SAMSUNG_0920_B SAMSUNG_0920_B SAMSUNG_0920_B Advertisement

Využitie umelej inteligencie v riešeniach kybernetickej bezpečnosti

0

Inteligentný algoritmus sa dokáže sám učiť a prijíma rozhodnutia na základe vstupov z okolitého prostredia nezávisle, bez zapojenia sa človeka. Strojové učenie je schopnosť počítačových systémov nájsť v obrovskom množstve údajov určité vzory a anomálie. Tieto vzory využívajú na tvorbu modelov, podľa ktorých sa následne pri svojom konaní rozhodujú.

Strojové učenie pre obrancov aj útočníkov

Ak počítačoví vedci chceli v minulosti realizovať projekt na báze strojového učenia (machine learning – ML), museli disponovať pokročilými matematickými znalosťami a museli vedieť matematické algoritmy implementovať, prípadne mať na tento účel tím programátorov. V súčasnosti je nasadzovanie strojového učenia jednoduchšie a dostupnejšie pre podstatne širší okruh vývojárov. K dispozícii je veľa výkonných a intuitívne použiteľných frameworkov, napríklad open source platforma TensorFlow od Googlu. Dostupnosť ML v praxi znamená, že strojové učenie môžu využívať nielen tvorcovia užitočného, ale aj škodlivého kódu.

Útočníci si uvedomujú potenciál týchto technológií a snažia sa ich zneužiť na realizáciu svojich zámerov. Strojové učenie sa môže využívať pri nových druhoch malvéru, pri cielených útokoch na konkrétne obete so zámerom získať cenné údaje, pri vyhľadávaní doposiaľ neznámych zraniteľností a paradoxne aj na ochranu. Ochranu proti odhaleniu a takisto ochranu svojej vlastnej infraštruktúry, do ktorej sa z pochopiteľných príčin snažia preniknúť výskumníci škodlivého kódu. Proti analýze sa snaží brániť aj samotný malvér, a to prostredníctvom samodeštrukčných mechanizmov. Prípadne v úsilí zmiasť výskumníkov sa malvér maskuje ako škodlivý kód od iného tímu kybernetických zločincov.

Tvorcovia škodlivého kódu sa odjakživa snažia svoje „dielo“ čo najlepšie zamaskovať, aby ho bezpečnostné riešenie neodhalilo. Napríklad trójsky kôň Swizzor už v roku 2003 využil na maskovanie automatickú modifikáciu. Jeho kód bol zmenený každú minútu. Generovanie nových variantov malvéru útočníci využívajú dodnes, ale oveľa sofistikovanejšie. Využívajú spätnú väzbu a nové varianty vytvárajú z verzií, pri ktorých bola nižšia pravdepodobnosť detekcie.

Výskumníci spoločnosti ESET majú podozrenie, že strojové učenie na zlepšenie svojich schopností využíva napríklad rozšírený modulárny trojan downloader Emotet. Napriek tomu, že denne napadne a infikuje tisícky zariadení, stále je prekvapivo efektívny pri vyhýbaní sa zariadeniam výskumníkov, honeypotom a nástrojom na sledovanie botnetov. Emotet zhromaždí telemetrické dáta o svojich potenciálnych obetiach a odošle ich na analýzu na server útočníka. Na základe týchto vstupov malvér jednak vyberá moduly, ktoré sa majú zapojiť pri finálnom vykonaní škodlivej akcie. a takisto dokáže rozlíšiť skutočné zariadenia od virtuálnych zariadení a automatizovaných prostredí, ktoré sa používajú pri skúmaní malvéru. Keby útočníci museli takéto sebaobranné mechanizmy robiť manuálne, bolo by to veľmi zložité a finančne nákladné. S využitím všeobecne dostupných algoritmov strojového učenia to tvorcovia malvéru dokážu podstatne lacnejšie a za oveľa kratší čas.

Rovnako postupujú aj tvorcovia phishingového obsahu, teda e-mailov, ktoré sa od vás podvodným spôsobom snažia vylákať rôzne údaje, najčastejšie prihlasovacie mená a heslá k bankovým účtom a k účtom rôznych elektronických služieb. Aby tieto e-maily neboli odhalené podľa opakujúcich sa charakteristík, pri generovaní textov vychádzajú z výsledkov analýz podľa modelov, ktoré sa učili na údajoch z predchádzajúcich úspešných kampaní. Využívajú generovanie textu tak, aby neobsahoval charakteristické frázy. Texty týchto e-mailov sú názorným príkladom nárastu schopností strojového učenia aj v oblasti strojového prekladu textov. Výsledok automatického prekladu pred pár rokmi vzbudzoval zhovievavý úsmev, v súčasnosti sú preklady oveľa dokonalejšie. Sú gramaticky správne, ale vo väčšine prípadov sa ešte stále dajú rozlíšiť od natívneho textu podľa trochu nešikovnej vetnej stavby. Tieto e-maily sú názorným príkladom nielen úrovne dokonalosti strojového prekladu, ale aj skutočnosti, že kyberkriminalita je globálny biznis.

Bez aplikácie algoritmov strojového učenia sa nezaobídu ani vývojári bezpečnostných riešení. ESET ich využíva už od prvých verzií svojich produktov, ktoré vznikli v deväťdesiatych rokoch. V súčasnosti sa denne zachytí viac než 300 000 vzoriek škodlivého kódu a nie je v ľudských silách ho analyzovať. Preto moderné bezpečnostné riešenia využívajú takzvané DNA modely čiže akési všeobecnejšie vzory správania príslušného druhu škodlivého kódu.

Paradoxne práve už spomínané masové šírenie verzií, hoc aj modifikovaných algoritmami využívajúcimi strojové učenie, môže prispieť k odhaleniu škodlivého kódu. S rastúcim počtom infiltrácií sa hrozba stáva veľmi rozšírenou a o to väčšia pozornosť sa upriami na jej odhalenie. V konečnom dôsledku to vedie k úspešnej detekcii hrozby a zavedeniu ochranných opatrení.

Limity strojového učenia pri analýze a detekcii malvéru

Kľúčový pilier strojového učenia je fáza trénovania modelov. Preto treba venovať veľkú pozornosť výberu údajov do množiny, na ktorej sa budú modely trénovať, aby boli vyvážené ohľadne sledovaných atribútov.

Na to, aby bolo možné strojové učenie efektívne používať na účely kybernetickej bezpečnosti, treba mať k dispozícii veľké množstvo správne označených vstupných vzoriek, rozdelených do troch kategórií: škodlivé vzorky, čisté vzorky a potenciálne nebezpečné/nechcené aplikácie. Problém môže nastať nielen vtedy, ak je medzi čisté vzorky zaradený potenciálne nebezpečný kód, ale aj opačne, ak je v tréningovej množine neškodný kód zaradený medzi nebezpečné.

Falošné identifikácie neškodných kódov a následné falošné poplachy u používateľa môžu spôsobiť rovnaké, ak nie väčšie problémy ako malvér. Napríklad ak bezpečnostné riešenie pre falošný poplach zastaví výrobnú alebo logistickú linku, dôjde k veľkým škodám a strate reputácie. V nevýrobných organizáciách môžu falošné poplachy viesť k vyšším nákladom, preťaženiu IT bezpečnostných zamestnancov a dokonca k negatívnym zmenám v celkovom nastavení firemného IT zabezpečenia.

Princíp strojového učenia má svoje špecifiká. Ako príklad uvedieme „efekt snehovej gule“, keď niekoľko nesprávnych vzoriek v tréningovej množine spôsobuje nabaľovanie chýb, hlavne ak algoritmus používa iba svoje vlastné výstupné dáta ako vstupy na ďalšie učenie. V tréningovej množine potom neustále pribúdajú nesprávne zaradené čisté vzorky. Preto je v tomto procese neustále potrebný ľudský faktor.

Analytici predpokladajú, že atraktívnymi cieľmi útočníkov sa stanú aj samotné riešenia na báze umelej inteligencie a strojového učenia. Útočníci sa budú snažiť riešeniam nasadeným legitímnymi organizáciami podvrhnúť množiny falošných údajov a takýmto spôsobom ich zmanipulovať na nesprávne rozhodnutia alebo ich donútiť poskytovať skreslené prehľady monitorovaného prostredia, čo môže spôsobiť chaos a škody, a preto môže byť predmetom vydierania.

Strojové učenie v riešeniach ESET

ESET využíva potenciál strojového učenia vo svojich riešeniach už od roku 1998. S cieľom zlepšiť detekcie boli najskôr implementované neurónové siete. V roku 2005 sa začala využívať ďalšia technológia založená na strojovom učení, nazývaná „detekcia na úrovni DNA“. Tá konvertuje analyzovaný súbor do formy vhodnejšej na vyhľadávanie a detekciu, čo umožňuje precízne vybrať charakteristické vlastnosti, čiže v genetickej analógii sa identifikujú „gény“, ktoré slúžia na vytvorenie detekcií na úrovni DNA. DNA detekcie sú pilierom komplexného modelu, ktorý oddeľuje škodlivé a neškodné binárne dáta. Efektívnosť DNA detekcií v boji proti známym aj úplne novým hrozbám viedla v ESETe k sérii interných projektov zameraných na strojové učenie. Postupne bol vytvorený expertný backendový systém určený na hromadné spracúvanie stoviek tisíc vzoriek denne. Vzniklo nielen nové, mimoriadne silné detekčné jadro využívajúce strojové učenie, ale aj nové nástroje založené na strojovom učení, ktoré pomáhajú výskumníkom s mapovaním hrozieb. Počas troch desaťročí boja s kybernetickými hrozbami vytvorili odborníci organizovanú zbierku obsahujúcu milióny extrahovaných vlastností a DNA génov, ktorá poskytuje kvalitný vstupný materiál na trénovanie ich algoritmov strojového učenia.

Na základe skúseností využívajú v ESETe kombináciu dvoch metodických postupov – hĺbkového učenia (deep learning) a spracovania na základe viacerých modelov kombinujúcich metódy strojového učenia „s učiteľom“ (supervised learning). Takáto kombinácia zvyšuje presnosť detekčného jadra, ale prispieva aj k jeho odolnosti proti aktivite útočníkov. Útok založený na všeobecnej alebo špecifickej chybe klasifikácie, ktorý by prinútil systém využívajúci strojové učenie s podobnou štruktúrou, aby nesprávne klasifikoval vzorku, by si vyžadoval oveľa zložitejšiu stratégiu zo strany útočníka, keby chcel uspieť proti algoritmu strojového učenia spoločnosti ESET.

Aby bola analýza čo najrýchlejšia, nie všetko sa analyzuje v cloude, ale niektoré fázy analýzy sa vykonávajú priamo na počítači používateľa v izolovanom bezpečnom priestore nazývanom sandbox. Zatiaľ čo v cloude možno nasadiť veľký výpočtový výkon, analýza u používateľa je určitý kompromis, aby sa neprejavilo spomalenie jeho počítača. Prvá fáza analýzy je disassemblovanie kódu. Následne sa hľadajú určité vzory. Využívajú sa rôzne analytické algoritmy, napríklad rozhodovacie stromy, alebo neurónové siete. Zozbierané dáta sú spracované algoritmami hĺbkového učenia. Potom sa vykoná emulácia vzorky ako súčasť dynamickej analýzy. Jej výsledkom je séria DNA génov. Tie sú poskytnuté viacerým precízne vybraným klasifikačným modelom a ešte ďalšiemu algoritmu hĺbkového učenia. Paralelne sa vzorka spustí v izolovanom prostredí, tzv. sandboxe, a podrobí sa pokročilej analýze pamäte. Výstup sa porovná so známymi, pravidelne kontrolovanými a automaticky aktualizovanými množinami čistých a škodlivých položiek. Napokon sa prijme finálne rozhodnutie, či je vzorka čistá, potenciálne nežiaduca alebo škodlivá. Informácie sú následne poskytnuté klientskym zariadeniam s bezpečnostným riešením ESET cez systém ESET LiveGrid.

ESET teda na rozdiel od niektorých nových výrobcov bezpečnostných riešení vykonáva aj rozbalenie vzorky a jej emuláciu a behaviorálnu analýzu. Analyzovanie komprimovaných alebo zašifrovaných vzoriek by totiž mohlo pri klasifikácii poskytnúť irelevantné výsledky, a keby sa tie použili na trénovanie modelov, spôsobili by už spomínaný „efekt snehovej gule“ čiže nabaľovanie chýb.

Riešenia na báze ML pre veľké firmy

Zákazníci spoločnosti ESET zo segmentu veľkých firiem môžu technológiu strojového učenia využívať prostredníctvom týchto produktov:

ESET Enterprise Inspector (EEI) – nástroj na detekciu a následnú reakciu na útoky na koncové zariadenia (Endpoint Detection and Response – EDR). Tento nástroj v reálnom čase zbiera, analyzuje a vyhodnocuje dáta o aktivitách na týchto zariadeniach. Vytvára sa súhrnný́ prehľad nezvyčajných a podozrivých aktivít. EEI tak poskytuje firemnému tímu IT bezpečnostných špecialistov informácie potrebné na forenzné vyšetrenie minulých incidentov a ponúka návrhy reakcií na zmiernenie negatívnych vplyvov hrozieb prítomných v sieti.

ESET Dynamic Threat Defense (EDTD) zachytáva nové, predtým nikdy nezachytené typy hrozieb a analyzuje ich s využitím technológie cloudového sandboxu a poskytuje tak dodatočnú vrstvu zabezpečenia k produktom ESET určeným na ochranu koncových zariadení a e-mailových serverov. Je efektívne spúšťať toto riešenie v cloude, keďže to prináša väčšiu škálovateľnosť a nižšie nároky na infraštruktúru zákazníka.

ESET Threat Intelligence (ETI) poskytuje overené informácie tykajúce sa existujúcich alebo novovznikajúcich hrozieb. Tento nástroj dokáže zákazníka včasne varovať, ak sa vo svete objavil škodlivý́ softvér alebo aktivity, ktoré by priamo pre jeho spoločnosť mohli predstavovať hrozbu. ETI dáva zákazníkom možnosť poslať vybrané vzorky na analýzu prostredníctvom detekčného jadra ESET, ako aj strojového učenia, pričom výsledkom tejto analýzy je podrobná správa.

Zobrazit Galériu

Ľuboslav Lacko

Všetky autorove články

Pridať komentár