Detecte explorações de dia zero por meio do aprendizado de máquina

14. Dezembro 2022
| Sem comentários
Detecte explorações de dia zero por meio do aprendizado de máquina

Compartilhar postagem

A injeção de código é uma técnica de ataque que os invasores costumam usar, por exemplo, em explorações de dia zero, para lançar código arbitrário nas máquinas das vítimas por meio de aplicativos vulneráveis. Por que as assinaturas não são suficientes para sistemas de prevenção de invasões - como o aprendizado de máquina pode ajudar.

Dada a popularidade da injeção de código para exploits, a Palo Alto Networks descobriu que as assinaturas de correspondência de padrão são frequentemente usadas para identificar anomalias no tráfego de rede. No entanto, as injeções podem vir de várias formas, e uma injeção simples pode facilmente ignorar uma solução baseada em assinatura adicionando strings estrangeiras. Portanto, as soluções baseadas em assinatura geralmente falham devido às variantes de Prova de Conceito (PoC) de Vulnerabilidades e Exposições Comuns (CVEs).

Modelos de aprendizado profundo mais robustos contra invasores

As assinaturas do Sistema de Prevenção de Intrusão (IPS) há muito provaram ser uma solução eficiente para ataques cibernéticos. Dependendo das assinaturas predefinidas, o IPS pode detectar com precisão ameaças conhecidas com poucos ou nenhum falso positivo. No entanto, a criação de regras IPS requer uma prova de conceito ou análise técnica de vulnerabilidades específicas, dificultando que as assinaturas IPS detectem ataques desconhecidos por falta de conhecimento.

Por exemplo, as explorações de execução remota de código geralmente são criadas com URI/parâmetros vulneráveis ​​e carga útil maliciosa, e ambas as partes devem ser identificadas para garantir a detecção de ameaças. Por outro lado, em ataques de dia zero, ambas as partes podem ser desconhecidas ou ofuscadas, dificultando a obtenção da cobertura de assinatura IPS necessária.

Desafios para pesquisadores de ameaças

  • Resultados falsos negativos. Variações e ataques de dia zero ocorrem todos os dias, e o IPS não pode cobrir todos eles devido à falta de detalhes iniciais do ataque.
  • Resultados falsos positivos. Para cobrir variantes e ataques de dia zero, regras genéricas são criadas com condições relaxadas, o que inevitavelmente introduz o risco de um falso positivo.
  • latência. O intervalo de tempo entre a descoberta de vulnerabilidades, a implementação de proteções por fornecedores de segurança e a aplicação de patches de segurança por clientes fornece aos invasores uma janela de oportunidade significativa para explorar o usuário final.

Embora esses problemas sejam inerentes às assinaturas IPS, as técnicas de aprendizado de máquina podem resolver essas deficiências. Com base em ataques de dia zero do mundo real e tráfego inofensivo, a Palo Alto Networks treinou modelos de aprendizado de máquina para detectar ataques comuns, como execução remota de código e injeção de SQL. Pesquisas recentes mostram que esses modelos podem ser muito úteis na detecção de explorações de dia zero, pois são mais robustos e responsivos do que os métodos IPS tradicionais.

Resultados do teste de aprendizado de máquina

Para detectar explorações de dia zero, os pesquisadores da Palo Alto Networks treinaram dois modelos de aprendizado de máquina: um para detectar ataques de injeção de SQL e outro para detectar ataques de injeção de comando. Os pesquisadores enfatizaram uma baixa taxa de falsos positivos para minimizar o impacto negativo do uso desses modelos para detecção. Para ambos os modelos, eles treinaram solicitações HTTP GET e POST. Para gerar esses registros, eles combinaram várias fontes, incluindo tráfego malicioso gerado por ferramentas, tráfego ao vivo, registros IPS internos e muito mais.

  • Para aproximadamente 1,15 milhão de padrões benignos e aproximadamente 1,5 milhão de padrões maliciosos contendo consultas SQL, o modelo SQL alcançou uma taxa de falsos positivos de 0,02% e uma taxa de verdadeiros positivos de 90%.
  • Com aproximadamente 1 milhão de amostras benignas e aproximadamente 2,2 milhões de amostras malignas contendo pesquisas na web e possíveis injeções de comando, o modelo de injeção de comando alcançou uma taxa de falsos positivos de 0,011% e uma taxa de verdadeiros positivos de 92%.

Essas detecções são particularmente úteis porque podem fornecer proteção contra novos ataques de dia zero, ao mesmo tempo em que resistem a pequenas alterações que podem ignorar as assinaturas IPS tradicionais.

conclusão

Os ataques de injeção de comando e SQL permanecem entre as ameaças mais comuns e preocupantes que afetam os aplicativos da web. Embora as soluções tradicionais baseadas em assinaturas ainda sejam eficazes contra explorações prontas para uso, muitas vezes elas falham na detecção de variantes; um invasor motivado pode fazer alterações mínimas e contornar essas soluções.

Para combater essas ameaças em constante evolução, a Palo Alto Networks desenvolveu um modelo de aprendizado profundo baseado em contexto que se mostrou eficaz na detecção dos mais recentes ataques de alto perfil. Os modelos foram capazes de detectar com sucesso explorações de dia zero, como a vulnerabilidade do Atlassian Confluence, a vulnerabilidade do Moodle e a vulnerabilidade do Django. Esse tipo de detecção flexível será essencial para uma defesa abrangente em um cenário de malware em constante evolução.

Mais em PaloAltoNetworks.com

 

Sobre a Palo Alto Networks

A Palo Alto Networks, líder global em soluções de segurança cibernética, está moldando o futuro baseado em nuvem com tecnologias que transformam a maneira como as pessoas e as empresas trabalham. Nossa missão é ser o parceiro preferencial de segurança cibernética e proteger nosso modo de vida digital. Ajudamos você a enfrentar os maiores desafios de segurança do mundo com inovação contínua, aproveitando os avanços mais recentes em inteligência artificial, análise, automação e orquestração. Ao fornecer uma plataforma integrada e capacitar um crescente ecossistema de parceiros, somos líderes na proteção de dezenas de milhares de empresas em nuvens, redes e dispositivos móveis. Nossa visão é um mundo onde cada dia é mais seguro do que o anterior.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Os cibercriminosos estão aprendendo

Pesquisadores de segurança divulgaram o Relatório de Resposta a Incidentes de 2024, que mostra um quadro preocupante do aumento das ameaças cibernéticas. As descobertas são baseadas em ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

 

Stories
, , , ,