Впровадження коду – це техніка атаки, яку зловмисники часто використовують, наприклад, в експлойтах нульового дня, щоб запускати довільний код на машинах жертв через уразливі програми. Чому сигнатур недостатньо для систем запобігання вторгненням – як машинне навчання може допомогти.
Враховуючи популярність впровадження коду для експлойтів, Palo Alto Networks виявила, що сигнатури зіставлення шаблонів часто використовуються для виявлення аномалій мережевого трафіку. Однак ін’єкції можуть мати багато форм, і проста ін’єкція може легко обійти рішення на основі підпису, додавши сторонні рядки. Таким чином, рішення на основі сигнатур часто виходять з ладу через варіанти підтвердження концепції (PoC) загальних вразливостей і експозицій (CVE).
Моделі глибокого навчання більш стійкі проти зловмисників
Сигнатури системи запобігання вторгненням (IPS) давно довели свою ефективність у боротьбі з кібератаками. Залежно від попередньо визначених сигнатур, IPS може точно виявляти відомі загрози з незначною кількістю помилкових спрацьовувань або без них. Однак створення правил IPS вимагає підтвердження концепції або технічного аналізу конкретних вразливостей, що ускладнює виявлення невідомих атак для сигнатур IPS через брак знань.
Наприклад, експлойти для віддаленого виконання коду часто створюються з уразливими URI/параметрами та зловмисним корисним навантаженням, і обидві частини слід ідентифікувати, щоб забезпечити виявлення загрози. З іншого боку, в атаках нульового дня обидві частини можуть бути або невідомими, або обфускованими, що ускладнює досягнення необхідного покриття підпису IPS.
Виклики для дослідників загроз
- Хибно негативні результати. Варіанти та атаки нульового дня відбуваються щодня, і IPS не може охопити їх усі через відсутність попередніх деталей атаки.
- Хибнопозитивні результати. Щоб охопити варіанти та атаки нульового дня, створено загальні правила з пом’якшеними умовами, що неминуче створює ризик помилкового спрацьовування.
- затримка. Часовий проміжок між виявленням вразливостей, впровадженням засобів захисту постачальниками засобів безпеки та застосуванням замовниками патчів безпеки надає зловмисникам значне вікно можливостей для використання кінцевого користувача.
Хоча ці проблеми властиві підписам IPS, методи машинного навчання можуть усунути ці недоліки. На основі реальних атак нульового дня та нешкідливого трафіку Palo Alto Networks навчила моделі машинного навчання виявляти типові атаки, такі як віддалене виконання коду та впровадження SQL. Недавні дослідження показують, що ці моделі можуть бути дуже корисними для виявлення експлойтів нульового дня, оскільки вони є надійнішими та чутливішими, ніж традиційні методи IPS.
Результати тесту машинного навчання
Щоб виявити експлойти нульового дня, дослідники Palo Alto Networks навчили дві моделі машинного навчання: одну для виявлення атак впровадження SQL, а іншу — для виявлення атак впровадження команд. Дослідники підкреслили низький рівень помилкових позитивних результатів, щоб мінімізувати негативний вплив використання цих моделей для виявлення. Для обох моделей вони навчили HTTP-запити GET і POST. Щоб створити ці записи, вони об’єднали кілька джерел, включаючи шкідливий трафік, створений інструментами, живий трафік, внутрішні записи IPS тощо.
- Для ~1,15 мільйона доброякісних і ~1,5 мільйона шкідливих шаблонів, що містять SQL-запити, модель SQL досягла 0,02 відсотка помилкових позитивних результатів і 90 відсотків істинних позитивних результатів.
- З приблизно 1 мільйоном доброякісних і приблизно 2,2 мільйонами злоякісних зразків, що містять веб-пошук і можливі введення команд, модель введення команд досягла 0,011 відсотка хибнопозитивних результатів і 92 відсотки істинно позитивних результатів.
Ці виявлення особливо корисні, оскільки вони можуть забезпечити захист від нових атак нульового дня, одночасно стійкі до невеликих змін, які можуть обійти традиційні підписи IPS.
висновок
Командні та SQL-атаки залишаються одними з найпоширеніших і тривожних загроз, які впливають на веб-додатки. Хоча традиційні рішення на основі сигнатур все ще ефективні проти готових експлойтів, вони часто не можуть виявити варіанти; вмотивований зловмисник може внести мінімальні зміни та обійти такі рішення.
Для боротьби з цими загрозами, що постійно розвиваються, Palo Alto Networks розробила контекстно-орієнтовану модель глибокого навчання, яка довела ефективність у виявленні останніх резонансних атак. Моделі змогли успішно виявити експлойти нульового дня, такі як уразливість Atlassian Confluence, уразливість Moodle і вразливість Django. Цей тип гнучкого виявлення виявиться критично важливим для комплексного захисту в середовищі шкідливих програм, що постійно розвивається.
Більше на PaloAltoNetworks.com
Про Palo Alto Networks Palo Alto Networks, світовий лідер у сфері рішень для кібербезпеки, формує хмарне майбутнє за допомогою технологій, які змінюють спосіб роботи людей і компаній. Наша місія — бути кращим партнером із кібербезпеки та захищати наш цифровий спосіб життя. Ми допомагаємо вам вирішувати найбільші світові виклики безпеки за допомогою безперервних інновацій, використовуючи останні досягнення в області штучного інтелекту, аналітики, автоматизації та оркестровки. Пропонуючи інтегровану платформу та надаючи можливості зростаючій екосистемі партнерів, ми є лідерами у захисті десятків тисяч компаній у хмарах, мережах і мобільних пристроях. Наше бачення — це світ, у якому кожен день безпечніший за попередній.
Статті по темі