om detektion av illasinnad nätverksbaserad dataexfiltrering. Sådan exfiltrering utgörs av angripares överföring av information från målmaskin till angriparmaskin. Eftersom det är mycket svårt att hålla alla angripare ute ur nätverken är detektionen av exfiltrering en viktig del i försvaret. Litteraturgenomgången inkluderar 48 forskningsartiklar utgivna 2012-2022. Genomgången visar att artiklarna har tydliga syften men däremot oftast otydligt beskrivna hypoteser. Därtill visar genomgången att artiklarna fokuserar på labbmiljöer som efterliknar universitetsnät medan bara en artikel har en militär nätverksmiljö. Artiklarna beskriver i undantagsfall vilka data exfiltreringen rör. Det rör sig då om kreditkortsuppgifter, inloggningsuppgifter och dokument. Det är också ovanligt att artiklarna beskriver tänkta hotaktörer. Artiklarna försöker detektera exfiltrering som döljs på olika sätt. Oftast rör det sig om döljande i form av placering av data i pakethuvuden, användning av protokoll som normalt inte nyttjas för användares dataöverföring eller av kryptering. Artiklarnas exfiltrering genomförs oftast via protokollet DNS, vilket har sitt legitima bruk i översättning av domännamn till IP-adresser. Detektionsmetoderna baseras på olika förändringar som exfiltreringen ger upphov till. Det rör sig om nätverksmässiga skillnader i entropi, tidsaspekter, stränglängder, trafikflöden samt pakethuvudinnehåll. Algoritmerna är vanligen baserade på djupinlärning eller traditionell maskininlärning. Detektionsmetoderna utvärderas relativt knapphändigt i artiklarna. Rapportens bedömning är att mer forskning behövs om framförallt detektion av exfiltrering som sker via videomöten, blockkedjenätverk, DNS över HTTPS, IPv6 och andra nyare protokoll. Därtill behövs forskning som snarare än att försöka detektera specifika tekniker tar fram mer generella algoritmer som kan detektera fler exfiltreringstekniker.