21.01.2025

Система с открытым исходным кодом обнаруживает новые виды кибератак

Система с открытым исходным кодом обнаруживает новые виды кибератак
05.12.2024 10:41

Кибератаки стали серьёзным риском для компаний и других организаций. Чтобы предотвратить кражу данных, саботаж и вымогательство, многие компании и государственные учреждения обращаются к системам управления информацией и событиями безопасности (SIEM), которые используют правила обнаружения, также известные как сигнатуры, для идентификации кибератак.

Однако исследователи из Института коммуникации, обработки информации и эргономики Фраунгофера (FKIE) провели обширные тесты и пришли к выводу, что злоумышленникам легко обойти многие подобные сигнатуры. AMIDES, новая система с открытым исходным кодом от Fraunhofer FKIE, призвана помочь исправить ситуацию. Она использует ИИ для выявления атак, которые пропускают традиционные сигнатуры.

Угроза кибератак и промышленного шпионажа ещё больше возросла в 2024 году. Согласно исследованию цифровой ассоциации Bitkom, 8 из 10 компаний в Германии стали жертвами кражи данных и подобных атак. Ущерб от сетевых вторжений исчисляется миллиардами евро.

Но проблема в том, что характер атак и методы, используемые для их осуществления, постоянно меняются, и злоумышленники часто вносят лишь незначительные изменения, чтобы избежать обнаружения. Конечным результатом является то, что кража и взлом часто остаются незамеченными, пока не становится слишком поздно.

Система с открытым исходным кодом обнаруживает обход подписи с помощью адаптивного обнаружения злоупотреблений

До сих пор обнаружение кибератак на организации основывалось в основном на сигнатурах, написанных экспертами по безопасности на основе известных атак. Эти сигнатуры являются центральным элементом системы SIEM. Однако исследователи из Fraunhofer FKIE в Бонне обнаружили, что злоумышленникам легко обойти многие сигнатуры такого рода.

Хотя методы из смежной области, называемые обнаружением аномалий, можно использовать в качестве альтернативы для выявления атак, несмотря на обход сигнатур , этот подход часто приводит к большому количеству ложных тревог — фактически, настолько много, что не все из них можно даже расследовать.

Чтобы решить эту проблему, исследователи из Fraunhofer FKIE решили найти практический баланс, разработав систему, которая опирается на машинное обучение для выявления атак, похожих на существующие сигнатуры, но не полностью им соответствующих. Их решение, Adaptive Misuse Detection System (AMIDES), использует контролируемое машинное обучение для выявления потенциальных уклонений от правил, одновременно сводя к минимуму ложные тревоги.

Свободно распространяемое программное обеспечение с открытым исходным кодом ориентировано в первую очередь на крупные организации, которые уже имеют централизованные системы и структуры мониторинга безопасности и теперь стремятся их усовершенствовать.

«Сигнатуры — это важнейший способ обнаружения кибератак в корпоративных сетях, но они не являются панацеей», — говорит Рафаэль Уэтц, научный сотрудник Fraunhofer FKIE и руководитель исследовательской группы по обнаружению и анализу вторжений.

«Злонамеренную деятельность часто можно осуществить незамеченной, слегка изменив атаку. Злоумышленники используют различные методы, чтобы скрыть свои действия и избежать обнаружения, например, вставляя фиктивные символы в командные строки. Злоумышленник пишет свою команду специально, чтобы сигнатура не нашла ее», — говорит он, объясняя тактику, используемую киберпреступниками.

Вот тут-то и появляется AMIDES: программное обеспечение извлекает признаки из событий, связанных с безопасностью, таких как командная строка недавно запущенных программ. Затем машинное обучение используется для выявления командных строк, которые похожи на те, которые соответствуют правилам обнаружения, но не соответствуют им в точности. В этом случае AMIDES выдаст сигнал тревоги.

Авторы называют этот подход адаптивным обнаружением злоупотреблений, поскольку он адаптируется к целевой среде, сначала обучаясь тому, как среда ведёт себя обычно, чтобы иметь возможность правильно отличать потенциальные атаки от безобидных событий.

Адаптивное обнаружение злоупотреблений позволяет атрибуцию правил

Наряду с возможностью инициировать предупреждения о потенциальном уклонении, новый подход также предлагает функцию, которую исследователи называют атрибуцией правил. Когда обычное правило срабатывает для обнаружения злоупотребления, аналитик может просто отобразить правило, чтобы узнать, что произошло, поскольку правила обычно содержат осмысленное название и описание в дополнение к подписям.

Но многие системы, основанные на машинном обучении, лишены этого преимущества, вместо этого просто генерируя предупреждение без дальнейшего контекста. Поскольку адаптивное обнаружение злоупотреблений учится на правилах обнаружения SIEM, информация о том, какие функции содержатся в каких правилах, доступна во время обучения, что позволяет AMIDES оценить, какие правила, скорее всего, были обойдены.

AMIDES уже был оценен в ходе обширного тестирования с использованием реальных данных из немецкого правительственного агентства. Уэтц комментирует: «Эти тесты показали, что наше решение имеет потенциал для значительного улучшения обнаружения сетевых вторжений».

При установке уровня чувствительности по умолчанию AMIDES удалось идентифицировать 70% попыток обхода, не вызвав ложных тревог. Что касается скорости, измерения показывают, что система достаточно быстра для работы в реальном времени, даже в очень крупных корпоративных сетях.


Бессменный главный редактор, в незапамятные времена работал в издании РБК




TOP

Власть

Tags