Zero-Day-Exploits erkennen durch maschinelles Lernen

Zero-Day-Exploits erkennen durch maschinelles Lernen

Beitrag teilen

Code-Injektion ist eine Angriffstechnik, die von Angreifern häufig etwa bei Zero-Day-Exploits eingesetzt wird, um über anfällige Anwendungen die Ausführung von beliebigem Code auf den Rechnern der Opfer zu starten. Warum Signaturen für Intrusion Prevention Systeme nicht ausreichen – wie maschinelles Lernen helfen kann.

Angesichts der Beliebtheit von Code-Injektionen bei Exploits werden nach Erfahrung von Palo Alto Networks häufig Signaturen mit Musterübereinstimmungen verwendet, um die Anomalien im Netzwerkverkehr zu identifizieren. Injektionen können jedoch in zahlreichen Formen auftreten, und eine einfache Injektion kann eine signaturbasierte Lösung leicht umgehen, indem fremde Zeichenfolgen hinzugefügt werden. Daher scheitern signaturbasierte Lösungen oft an den Varianten des Proof of Concept (PoC) von Common Vulnerabilities and Exposures (CVEs).

Anzeige

Deep-Learning-Modelle robuster gegen Angreifer

Signaturen für Intrusion-Prevention-Systeme (IPS) haben sich seit langem als effiziente Lösung für Cyberangriffe erwiesen. Abhängig von vordefinierten Signaturen kann IPS bekannte Bedrohungen mit wenigen oder gar keinen Fehlalarmen genau erkennen. Die Erstellung von IPS-Regeln erfordert jedoch einen Konzeptnachweis oder eine technische Analyse bestimmter Schwachstellen, so dass es für IPS-Signaturen aufgrund mangelnder Kenntnisse schwierig ist, unbekannte Angriffe zu erkennen.

So werden beispielsweise Exploits zur Remote-Code-Ausführung häufig mit anfälligen URI/Parametern und bösartigen Nutzdaten erstellt, und beide Teile sollten identifiziert werden, um eine Erkennung der Bedrohung sicherzustellen. Andererseits können bei Zero-Day-Angriffen beide Teile entweder unbekannt oder verschleiert sein, was es schwierig macht, die erforderliche IPS-Signaturabdeckung zu erreichen.

Herausforderungen für die Bedrohungsforscher

  • Falsch-negative Ergebnisse. Variationen und Zero-Day-Angriffe treten täglich auf, und IPS kann aufgrund fehlender Angriffsdetails im Vorfeld nicht alle davon abdecken.
  • Falsch-positive Ergebnisse. Um Varianten und Zero-Day-Angriffe abzudecken, werden generische Regeln mit lockeren Bedingungen erstellt, was unweigerlich das Risiko eines Fehlalarms mit sich bringt.
  • Latenzzeit. Die Zeitspanne zwischen dem Bekanntwerden von Schwachstellen, der Einführung von Schutzmaßnahmen durch die Sicherheitsanbieter und der Anwendung von Sicherheits-Patches durch die Kunden bietet Angreifern ein beträchtliches Zeitfenster, um den Endbenutzer auszunutzen.

Diese Probleme liegen zwar in der Natur der IPS-Signaturen, doch können Techniken des maschinellen Lernens diese Unzulänglichkeiten beheben. Auf der Grundlage von realen Zero-Day-Angriffen und harmlosem Datenverkehr hat Palo Alto Networks Modelle für maschinelles Lernen trainiert, um häufige Angriffe wie Remote-Code-Ausführung und SQL-Injection zu erkennen. Die jüngsten Forschungsergebnisse zeigen, dass diese Modelle bei der Erkennung von Zero-Day-Exploits sehr hilfreich sein können, da sie sowohl robuster sind als auch schneller reagieren als herkömmliche IPS-Methoden.

Testergebnisse des maschinellen Lernens

Zur Erkennung von Zero-Day-Exploits haben die Forscher von Palo Alto Networks zwei maschinelle Lernmodelle trainiert: eines zur Erkennung von SQL-Injection-Angriffen und eines zur Erkennung von Command-Injection-Angriffen. Die Forscher legten Wert auf eine niedrige False-Positive-Rate, um die negativen Auswirkungen des Einsatzes dieser Modelle zur Erkennung zu minimieren. Für beide Modelle trainierten sie HTTP GET- und POST-Anfragen. Um diese Datensätze zu generieren, haben sie mehrere Quellen kombiniert, darunter von Tools erzeugter bösartiger Datenverkehr, Live-Datenverkehr, interne IPS-Datensätze und mehr.

  • Bei ~1,15 Millionen gutartigen und ~1,5 Millionen bösartigen Mustern, die SQL-Anfragen enthielten, erreichte das SQL-Modell eine Falsch-Positiv-Rate von 0,02 Prozent und eine Wahr-Positiv-Rate von 90 Prozent.
  • Bei ~1 Million gutartiger und ~2,2 Millionen bösartiger Proben, die Websuchen und mögliche Befehlsinjektionen enthielten, erreichte das Befehlsinjektionsmodell eine Falsch-Positiv-Rate von 0,011 Prozent und eine Wahr-Positiv-Rate von 92 Prozent.

Diese Erkennungen sind besonders nützlich, da sie Schutz vor neuen Zero-Day-Angriffen bieten können und gleichzeitig resistent gegen kleine Änderungen sind, die herkömmliche IPS-Signaturen umgehen könnten.

Schlussfolgerung

Command- und SQL-Injection-Angriffe gehören nach wie vor zu den häufigsten und besorgniserregendsten Bedrohungen, die Webanwendungen betreffen. Herkömmliche signaturbasierte Lösungen sind zwar nach wie vor wirksam gegen „Out-of-the-Box“-Exploits, können aber oft keine Varianten erkennen; ein motivierter Angreifer kann minimale Änderungen vornehmen und solche Lösungen umgehen.

Um diese sich ständig weiterentwickelnden Bedrohungen zu bekämpfen, hat Palo Alto Networks ein kontextbasiertes Deep-Learning-Modell entwickelt, das sich bei der Erkennung der neuesten hochkarätigen Angriffe als effektiv erwiesen hat. Die Modelle waren in der Lage, Zero-Day-Exploits wie die Atlassian Confluence-Schwachstelle, die Moodle-Schwachstelle und die Django-Schwachstelle erfolgreich zu erkennen. Diese Art der flexiblen Erkennung wird sich als entscheidend für eine umfassende Verteidigung in einer sich ständig weiterentwickelnden Malware-Landschaft erweisen.

Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

NIS2-Richtlinie: So bewältigen Unternehmen die Herausforderung

Die NIS2-Richtlinie verschärft die Anforderungen an die Cybersicherheit von Unternehmen. Dies führt für Unternehmen mit kritischen Infrastrukturen zu hohen Investitionen ➡ Weiterlesen

Die zehn größten Datenpannen im Jahr 2024

Datenpannen sorgen nicht nur für häufige, aufmerksamkeitsstarke Schlagzeilen – sie sind eine deutliche Erinnerung an die Schwachstellen, die in vielen ➡ Weiterlesen

Quantenresistenz wird 2025 immer wichtiger

Laut den Vorhersagen eines führenden Anbieters für Cybersicherheitslösungen werden Unternehmen in 2025 ihre Cybersicherheitsstrategien anpassen: Sie werden erste Schritte in ➡ Weiterlesen

IT-Security 2025: Datenzerstörung und Social Engineering mit KI

In 2025 steigt das Risiko eines Datenverlusts für Unternehmen stark an, denn es gibt aktuell viele Angreifer, die Daten löschen ➡ Weiterlesen

Verschlüsselung unvollständig: Akira-Hacker werden nachlässig

Viele Unternehmen geben im Fall eines Ransomware-Angriffs nach und zahlen Lösegeld an die Kriminellen. Aber auch die Angreifer unterliegen Zeitdruck ➡ Weiterlesen

Cybersecurity: Zugriff auf umfangreiche Bedrohungsdaten

Die Erweiterung der Arctic Wolf Security Operations Platform Aurora bietet Unternehmen Zugriff auf die Bedrohungsdaten ihres eigenen großen Security Operation ➡ Weiterlesen

Studie: Gefahr durch fehlende Post-Quantum-Kryptographie

Das Entrust Cybersecurity Institute hat die Ergebnisse einer weltweiten Umfrage zum Thema Post-Quantum-Kryptographie veröffentlicht. Hierin wird analysiert, inwieweit Unternehmen auf ➡ Weiterlesen

Security-Trends 2025: KI gehört nun zum Team

Security-Trends 2025: KI-Technologie gehört immer mehr zur IT-Sicherheit. Inzwischen sollten Security-Teams die KI als weiteres Teammitglied ansehen und an einem ➡ Weiterlesen