Code-Injektion ist eine Angriffstechnik, die von Angreifern häufig etwa bei Zero-Day-Exploits eingesetzt wird, um über anfällige Anwendungen die Ausführung von beliebigem Code auf den Rechnern der Opfer zu starten. Warum Signaturen für Intrusion Prevention Systeme nicht ausreichen – wie maschinelles Lernen helfen kann.
Angesichts der Beliebtheit von Code-Injektionen bei Exploits werden nach Erfahrung von Palo Alto Networks häufig Signaturen mit Musterübereinstimmungen verwendet, um die Anomalien im Netzwerkverkehr zu identifizieren. Injektionen können jedoch in zahlreichen Formen auftreten, und eine einfache Injektion kann eine signaturbasierte Lösung leicht umgehen, indem fremde Zeichenfolgen hinzugefügt werden. Daher scheitern signaturbasierte Lösungen oft an den Varianten des Proof of Concept (PoC) von Common Vulnerabilities and Exposures (CVEs).
Deep-Learning-Modelle robuster gegen Angreifer
Signaturen für Intrusion-Prevention-Systeme (IPS) haben sich seit langem als effiziente Lösung für Cyberangriffe erwiesen. Abhängig von vordefinierten Signaturen kann IPS bekannte Bedrohungen mit wenigen oder gar keinen Fehlalarmen genau erkennen. Die Erstellung von IPS-Regeln erfordert jedoch einen Konzeptnachweis oder eine technische Analyse bestimmter Schwachstellen, so dass es für IPS-Signaturen aufgrund mangelnder Kenntnisse schwierig ist, unbekannte Angriffe zu erkennen.
So werden beispielsweise Exploits zur Remote-Code-Ausführung häufig mit anfälligen URI/Parametern und bösartigen Nutzdaten erstellt, und beide Teile sollten identifiziert werden, um eine Erkennung der Bedrohung sicherzustellen. Andererseits können bei Zero-Day-Angriffen beide Teile entweder unbekannt oder verschleiert sein, was es schwierig macht, die erforderliche IPS-Signaturabdeckung zu erreichen.
Herausforderungen für die Bedrohungsforscher
- Falsch-negative Ergebnisse. Variationen und Zero-Day-Angriffe treten täglich auf, und IPS kann aufgrund fehlender Angriffsdetails im Vorfeld nicht alle davon abdecken.
- Falsch-positive Ergebnisse. Um Varianten und Zero-Day-Angriffe abzudecken, werden generische Regeln mit lockeren Bedingungen erstellt, was unweigerlich das Risiko eines Fehlalarms mit sich bringt.
- Latenzzeit. Die Zeitspanne zwischen dem Bekanntwerden von Schwachstellen, der Einführung von Schutzmaßnahmen durch die Sicherheitsanbieter und der Anwendung von Sicherheits-Patches durch die Kunden bietet Angreifern ein beträchtliches Zeitfenster, um den Endbenutzer auszunutzen.
Diese Probleme liegen zwar in der Natur der IPS-Signaturen, doch können Techniken des maschinellen Lernens diese Unzulänglichkeiten beheben. Auf der Grundlage von realen Zero-Day-Angriffen und harmlosem Datenverkehr hat Palo Alto Networks Modelle für maschinelles Lernen trainiert, um häufige Angriffe wie Remote-Code-Ausführung und SQL-Injection zu erkennen. Die jüngsten Forschungsergebnisse zeigen, dass diese Modelle bei der Erkennung von Zero-Day-Exploits sehr hilfreich sein können, da sie sowohl robuster sind als auch schneller reagieren als herkömmliche IPS-Methoden.
Testergebnisse des maschinellen Lernens
Zur Erkennung von Zero-Day-Exploits haben die Forscher von Palo Alto Networks zwei maschinelle Lernmodelle trainiert: eines zur Erkennung von SQL-Injection-Angriffen und eines zur Erkennung von Command-Injection-Angriffen. Die Forscher legten Wert auf eine niedrige False-Positive-Rate, um die negativen Auswirkungen des Einsatzes dieser Modelle zur Erkennung zu minimieren. Für beide Modelle trainierten sie HTTP GET- und POST-Anfragen. Um diese Datensätze zu generieren, haben sie mehrere Quellen kombiniert, darunter von Tools erzeugter bösartiger Datenverkehr, Live-Datenverkehr, interne IPS-Datensätze und mehr.
- Bei ~1,15 Millionen gutartigen und ~1,5 Millionen bösartigen Mustern, die SQL-Anfragen enthielten, erreichte das SQL-Modell eine Falsch-Positiv-Rate von 0,02 Prozent und eine Wahr-Positiv-Rate von 90 Prozent.
- Bei ~1 Million gutartiger und ~2,2 Millionen bösartiger Proben, die Websuchen und mögliche Befehlsinjektionen enthielten, erreichte das Befehlsinjektionsmodell eine Falsch-Positiv-Rate von 0,011 Prozent und eine Wahr-Positiv-Rate von 92 Prozent.
Diese Erkennungen sind besonders nützlich, da sie Schutz vor neuen Zero-Day-Angriffen bieten können und gleichzeitig resistent gegen kleine Änderungen sind, die herkömmliche IPS-Signaturen umgehen könnten.
Schlussfolgerung
Command- und SQL-Injection-Angriffe gehören nach wie vor zu den häufigsten und besorgniserregendsten Bedrohungen, die Webanwendungen betreffen. Herkömmliche signaturbasierte Lösungen sind zwar nach wie vor wirksam gegen „Out-of-the-Box“-Exploits, können aber oft keine Varianten erkennen; ein motivierter Angreifer kann minimale Änderungen vornehmen und solche Lösungen umgehen.
Um diese sich ständig weiterentwickelnden Bedrohungen zu bekämpfen, hat Palo Alto Networks ein kontextbasiertes Deep-Learning-Modell entwickelt, das sich bei der Erkennung der neuesten hochkarätigen Angriffe als effektiv erwiesen hat. Die Modelle waren in der Lage, Zero-Day-Exploits wie die Atlassian Confluence-Schwachstelle, die Moodle-Schwachstelle und die Django-Schwachstelle erfolgreich zu erkennen. Diese Art der flexiblen Erkennung wird sich als entscheidend für eine umfassende Verteidigung in einer sich ständig weiterentwickelnden Malware-Landschaft erweisen.
Mehr bei PaloAltoNetworks.com
Über Palo Alto Networks Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.
Passende Artikel zum Thema