W 2024 roku zagrożenie cyberatakami i szpiegostwem przemysłowym osiągnęło jeszcze wyższy poziom. Zgodnie z badaniem stowarzyszenia Bitkom, osiem na dziesięć firm w Niemczech padło ofiarą kradzieży danych lub podobnych ataków. Szkody wyrządzone przez naruszenia sieci sięgają miliardów euro. Problem polega na tym, że natura ataków i stosowane metody stale się zmieniają, a cyberprzestępcy często wprowadzają niewielkie zmiany, aby uniknąć wykrycia. W efekcie kradzież i manipulacja danymi często pozostają niezauważone aż do momentu, gdy jest już za późno.

System open source wykrywa unikanie sygnatur dzięki adaptacyjnej detekcji nadużyć

Dotychczas wykrywanie cyberataków w organizacjach opierało się głównie na sygnaturach tworzonych przez ekspertów ds. bezpieczeństwa na podstawie znanych ataków. Sygnatury te stanowią centralny element systemów SIEM. Jednak badania Fraunhofer FKIE w Bonn wykazały, że wielu sygnatur można łatwo uniknąć. Alternatywne metody, takie jak detekcja anomalii, mogą wprawdzie pomóc w identyfikacji ataków mimo unikania sygnatur, ale często generują ogromną liczbę fałszywych alarmów. W praktyce oznacza to, że nie wszystkie z nich mogą zostać zbadane.

Aby rozwiązać ten problem, naukowcy z Fraunhofer FKIE opracowali system wykorzystujący uczenie maszynowe do identyfikacji ataków, które są podobne do istniejących sygnatur, ale nie odpowiadają im dokładnie. Rozwiązanie to, nazwane Adaptive Misuse Detection System (AMIDES), wykorzystuje nadzorowane uczenie maszynowe do wykrywania potencjalnych przypadków omijania reguł, jednocześnie minimalizując liczbę fałszywych alarmów. Oprogramowanie, dostępne jako open source, jest skierowane przede wszystkim do większych organizacji, które posiadają już centralne systemy monitorowania bezpieczeństwa i struktury, a teraz chcą je usprawnić.

Główne zalety AMIDES

– Sygnatury są najważniejszym sposobem wykrywania cyberataków w sieciach korporacyjnych, ale nie są panaceum – wyjaśnia Rafael Uetz, badacz z Fraunhofer FKIE i lider grupy badawczej ds. detekcji i analizy intruzji. –Działania złośliwe często mogą być przeprowadzane niezauważone przez niewielką modyfikację ataku. Przestępcy stosują różne techniki, aby ukryć swoje działania i uniknąć wykrycia, na przykład wstawiając nieistotne znaki do linii poleceń – tłumaczy Uetz.

Właśnie tutaj wkracza AMIDES: oprogramowanie to analizuje cechy zdarzeń związanych z bezpieczeństwem, takich jak linia poleceń nowo uruchomionych programów. Następnie wykorzystuje uczenie maszynowe do identyfikacji linii poleceń podobnych do tych odpowiadających regułom detekcji, ale niezgodnych z nimi w stu procentach. W takim przypadku AMIDES wywołuje alarm.

Autorzy nazwali to podejściem adaptacyjnej detekcji nadużyć, ponieważ system dostosowuje się do środowiska docelowego, najpierw ucząc się, jak wygląda normalne zachowanie w tym środowisku, aby móc poprawnie odróżnić potencjalne ataki od nieszkodliwych zdarzeń.

Adaptacyjna detekcja nadużyć umożliwia atrybucję reguł

Oprócz możliwości inicjowania ostrzeżeń o potencjalnych przypadkach unikania sygnatur, nowe podejście oferuje funkcję nazwaną atrybucją reguł. Kiedy konwencjonalna reguła zostaje wyzwolona do wykrycia nadużycia, analityk może po prostu wyświetlić regułę, aby dowiedzieć się, co się wydarzyło, ponieważ reguły zazwyczaj zawierają znaczenie tytułu i opis w dodatku do sygnatur. Wiele systemów opartych na uczeniu maszynowym nie posiada tej zalety, generując jedynie ostrzeżenie bez dalszego kontekstu. Ponieważ adaptacyjna detekcja nadużyć uczy się na podstawie reguł detekcji SIEM, podczas szkolenia dostępne są informacje o tym, jakie cechy zawierają poszczególne reguły, co pozwala AMIDES ocenić, które reguły mogły zostać ominięte.

Udane testy systemu AMIDES

System AMIDES został już przetestowany na szeroką skalę z wykorzystaniem danych rzeczywistych pochodzących od niemieckiej agencji rządowej.

Przy domyślnym poziomie wrażliwości AMIDES zdołał wykryć 70% prób ominięcia reguł – bez generowania fałszywych alarmów. Pod względem szybkości pomiary wykazały, że system działa wystarczająco szybko, aby mogła się odbywać jego praca w czasie rzeczywistym, nawet w bardzo dużych sieciach korporacyjnych 

Źródło: Fraunhofer FKIE