L'injection de code est une technique d'attaque que les attaquants utilisent souvent, par exemple dans les exploits zero-day, pour lancer du code arbitraire sur les machines des victimes via des applications vulnérables. Pourquoi les signatures ne suffisent pas pour les systèmes de prévention des intrusions - comment l'apprentissage automatique peut aider.
Compte tenu de la popularité de l'injection de code pour les exploits, Palo Alto Networks a constaté que les signatures de correspondance de modèles sont souvent utilisées pour identifier les anomalies du trafic réseau. Cependant, les injections peuvent prendre de nombreuses formes, et une simple injection peut facilement contourner une solution basée sur la signature en ajoutant des chaînes étrangères. Par conséquent, les solutions basées sur les signatures échouent souvent en raison des variantes Proof of Concept (PoC) des vulnérabilités et expositions communes (CVE).
Modèles d'apprentissage en profondeur plus robustes contre les attaquants
Les signatures du système de prévention des intrusions (IPS) se sont depuis longtemps révélées être une solution efficace aux cyberattaques. Selon les signatures prédéfinies, IPS peut détecter avec précision les menaces connues avec peu ou pas de faux positifs. Cependant, la création de règles IPS nécessite une preuve de concept ou une analyse technique de vulnérabilités spécifiques, ce qui rend difficile la détection d'attaques inconnues par les signatures IPS en raison d'un manque de connaissances.
Par exemple, les exploits d'exécution de code à distance sont souvent construits avec des URI/paramètres vulnérables et une charge utile malveillante, et les deux parties doivent être identifiées pour assurer la détection des menaces. D'un autre côté, dans les attaques zero-day, les deux parties peuvent être inconnues ou obscurcies, ce qui rend difficile l'obtention de la couverture de signature IPS requise.
Défis pour les chercheurs sur les menaces
- Faux résultats négatifs. Des variations et des attaques zero-day se produisent tous les jours, et IPS ne peut pas toutes les couvrir en raison d'un manque de détails sur les attaques initiales.
- Faux résultats positifs. Pour couvrir les variantes et les attaques zero-day, des règles génériques sont créées avec des conditions assouplies, ce qui introduit inévitablement le risque d'un faux positif.
- latence. Le décalage temporel entre la découverte des vulnérabilités, la mise en œuvre des protections par les fournisseurs de sécurité et l'application des correctifs de sécurité par les clients offre aux attaquants une fenêtre d'opportunité importante pour exploiter l'utilisateur final.
Bien que ces problèmes soient inhérents aux signatures IPS, les techniques d'apprentissage automatique peuvent remédier à ces lacunes. Sur la base d'attaques zero-day réelles et d'un trafic inoffensif, Palo Alto Networks a formé des modèles d'apprentissage automatique pour détecter les attaques courantes telles que l'exécution de code à distance et l'injection SQL. Des recherches récentes montrent que ces modèles peuvent être très utiles pour détecter les exploits zero-day, car ils sont à la fois plus robustes et réactifs que les méthodes IPS traditionnelles.
Résultats des tests d'apprentissage automatique
Pour détecter les exploits zero-day, les chercheurs de Palo Alto Networks ont formé deux modèles d'apprentissage automatique : l'un pour détecter les attaques par injection SQL et l'autre pour détecter les attaques par injection de commande. Les chercheurs ont mis l'accent sur un faible taux de faux positifs afin de minimiser l'impact négatif de l'utilisation de ces modèles pour la détection. Pour les deux modèles, ils ont formé les requêtes HTTP GET et POST. Pour générer ces enregistrements, ils ont combiné plusieurs sources, notamment le trafic malveillant généré par les outils, le trafic en direct, les enregistrements IPS internes, etc.
- Pour environ 1,15 million de modèles bénins et environ 1,5 million de modèles malveillants contenant des requêtes SQL, le modèle SQL a atteint un taux de faux positifs de 0,02 % et un taux de vrais positifs de 90 %.
- Avec environ 1 million d'échantillons bénins et environ 2,2 millions d'échantillons malins contenant des recherches sur le Web et d'éventuelles injections de commandes, le modèle d'injection de commandes a atteint un taux de faux positifs de 0,011 % et un taux de vrais positifs de 92 %.
Ces détections sont particulièrement utiles car elles peuvent fournir une protection contre les nouvelles attaques zero-day tout en étant résistantes aux petites modifications qui pourraient contourner les signatures IPS traditionnelles.
conclusion
Les attaques par commande et par injection SQL restent parmi les menaces les plus courantes et les plus inquiétantes affectant les applications Web. Alors que les solutions traditionnelles basées sur les signatures sont toujours efficaces contre les exploits prêts à l'emploi, elles échouent souvent à détecter les variantes ; un attaquant motivé peut apporter des modifications minimes et contourner ces solutions.
Pour lutter contre ces menaces en constante évolution, Palo Alto Networks a développé un modèle d'apprentissage en profondeur basé sur le contexte qui s'est avéré efficace pour détecter les dernières attaques de grande envergure. Les modèles ont pu détecter avec succès des exploits zero-day tels que la vulnérabilité Atlassian Confluence, la vulnérabilité Moodle et la vulnérabilité Django. Ce type de détection flexible s'avérera essentiel pour une défense complète dans un paysage de logiciels malveillants en constante évolution.
Plus sur PaloAltoNetworks.com
À propos des réseaux de Palo Alto Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.
Articles liés au sujet