Bir Fransız bankasının bilgi güvenliği ekibi, günlük verileri konusunda eğitilmiş dahili olarak geliştirilmiş bir makine öğrenimi modeli kullanarak, kurallara dayalı güvenlik araçlarının yakalayamadığı üç yeni veri hırsızlığı türünü tespit edebildiğini keşfetti.
Credit Agricole Grup Altyapı Platformunda (CA-GIP) siber güvenlik mühendisi olan Carole Boijaud, önümüzdeki hafta yapılacak Black Hat Europe 2022 konferansında sahne alacak. araştırmayı detaylandır “Eşikler Eski Tehditler İçindir: SOC Tespitini Geliştirmek için Yapay Zekanın ve Makine Öğreniminin Gizemini Ortaya Çıkarma” başlıklı bir oturumda tekniğe giriş yapın. Ekip, günlük dosyalarından günlük özet verileri aldı, verilerden ilginç özellikler çıkardı ve bunu bankanın Web trafiğindeki anormallikleri bulmak için kullandı.
Araştırma, saldırganlar tarafından veri hırsızlığının nasıl daha iyi tespit edilebileceğine odaklandı ve şirketin önceki sisteminin tespit edemediği saldırıların tespit edilmesiyle sonuçlandı, diyor.
“Görmek istediklerimize dair kendi tehdit simülasyonumuzu uyguladık, böylece kendi trafiğimizde neyin tanımlanabileceğini görebildik” diyor. “Biz tespit edemediğimizde [a specific threat]neyin farklı olduğunu anlamaya çalıştık ve neler olduğunu anlamaya çalıştık.”
Makine öğrenimi siber güvenlik endüstrisinde moda bir kelime haline geldiğinden, bazı şirketler ve akademik araştırmacılar, başka türlü gürültüde gizlenebilecek tehditleri bulmak için kendi verileriyle deneyler yapma konusunda hâlâ ilerleme kaydediyor. Örneğin Microsoft, belirli saldırı gruplarını belirlemek ve bu sınıflandırmaları kullanarak saldırganların gelecekteki eylemlerini tahmin etmek için 400.000 müşterinin telemetrisinden toplanan verileri kullandı. Diğer firmalar, bulut bilgi işlem platformlarında çok fazla izne sahip hesapların tespit edilmesine yardımcı olmak için genetik algoritmalar gibi makine öğrenimi teknikleri kullanıyor.
Boijaud, kendi verilerinizi yerel bir sistemle analiz etmenin çeşitli yararları olduğunu söylüyor. Güvenlik operasyon merkezleri (SOC’ler), ağ trafiğini ve kullanıcı etkinliğini daha iyi anlar ve güvenlik analistleri, sistemlerine saldıran tehditler hakkında daha fazla bilgi edinebilir. Boijaud, Credit Agricole’nin altyapıyı yönetmek, güvenliği yönetmek ve araştırma yapmak için kendi platform grubuna sahip olmasına rağmen, daha küçük işletmelerin bile makine öğrenimi ve veri analizi uygulamalarından yararlanabileceğini söylüyor.
“Kendi modelinizi geliştirmek o kadar pahalı değil ve bunu herkesin yapabileceğine inanıyorum” diyor. “Verilere erişiminiz varsa ve günlükleri bilen insanlara sahipseniz, en azından başlangıçta kendi boru hattını oluşturabilirler.”
İzlenecek Doğru Veri Noktalarını Bulma
Siber güvenlik mühendisliği ekibi, analizlerinde izlenecek en önemli özellikleri belirlemek için kümeleme olarak bilinen bir veri analizi tekniği kullandı. En önemli görülen özellikler arasında alan adlarının popülaritesi, sistemlerin belirli alan adlarına ulaşma sayısı ve talebin bir IP adresi mi yoksa standart bir alan adı mı kullandığı yer aldı.
Boijaud, “Verilerin sunumuna ve makinelerin günlük davranışlarını izlediğimiz gerçeğine dayanarak, bu özellikleri tanımlayabildik” diyor. “Makine öğrenimi, matematik ve modellerle ilgilidir, ancak önemli gerçeklerden biri, verileri nasıl temsil etmeyi seçtiğinizdir ve bu, verileri anlamayı gerektirir ve bu, siber güvenlik mühendisleri gibi bu alandan anlayan insanlara ihtiyacımız olduğu anlamına gelir.”
Ekip, sınıflandırmalarda en önemli olan özellikleri seçtikten sonra, verilerdeki aykırı değerleri bulmak için “izolasyon ormanı” olarak bilinen bir teknik kullandı. İzolasyon ormanı algoritması, verileri değerlerine göre birkaç mantıksal ağaç halinde düzenler ve ardından aykırı değerlerin özelliklerini belirlemek için ağaçları analiz eder. Yaklaşım, çok sayıda özelliği işlemek için kolayca ölçeklenir ve işleme açısından nispeten hafiftir.
İlk çabalar, modelin, şirketin aksi takdirde mevcut güvenlik araçlarıyla tespit edemeyeceği üç tür sızma saldırısını tespit etmeyi öğrenmesiyle sonuçlandı. Boijaud, genel olarak, hırsızlık saldırılarının yaklaşık yarısının düşük bir yanlış pozitif oranıyla tespit edilebileceğini söylüyor.
Tüm Ağ Anormallikleri Kötü Amaçlı Değildir
Mühendisler ayrıca, hangi anormalliklerin kötü niyetli saldırılara işaret ettiğini ve nelerin insan dışı ama zararsız trafik olabileceğini belirlemenin yollarını bulmak zorundaydı. Üçüncü taraf izleme sunucularına gönderilen reklam etiketleri ve istekleri de anormalliklerin tanımlarıyla eşleşme eğiliminde oldukları için sistem tarafından yakalandı, ancak nihai sonuçlardan filtrelenebildiler.
Güvenlik olaylarının ilk analizini otomatikleştirmek, şirketlerin olası saldırıları daha hızlı bir şekilde önceliklendirmesine ve belirlemesine yardımcı olabilir. Boijaud, araştırmayı kendileri yaparak, güvenlik ekiplerinin verilerine ilişkin ek içgörüler elde ettiğini ve neyin saldırı, neyin zararsız olabileceğini daha kolay belirleyebileceğini söylüyor.
CCA-GIP, analiz yaklaşımını Web saldırılarını kullanarak hırsızlığı tespit etmenin ötesinde vakaları kullanacak şekilde genişletmeyi planladığını söylüyor.