Kod enjeksiyonu, saldırganların savunmasız uygulamalar yoluyla kurbanların makinelerinde rasgele kod başlatmak için sıklıkla kullandıkları bir saldırı tekniğidir, örneğin sıfır gün istismarlarında. İzinsiz giriş önleme sistemleri için imzalar neden yeterli değil - makine öğrenimi nasıl yardımcı olabilir?
Açıklardan yararlanma için kod enjeksiyonunun popülaritesi göz önüne alındığında, Palo Alto Networks, model eşleştirme imzalarının genellikle ağ trafiği anormalliklerini belirlemek için kullanıldığını bulmuştur. Bununla birlikte, enjeksiyonlar birçok şekilde olabilir ve basit bir enjeksiyon, yabancı diziler ekleyerek imza tabanlı bir çözümü kolayca atlayabilir. Bu nedenle imza tabanlı çözümler, Ortak Güvenlik Açıkları ve Etkilenmelerin (CVE'ler) Kavram Kanıtı (PoC) varyantları nedeniyle genellikle başarısız olur.
Derin öğrenme modelleri saldırganlara karşı daha güçlü
Saldırı Önleme Sistemi (IPS) imzalarının siber saldırılara karşı etkili bir çözüm olduğu uzun süredir kanıtlanmıştır. Önceden tanımlanmış imzalara bağlı olarak, IPS bilinen tehditleri çok az veya hiç yanlış pozitif olmadan doğru bir şekilde tespit edebilir. Bununla birlikte, IPS kuralları oluşturmak, bir kavram kanıtı veya belirli güvenlik açıklarının teknik analizini gerektirir; bu da, bilgi eksikliği nedeniyle IPS imzalarının bilinmeyen saldırıları algılamasını zorlaştırır.
Örneğin, uzaktan kod yürütme istismarları genellikle savunmasız URI/parametreler ve kötü amaçlı yük ile oluşturulur ve tehdit algılamasını sağlamak için her iki parça da tanımlanmalıdır. Öte yandan, sıfır gün saldırılarında, her iki parça da bilinmeyebilir veya gizlenebilir, bu da gerekli IPS imza kapsamına ulaşılmasını zorlaştırır.
Tehdit araştırmacıları için zorluklar
- Yanlış negatif sonuçlar. Her gün varyasyonlar ve sıfır gün saldırıları meydana gelir ve önceden saldırı ayrıntılarının olmaması nedeniyle IPS bunların hepsini kapsayamaz.
- Yanlış pozitif sonuçlar. Varyantları ve sıfır gün saldırılarını kapsamak için, kaçınılmaz olarak yanlış pozitif riskini ortaya çıkaran esnek koşullarla genel kurallar oluşturulur.
- gecikme Güvenlik açıklarının keşfedilmesi, güvenlik satıcıları tarafından korumaların uygulanması ve müşterilerin güvenlik yamalarının uygulanması arasındaki zaman gecikmesi, saldırganlara son kullanıcıyı istismar etmek için önemli bir fırsat penceresi sağlar.
Bu sorunlar IPS imzalarının doğasında olsa da, makine öğrenimi teknikleri bu eksiklikleri giderebilir. Palo Alto Networks, gerçek dünyadaki sıfır gün saldırılarına ve zararsız trafiğe dayalı olarak, uzaktan kod yürütme ve SQL enjeksiyonu gibi yaygın saldırıları algılamak için makine öğrenimi modelleri eğitti. Son zamanlarda yapılan araştırmalar, bu modellerin geleneksel IPS yöntemlerinden hem daha sağlam hem de duyarlı olduklarından, sıfırıncı gün istismarlarını tespit etmede çok yararlı olabileceğini göstermektedir.
Makine öğrenimi test sonuçları
Palo Alto Networks araştırmacıları, sıfır gün açıklarını tespit etmek için iki makine öğrenimi modeli eğitti: biri SQL enjeksiyon saldırılarını tespit etmek için, diğeri ise komut enjeksiyon saldırılarını tespit etmek için. Araştırmacılar, tespit için bu modelleri kullanmanın olumsuz etkisini en aza indirmek için düşük bir yanlış pozitif oranı vurguladılar. Her iki model için de HTTP GET ve POST isteklerini eğittiler. Bu kayıtları oluşturmak için araçlar tarafından oluşturulan kötü amaçlı trafik, canlı trafik, dahili IPS kayıtları ve daha fazlası dahil olmak üzere birden çok kaynağı birleştirdiler.
- SQL sorguları içeren ~1,15 milyon iyi huylu ve ~1,5 milyon kötü amaçlı kalıp için, SQL modeli yüzde 0,02 yanlış pozitif oranı ve yüzde 90 gerçek pozitif oranı elde etti.
- Web aramaları ve olası komut enjeksiyonları içeren ~1 milyon iyi huylu ve ~2,2 milyon kötü huylu örnekle, komut enjeksiyon modeli yüzde 0,011 yanlış pozitif oranı ve yüzde 92 gerçek pozitif oranı elde etti.
Bu algılamalar, geleneksel IPS imzalarını atlayabilecek küçük değişikliklere dirençli olurken yeni sıfır gün saldırılarına karşı koruma sağlayabildikleri için özellikle yararlıdır.
Sonuç
Komut ve SQL enjeksiyon saldırıları, web uygulamalarını etkileyen en yaygın ve endişe verici tehditler arasında yer almaya devam ediyor. Geleneksel imza tabanlı çözümler, kullanıma hazır istismarlara karşı hâlâ etkili olsa da, genellikle varyantları tespit etmekte başarısız olurlar; motive olmuş bir saldırgan minimum düzeyde değişiklik yapabilir ve bu tür çözümleri atlayabilir.
Sürekli gelişen bu tehditlerle mücadele etmek için Palo Alto Networks, en son yüksek profilli saldırıları tespit etmede etkili olduğu kanıtlanmış, bağlama dayalı bir derin öğrenme modeli geliştirdi. Modeller, Atlassian Confluence güvenlik açığı, Moodle güvenlik açığı ve Django güvenlik açığı gibi sıfır gün açıklarını başarıyla tespit edebildi. Bu tür esnek algılama, sürekli gelişen bir kötü amaçlı yazılım ortamında kapsamlı savunma için kritik öneme sahip olacaktır.
PaloAltoNetworks.com'da daha fazlası
Palo Alto Ağları Hakkında Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.
Konuyla ilgili makaleler