Zero-Day-Exploits erkennen durch maschinelles Lernen

14. Dezember 2022
| Keine Kommentare
Zero-Day-Exploits erkennen durch maschinelles Lernen

Beitrag teilen

Code-Injektion ist eine Angriffstechnik, die von Angreifern häufig etwa bei Zero-Day-Exploits eingesetzt wird, um über anfällige Anwendungen die Ausführung von beliebigem Code auf den Rechnern der Opfer zu starten. Warum Signaturen für Intrusion Prevention Systeme nicht ausreichen – wie maschinelles Lernen helfen kann.

Angesichts der Beliebtheit von Code-Injektionen bei Exploits werden nach Erfahrung von Palo Alto Networks häufig Signaturen mit Musterübereinstimmungen verwendet, um die Anomalien im Netzwerkverkehr zu identifizieren. Injektionen können jedoch in zahlreichen Formen auftreten, und eine einfache Injektion kann eine signaturbasierte Lösung leicht umgehen, indem fremde Zeichenfolgen hinzugefügt werden. Daher scheitern signaturbasierte Lösungen oft an den Varianten des Proof of Concept (PoC) von Common Vulnerabilities and Exposures (CVEs).

Deep-Learning-Modelle robuster gegen Angreifer

Signaturen für Intrusion-Prevention-Systeme (IPS) haben sich seit langem als effiziente Lösung für Cyberangriffe erwiesen. Abhängig von vordefinierten Signaturen kann IPS bekannte Bedrohungen mit wenigen oder gar keinen Fehlalarmen genau erkennen. Die Erstellung von IPS-Regeln erfordert jedoch einen Konzeptnachweis oder eine technische Analyse bestimmter Schwachstellen, so dass es für IPS-Signaturen aufgrund mangelnder Kenntnisse schwierig ist, unbekannte Angriffe zu erkennen.

So werden beispielsweise Exploits zur Remote-Code-Ausführung häufig mit anfälligen URI/Parametern und bösartigen Nutzdaten erstellt, und beide Teile sollten identifiziert werden, um eine Erkennung der Bedrohung sicherzustellen. Andererseits können bei Zero-Day-Angriffen beide Teile entweder unbekannt oder verschleiert sein, was es schwierig macht, die erforderliche IPS-Signaturabdeckung zu erreichen.

Herausforderungen für die Bedrohungsforscher

  • Falsch-negative Ergebnisse. Variationen und Zero-Day-Angriffe treten täglich auf, und IPS kann aufgrund fehlender Angriffsdetails im Vorfeld nicht alle davon abdecken.
  • Falsch-positive Ergebnisse. Um Varianten und Zero-Day-Angriffe abzudecken, werden generische Regeln mit lockeren Bedingungen erstellt, was unweigerlich das Risiko eines Fehlalarms mit sich bringt.
  • Latenzzeit. Die Zeitspanne zwischen dem Bekanntwerden von Schwachstellen, der Einführung von Schutzmaßnahmen durch die Sicherheitsanbieter und der Anwendung von Sicherheits-Patches durch die Kunden bietet Angreifern ein beträchtliches Zeitfenster, um den Endbenutzer auszunutzen.

Diese Probleme liegen zwar in der Natur der IPS-Signaturen, doch können Techniken des maschinellen Lernens diese Unzulänglichkeiten beheben. Auf der Grundlage von realen Zero-Day-Angriffen und harmlosem Datenverkehr hat Palo Alto Networks Modelle für maschinelles Lernen trainiert, um häufige Angriffe wie Remote-Code-Ausführung und SQL-Injection zu erkennen. Die jüngsten Forschungsergebnisse zeigen, dass diese Modelle bei der Erkennung von Zero-Day-Exploits sehr hilfreich sein können, da sie sowohl robuster sind als auch schneller reagieren als herkömmliche IPS-Methoden.

Testergebnisse des maschinellen Lernens

Zur Erkennung von Zero-Day-Exploits haben die Forscher von Palo Alto Networks zwei maschinelle Lernmodelle trainiert: eines zur Erkennung von SQL-Injection-Angriffen und eines zur Erkennung von Command-Injection-Angriffen. Die Forscher legten Wert auf eine niedrige False-Positive-Rate, um die negativen Auswirkungen des Einsatzes dieser Modelle zur Erkennung zu minimieren. Für beide Modelle trainierten sie HTTP GET- und POST-Anfragen. Um diese Datensätze zu generieren, haben sie mehrere Quellen kombiniert, darunter von Tools erzeugter bösartiger Datenverkehr, Live-Datenverkehr, interne IPS-Datensätze und mehr.

  • Bei ~1,15 Millionen gutartigen und ~1,5 Millionen bösartigen Mustern, die SQL-Anfragen enthielten, erreichte das SQL-Modell eine Falsch-Positiv-Rate von 0,02 Prozent und eine Wahr-Positiv-Rate von 90 Prozent.
  • Bei ~1 Million gutartiger und ~2,2 Millionen bösartiger Proben, die Websuchen und mögliche Befehlsinjektionen enthielten, erreichte das Befehlsinjektionsmodell eine Falsch-Positiv-Rate von 0,011 Prozent und eine Wahr-Positiv-Rate von 92 Prozent.

Diese Erkennungen sind besonders nützlich, da sie Schutz vor neuen Zero-Day-Angriffen bieten können und gleichzeitig resistent gegen kleine Änderungen sind, die herkömmliche IPS-Signaturen umgehen könnten.

Schlussfolgerung

Command- und SQL-Injection-Angriffe gehören nach wie vor zu den häufigsten und besorgniserregendsten Bedrohungen, die Webanwendungen betreffen. Herkömmliche signaturbasierte Lösungen sind zwar nach wie vor wirksam gegen „Out-of-the-Box“-Exploits, können aber oft keine Varianten erkennen; ein motivierter Angreifer kann minimale Änderungen vornehmen und solche Lösungen umgehen.

Um diese sich ständig weiterentwickelnden Bedrohungen zu bekämpfen, hat Palo Alto Networks ein kontextbasiertes Deep-Learning-Modell entwickelt, das sich bei der Erkennung der neuesten hochkarätigen Angriffe als effektiv erwiesen hat. Die Modelle waren in der Lage, Zero-Day-Exploits wie die Atlassian Confluence-Schwachstelle, die Moodle-Schwachstelle und die Django-Schwachstelle erfolgreich zu erkennen. Diese Art der flexiblen Erkennung wird sich als entscheidend für eine umfassende Verteidigung in einer sich ständig weiterentwickelnden Malware-Landschaft erweisen.

Mehr bei PaloAltoNetworks.com

 

Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.

 

Passende Artikel zum Thema

IT-Sicherheit: NIS-2 macht sie zur Chefsache

Nur bei einem Viertel der deutschen Unternehmen übernimmt die Geschäftsführung die Verantwortung für die IT-Sicherheit. Vor allem in kleineren Unternehmen ➡ Weiterlesen

Anstieg der Cyberangriffe um 104 Prozent in 2023

Ein Unternehmen für Cybersicherheit hat die Bedrohungslandschaft des letzten Jahres unter die Lupe genommen. Die Ergebnisse bieten entscheidende Einblicke in ➡ Weiterlesen

Mobile Spyware ist eine Gefahr für Unternehmen

Sowohl im Alltag als auch in Unternehmen nutzen immer mehr Menschen mobile Geräte. Dadurch nimmt auch die Gefahr von "Mobil ➡ Weiterlesen

Crowdsourced Security lokalisiert viele Schwachstellen

Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. ➡ Weiterlesen

Cyberkriminelle lernen dazu

Sicherheitsforscher haben den Incident Response Report 2024 veröffentlicht, der ein besorgniserregendes Bild der zunehmenden Cyber-Bedrohungen zeichnet. Die Erkenntnisse basieren auf ➡ Weiterlesen

Digitale Sicherheit: Verbraucher vertrauen Banken am meisten

Eine Umfrage zum digitalen Vertrauen zeigte, dass Banken, das Gesundheitswesen und Behörden das meiste Vertrauen der Verbraucher genießen. Die Medien- ➡ Weiterlesen

Stellenbörse Darknet: Hacker suchen abtrünnige Insider

Das Darknet ist nicht nur eine Umschlagbörse für illegale Waren, sondern auch ein Ort, an dem Hacker neue Komplizen suchen ➡ Weiterlesen

Solarenergieanlagen – wie sicher sind sie?

Eine Studie hat die IT-Sicherheit von Solarenergieanlagen untersucht. Probleme bereiten fehlende Verschlüsselung bei der Datenübertragung, Standardpasswörter und unsichere Firmware-Updates. Trend ➡ Weiterlesen

 

Storys
, , , ,