Rileva gli exploit zero-day tramite il machine learning

14. Dicembre 2022
| Non ci sono commenti
Rileva gli exploit zero-day tramite il machine learning

Condividi post

L'iniezione di codice è una tecnica di attacco che gli aggressori utilizzano spesso, ad esempio negli exploit zero-day, per lanciare codice arbitrario sui computer delle vittime tramite applicazioni vulnerabili. Perché le firme non sono sufficienti per i sistemi di prevenzione delle intrusioni: in che modo l'apprendimento automatico può aiutare.

Data la popolarità dell'iniezione di codice per gli exploit, Palo Alto Networks ha scoperto che le firme di corrispondenza dei modelli vengono spesso utilizzate per identificare le anomalie del traffico di rete. Tuttavia, le iniezioni possono presentarsi in molte forme e una semplice iniezione può facilmente aggirare una soluzione basata sulla firma aggiungendo stringhe esterne. Pertanto, le soluzioni basate su firme spesso falliscono a causa delle varianti Proof of Concept (PoC) di Common Vulnerabilities and Exposures (CVE).

Modelli di deep learning più robusti contro gli aggressori

Le firme del sistema di prevenzione delle intrusioni (IPS) hanno da tempo dimostrato di essere una soluzione efficiente agli attacchi informatici. A seconda delle firme predefinite, l'IPS può rilevare accuratamente le minacce note con pochi o nessun falso positivo. Tuttavia, la creazione di regole IPS richiede una prova di concetto o un'analisi tecnica di specifiche vulnerabilità, rendendo difficile per le firme IPS rilevare attacchi sconosciuti a causa della mancanza di conoscenza.

Ad esempio, gli exploit di esecuzione di codice in modalità remota sono spesso creati con URI/parametri vulnerabili e payload dannosi ed entrambe le parti devono essere identificate per garantire il rilevamento delle minacce. D'altra parte, negli attacchi zero-day, entrambe le parti possono essere sconosciute o offuscate, rendendo difficile ottenere la necessaria copertura della firma IPS.

Sfide per i ricercatori sulle minacce

  • Risultati falsi negativi. Variazioni e attacchi zero-day si verificano ogni giorno e l'IPS non può coprirli tutti a causa della mancanza di dettagli iniziali sugli attacchi.
  • Risultati falsi positivi. Per coprire le varianti e gli attacchi zero-day, vengono create regole generiche con condizioni rilassate, che inevitabilmente introducono il rischio di un falso positivo.
  • latenza. L'intervallo di tempo tra la scoperta delle vulnerabilità, l'implementazione delle protezioni da parte dei fornitori di sicurezza e l'applicazione delle patch di sicurezza da parte dei clienti offre agli aggressori una significativa finestra di opportunità per sfruttare l'utente finale.

Sebbene questi problemi siano inerenti alle firme IPS, le tecniche di apprendimento automatico possono risolvere queste carenze. Sulla base di attacchi zero-day reali e traffico innocuo, Palo Alto Networks ha addestrato modelli di machine learning per rilevare attacchi comuni come esecuzione di codice in modalità remota e SQL injection. Ricerche recenti mostrano che questi modelli possono essere molto utili per rilevare gli exploit zero-day, in quanto sono più robusti e reattivi rispetto ai tradizionali metodi IPS.

Risultati del test di apprendimento automatico

Per rilevare gli exploit zero-day, i ricercatori di Palo Alto Networks hanno addestrato due modelli di machine learning: uno per rilevare gli attacchi di SQL injection e uno per rilevare gli attacchi di command injection. I ricercatori hanno sottolineato un basso tasso di falsi positivi per ridurre al minimo l'impatto negativo dell'utilizzo di questi modelli per il rilevamento. Per entrambi i modelli, hanno addestrato le richieste HTTP GET e POST. Per generare questi record, hanno combinato più fonti tra cui traffico dannoso generato da strumenti, traffico in tempo reale, record IPS interni e altro ancora.

  • Per ~1,15 milioni di pattern benigni e ~1,5 milioni dannosi contenenti query SQL, il modello SQL ha raggiunto un tasso di falsi positivi dello 0,02% e un tasso di veri positivi del 90%.
  • Con ~1 milione di campioni benigni e ~2,2 milioni di campioni maligni contenenti ricerche sul Web e possibili iniezioni di comandi, il modello di iniezione di comandi ha raggiunto un tasso di falsi positivi dello 0,011% e un tasso di veri positivi del 92%.

Questi rilevamenti sono particolarmente utili perché possono fornire protezione contro nuovi attacchi zero-day pur essendo resistenti a piccole modifiche che potrebbero aggirare le tradizionali firme IPS.

conclusione

Gli attacchi Command e SQL injection rimangono tra le minacce più comuni e preoccupanti che colpiscono le applicazioni web. Sebbene le tradizionali soluzioni basate su firme siano ancora efficaci contro gli exploit pronti all'uso, spesso non riescono a rilevare le varianti; un utente malintenzionato motivato può apportare modifiche minime e aggirare tali soluzioni.

Per combattere queste minacce in continua evoluzione, Palo Alto Networks ha sviluppato un modello di deep learning basato sul contesto che si è dimostrato efficace nel rilevare gli ultimi attacchi di alto profilo. I modelli sono stati in grado di rilevare con successo exploit zero-day come la vulnerabilità Atlassian Confluence, la vulnerabilità Moodle e la vulnerabilità Django. Questo tipo di rilevamento flessibile si rivelerà fondamentale per una difesa completa in un panorama di malware in continua evoluzione.

Altro su PaloAltoNetworks.com

 

A proposito di Palo Alto Networks

Palo Alto Networks, leader globale nelle soluzioni di sicurezza informatica, sta plasmando il futuro basato sul cloud con tecnologie che trasformano il modo in cui lavorano le persone e le aziende. La nostra missione è essere il partner preferito per la sicurezza informatica e proteggere il nostro stile di vita digitale. Ti aiutiamo ad affrontare le maggiori sfide di sicurezza del mondo con un'innovazione continua che sfrutta le ultime scoperte in termini di intelligenza artificiale, analisi, automazione e orchestrazione. Fornendo una piattaforma integrata e potenziando un ecosistema di partner in crescita, siamo leader nella protezione di decine di migliaia di aziende su cloud, reti e dispositivi mobili. La nostra visione è un mondo in cui ogni giorno è più sicuro di quello precedente.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

I criminali informatici stanno imparando

I ricercatori di sicurezza hanno pubblicato il 2024 Incident Response Report, che dipinge un quadro preoccupante dell’aumento delle minacce informatiche. I risultati si basano su ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

 

racconti
, , , ,