Detecte exploits de día cero a través del aprendizaje automático

14. Diciembre 2022
| No hay comentarios
Detecte exploits de día cero a través del aprendizaje automático

Compartir publicación

La inyección de código es una técnica de ataque que los atacantes suelen utilizar, por ejemplo, en exploits de día cero, para lanzar código arbitrario en las máquinas de las víctimas a través de aplicaciones vulnerables. Por qué las firmas no son suficientes para los sistemas de prevención de intrusiones: cómo puede ayudar el aprendizaje automático.

Dada la popularidad de la inyección de código para exploits, Palo Alto Networks descubrió que las firmas de coincidencia de patrones se utilizan a menudo para identificar anomalías en el tráfico de la red. Sin embargo, las inyecciones pueden presentarse de muchas formas, y una simple inyección puede eludir fácilmente una solución basada en firmas al agregar cadenas foráneas. Por lo tanto, las soluciones basadas en firmas a menudo fallan debido a las variantes de prueba de concepto (PoC) de vulnerabilidades y exposiciones comunes (CVE).

Modelos de aprendizaje profundo más robustos contra los atacantes

Las firmas del sistema de prevención de intrusiones (IPS) han demostrado durante mucho tiempo ser una solución eficiente para los ataques cibernéticos. Según las firmas predefinidas, IPS puede detectar con precisión las amenazas conocidas con pocos o ningún falso positivo. Sin embargo, la creación de reglas IPS requiere una prueba de concepto o análisis técnico de vulnerabilidades específicas, lo que dificulta que las firmas IPS detecten ataques desconocidos debido a la falta de conocimiento.

Por ejemplo, los exploits de ejecución remota de código a menudo se crean con URI/parámetros vulnerables y una carga útil maliciosa, y ambas partes deben identificarse para garantizar la detección de amenazas. Por otro lado, en los ataques de día cero, ambas partes pueden ser desconocidas u ofuscadas, lo que dificulta lograr la cobertura de firma IPS requerida.

Desafíos para los investigadores de amenazas

  • Resultados falsos negativos. Las variaciones y los ataques de día cero ocurren todos los días, y IPS no puede cubrirlos todos debido a la falta de detalles de ataque por adelantado.
  • Resultados falsos positivos. Para cubrir variantes y ataques de día cero, se crean reglas genéricas con condiciones relajadas, lo que inevitablemente introduce el riesgo de un falso positivo.
  • latencia. El tiempo que transcurre entre el descubrimiento de vulnerabilidades, la implementación de protecciones por parte de los proveedores de seguridad y la aplicación de parches de seguridad por parte de los clientes brinda a los atacantes una importante ventana de oportunidad para explotar al usuario final.

Si bien estos problemas son inherentes a las firmas IPS, las técnicas de aprendizaje automático pueden abordar estas deficiencias. Basado en ataques de día cero del mundo real y tráfico inofensivo, Palo Alto Networks entrenó modelos de aprendizaje automático para detectar ataques comunes, como la ejecución remota de código y la inyección SQL. Investigaciones recientes muestran que estos modelos pueden ser muy útiles para detectar exploits de día cero, ya que son más robustos y receptivos que los métodos IPS tradicionales.

Resultados de la prueba de aprendizaje automático

Para detectar exploits de día cero, los investigadores de Palo Alto Networks entrenaron dos modelos de aprendizaje automático: uno para detectar ataques de inyección SQL y otro para detectar ataques de inyección de comandos. Los investigadores enfatizaron una baja tasa de falsos positivos para minimizar el impacto negativo del uso de estos modelos para la detección. Para ambos modelos, entrenaron solicitudes HTTP GET y POST. Para generar estos registros, combinaron múltiples fuentes, incluido el tráfico malicioso generado por herramientas, tráfico en vivo, registros IPS internos y más.

  • Para ~1,15 millones de patrones benignos y ~1,5 millones de patrones maliciosos que contenían consultas SQL, el modelo SQL logró una tasa de falsos positivos del 0,02 % y una tasa de verdaderos positivos del 90 %.
  • Con ~1 millón de muestras benignas y ~2,2 millones de muestras malignas que contenían búsquedas web y posibles inyecciones de comandos, el modelo de inyección de comandos logró una tasa de falsos positivos del 0,011 % y una tasa de verdaderos positivos del 92 %.

Estas detecciones son particularmente útiles porque pueden brindar protección contra nuevos ataques de día cero y al mismo tiempo son resistentes a pequeños cambios que podrían eludir las firmas IPS tradicionales.

conclusión

Los ataques de comando y de inyección SQL siguen estando entre las amenazas más comunes y preocupantes que afectan a las aplicaciones web. Si bien las soluciones tradicionales basadas en firmas siguen siendo efectivas contra los exploits listos para usar, a menudo no detectan variantes; un atacante motivado puede realizar cambios mínimos y eludir tales soluciones.

Para combatir estas amenazas en constante evolución, Palo Alto Networks desarrolló un modelo de aprendizaje profundo basado en el contexto que ha demostrado su eficacia en la detección de los últimos ataques de alto perfil. Los modelos pudieron detectar con éxito exploits de día cero, como la vulnerabilidad de Atlassian Confluence, la vulnerabilidad de Moodle y la vulnerabilidad de Django. Este tipo de detección flexible resultará fundamental para una defensa integral en un panorama de malware en constante evolución.

Más en PaloAltoNetworks.com

 

Acerca de Palo Alto Networks

Palo Alto Networks, el líder mundial en soluciones de ciberseguridad, está dando forma al futuro basado en la nube con tecnologías que transforman la forma en que trabajan las personas y las empresas. Nuestra misión es ser el socio de ciberseguridad preferido y proteger nuestra forma de vida digital. Lo ayudamos a abordar los mayores desafíos de seguridad del mundo con innovación continua aprovechando los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y potenciar un ecosistema creciente de socios, somos líderes en la protección de decenas de miles de empresas en nubes, redes y dispositivos móviles. Nuestra visión es un mundo donde cada día sea más seguro que el anterior.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

Los ciberdelincuentes están aprendiendo

Los investigadores de seguridad han publicado el Informe de respuesta a incidentes de 2024, que presenta un panorama preocupante de crecientes amenazas cibernéticas. Los hallazgos se basan en ➡ Leer más

Seguridad digital: los consumidores son los que más confían en los bancos

Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más

Bolsa de trabajo en la Darknet: los piratas informáticos buscan información privilegiada renegada

La Darknet no es sólo un intercambio de bienes ilegales, sino también un lugar donde los hackers buscan nuevos cómplices. ➡ Leer más

Sistemas de energía solar: ¿qué tan seguros son?

Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras. tendencia ➡ Leer más

 

Stories
, , , ,