Растущая угроза кибератак
Согласно исследованию, проведенному цифровой ассоциацией Bitkom, восемь из десяти немецких компаний пострадали от кражи данных и аналогичных атак в 2024 году. Общий ущерб от сетевых вторжений оценивается в миллиарды евро. Проблема усугубляется тем, что методы атак постоянно эволюционируют, а злоумышленники вносят небольшие изменения, чтобы избежать обнаружения. Часто кражи и подделки остаются незамеченными до тех пор, пока не становится слишком поздно.
Ограничения существующих методов обнаружения
Традиционно для обнаружения кибератак использовались сигнатурные методы, основанные на известных атаках. Эти сигнатуры составляют основу большинства систем SIEM. Однако исследователи из Fraunhofer FKIE выяснили, что злоумышленники легко обходят такие сигнатуры. Методы обнаружения аномалий, применяемые в смежных областях, могут помочь выявить атаки, избегающие сигнатурного обнаружения, но зачастую приводят к большому числу ложных тревог, затрудняя их обработку.
Решение проблемы: AMIDES
Исследователи из Fraunhofer FKIE нашли компромисс, создав систему, использующую машинное обучение для идентификации атак, схожих с существующими сигнатурами, но не идентичных им. AMIDES применяет контролируемое машинное обучение для выявления возможных отклонений от правил, минимизируя при этом число ложных срабатываний. Это открытое программное обеспечение предназначено для крупных организаций, имеющих централизованные системы мониторинга безопасности, и направлено на улучшение их работы.
Принцип работы AMIDES
«Сигнатуры остаются основным методом обнаружения кибератак в корпоративных сетях, но они не панацея», – отмечает Рафаэль Уэтц, руководитель исследовательской группы Intrusion Detection and Analysis в Fraunhofer FKIE. «Злоумышленники часто маскируют свои действия, слегка изменяя атаки, чтобы избежать обнаружения. Они могут, например, добавлять лишние символы в командные строки, чтобы обмануть систему». Именно такие ухищрения помогают хакерам избегать обнаружения.
AMIDES анализирует события безопасности, такие как запуск программ, и извлекает из них характерные признаки. Затем система использует машинное обучение для оценки командных строк, которые напоминают известные вредоносные действия, но отличаются от них. В таких случаях AMIDES генерирует предупреждение. Этот подход называется адаптивным обнаружением злоупотреблений, поскольку система адаптируется к конкретной среде, изучая нормальные процессы, чтобы лучше различать потенциальные атаки и безвредные события.
Перспективы и возможности
Система AMIDES предоставляет организациям мощный инструмент для повышения уровня кибербезопасности. Используя открытые стандарты и возможности машинного обучения, она способна адаптироваться к уникальным условиям каждой организации, обеспечивая надежную защиту от новых и неизвестных угроз.
Атрибуция правил в адаптивном обнаружении неправомерного использования
Новый подход к адаптивному обнаружению неправомерного использования, помимо генерации предупреждений о возможном уклонении, также предлагает функцию, известную как атрибуция правил. Обычно, когда срабатывает стандартное правило обнаружения неправомерного использования, аналитики могут просмотреть само правило, чтобы понять, что именно произошло. Правила традиционно содержат информативные названия и описания, что упрощает интерпретацию результатов. Однако системы, основанные исключительно на машинном обучении, часто лишают аналитиков этого удобства, выдавая предупреждения без дополнительных пояснений.
Адаптивное обнаружение злоупотреблений, благодаря своему обучению на базе правил SIEM, получает доступ к информации о функциях, содержащихся в каждом правиле. Это позволяет AMIDES оценивать, какие правила могли быть обойдены злоумышленниками. Таким образом, система может предоставить аналитикам дополнительные сведения о потенциально нарушенных правилах, что значительно упрощает расследование инцидентов.
Практическое тестирование AMIDES
Эффективность AMIDES была подтверждена в ходе масштабных тестов с использованием реальных данных немецкого правительственного агентства. Рафаэль Уэтц, руководитель исследовательской группы Intrusion Detection and Analysis в Fraunhofer FKIE, прокомментировал результаты: «Наши испытания продемонстрировали, что AMIDES способен существенно улучшить обнаружение сетевых вторжений».
При стандартной настройке чувствительности AMIDES смогла выявить 70% случаев уклонения от правил – и это без возникновения ложных тревог. Кроме того, система показала высокую скорость обработки данных, что делает её пригодной для использования даже в крупных корпоративных сетях.Источник: https://www.eenewseurope.com/en/adaptive-misuse-detection-and-machine-learning-to-detect-cyberattacks/