SOC setzt aufwärts selbst entwickeltes maschinelles Lernen, um Cyber-Eindringlinge zu fangen

Mithilfe eines intern entwickelten maschinellen Lernmodells, dasjenige aufwärts Protokolldaten trainiert wurde, stellte dasjenige Informationssicherheitsteam einer französischen Geldinstitut verspannt, dass es drei neue Arten dieser Datenexfiltration wiedererkennen konnte, die regelbasierte Sicherheitsanwendungen nicht abwehren konnten.

Carole Boijaud, Cybersicherheitsingenieurin wohnhaft bei dieser Credit Agricole Group Infrastructure Platform (CA-GIP), wird aufwärts dieser Black Hat Europe 2022-Tagung nächste Woche die Podium eintreten, um die Erprobung dieser Technologie in einer Sitzung mit dem Titel „Thresholds Are for Old Threats: Entmystifizierung von KI und maschinellem Lernen zur Verbesserung dieser SOC-Erkennung.” Dasjenige Team nahm tägliche Zusammenfassungsdaten aus Protokolldateien, extrahierte interessante Merkmale aus den Information und verwendete welche, um Anomalien im Webverkehr dieser Geldinstitut zu finden.

Die Wissenschaft konzentrierte sich darauf, wie die Datenexfiltration durch Angreifer besser erkannt werden kann, und führte zur Identifizierung von Angriffen, die dasjenige vorherige System des Unternehmens nicht wiedererkennen konnte, sagt sie.

„Wir nach sich ziehen unsrige eigene Vortäuschung von Bedrohungen implementiert, von dem, welches wir sehen wollten, damit wir sehen konnten, welches in unserem eigenen Datenverkehr identifiziert werden konnte“, sagt sie. „Wie wir es nicht erkannt nach sich ziehen [a specific threat]wir nach sich ziehen versucht herauszufinden, welches unterschiedlich ist, und wir nach sich ziehen versucht zu verstehen, welches los ist.”

Da maschinelles Lernen zu einem Werbespruch in dieser Cybersicherheitsbranche geworden ist, zeugen wenige Unternehmen und akademische Forscher immer noch Fortschritte beim Experimentieren mit ihren eigenen Information, um Bedrohungen zu finden, die sich sonst im Lärm verstecken könnten. Microsoft nutzte bspw. Information, die aus dieser Telemetrie von 400.000 Kunden gesammelt wurden, um bestimmte Angriffsgruppen zu identifizieren und mittels dieser Klassifizierungen zukünftige Aktionen dieser Angreifer vorherzusagen. Andere Unternehmen verwenden maschinelle Lerntechniken wie genetische Algorithmen, um Konten aufwärts Cloud-Computing-Plattformen zu wiedererkennen, die zu viele Berechtigungen nach sich ziehen.

Die Schlussbetrachtung dieser eigenen Information mit einem selbst entwickelten System bietet eine Vielzahl von Vorteilen, sagt Boijaud. Security Operation Centers (SOCs) erhalten kombinieren besseren Einblick in ihren Netzwerkverkehr und ihre Benutzeraktivitäten, und Sicherheitsanalysten können mehr Einblick in die Bedrohungen Vorteil verschaffen, die ihre Systeme hart rangehen. Während Credit Agricole reichlich eine eigene Plattformgruppe verfügt, um die Unterbau zu verwalten, Sicherheit zu gewährleisten und Wissenschaft zu betreiben, können sogar kleinere Unternehmen von dieser Programm von maschinellem Lernen und Datenanalyse profitieren, sagt Boijaud.

„Ein eigenes Vorbild zu prosperieren ist weder noch so teuer und ich bin überzeugt, dass dasjenige jeder kann“, sagt sie. „Wenn Sie Zugriff aufwärts die Information nach sich ziehen und Sie Volk nach sich ziehen, die die Protokolle Kontakt haben, können sie zumindest am Herkunft ihre eigene Pipeline erstellen.“

Finden dieser richtigen Datenpunkte zum Beaufsichtigen

Dasjenige Cybersicherheits-Engineering-Team verwendete eine wie Clustering bekannte Datenanalysetechnik, um die wichtigsten Merkmale zu identifizieren, die in ihrer Schlussbetrachtung verfolgt werden sollten. Zu den wichtigsten Merkmalen gehörten die Popularität von Domains, die 7-Sep, mit dieser Systeme bestimmte Domains erreichten, und ob die Ansuchen eine IP-Postadresse oder kombinieren Standard-Domainnamen verwendete.

„Aufgrund dieser Darstellung dieser Information und dieser Tatsache, dass wir dasjenige tägliche Verhalten dieser Maschinen überwacht nach sich ziehen, konnten wir welche Merkmale identifizieren“, sagt Boijaud. „Beim maschinellen Lernen geht es um Mathematik und Modelle, allerdings eine dieser wichtigen Tatsachen ist, wie Sie die Information darstellen, und dasjenige erfordert ein Verständnis dieser Information, und dasjenige bedeutet, dass wir Menschen wie Cybersicherheitsingenieure erfordern, die sich aufwärts diesem Gebiet auskennen.“

Nachdem dieser Nationalmannschaft dieser Merkmale, die wohnhaft bei den Klassifizierungen am wichtigsten sind, verwendete dasjenige Team eine Technologie, die wie „Isolationswald“ veröffentlicht ist, um die Spezialfall in den Information zu finden. Jener Isolierungsgesamtstrukturalgorithmus organisiert Information basierend aufwärts ihren Werten in mehreren logischen Bäumen und analysiert dann die Bäume, um die Merkmale von Ausreißern zu erzwingen. Jener Verfahren lässt sich leichtgewichtig skalieren, um eine große Quantität von Funktionen zu umgehen, und ist verarbeitungstechnisch relativ leichtgewichtig.

Die anfänglichen Bemühungen führten dazu, dass dasjenige Vorbild lernte, drei Arten von Exfiltrationsangriffen zu wiedererkennen, die dasjenige Unternehmen sonst mit bestehenden Sicherheitsanwendungen nicht erkannt hätte. Insgesamt konnte etwa die Hälfte dieser Exfiltrationsangriffe mit einer niedrigen Falsch-Positiv-Satz erkannt werden, sagt Boijaud.

Nicht leer Netzwerkanomalien sind kalt

Die Ingenieure mussten zweitrangig Wege finden, um festzustellen, welche Anomalien aufwärts böswillige Angriffe hindeuten und welches unter Umständen nicht menschlicher – allerdings harmloser – Datenverkehr ist. Werbe-Tags und Anfragen, die an Tracking-Server von Drittanbietern gesendet wurden, wurden ebenfalls vom System erfasst, da sie tendenziell mit den Definitionen von Anomalien identisch sein, allerdings aus den Endergebnissen herausgefiltert werden konnten.

Die Automatisierung dieser Erstanalyse von Sicherheitsereignissen kann Unternehmen damit helfen, potenzielle Angriffe schneller zu selektieren und zu identifizieren. Während sie selbst recherchieren, erhalten Sicherheitsteams zusätzliche Einblicke in ihre Information und können leichter feststellen, welches ein Übergriff ist und welches harmlos sein könnte, sagt Boijaud.

CCA-GIP plant, den Analyseansatz aufwärts Anwendungsfälle auszudehnen, die reichlich die Erkennung von Exfiltration durch Webangriffe rausgehen, sagt sie.