Прогнозы: ИИ-фаззинг и отравление машинного обучения

Для многих преступных организаций методы нападения оцениваются не только с точки зрения эффективности, но накладных расходов, необходимых для их разработки, модификации и проведения. Например, чтобы добиться максимального дохода, они отвечают на цифровую трансформацию беря на вооружение популярные методологии, такие как гибкая (Agile) разработка, позволяющие более эффективно производить и совершенствовать программное обеспечение для атак, а также уменьшать риск и увеличивать скрытность для повышения рентабельности.

С учётом этого напрашивается защитная реакция — внести изменения в людей, процессы и технологии, влияющие на экономическую модель атакующего. Например, внедрение новых технологий и стратегий, таких как машинное обучение и автоматизация для укрепления поверхности атаки путем обновления и исправления систем или выявления угроз, вынуждает преступников менять методы атаки и ускорять собственные усилия в области разработки.

Атаки будут становиться умнее

Мы прогнозируем, что в стремлении адаптироваться ко всё более широкому использованию их целями машинного обучения и автоматизации, сообщество киберпреступников, скорее всего, будут руководствоваться следующими стратегииями, которые нуждаются в отслеживании всей индустрией кибербезопасности.

Прогноз: использование фаззинга для выявления уязвимостей нулевого дня

Фаззинг

Фаззинг (fuzzing) традиционно представляет собой сложную технику, применяемую в лабораторных средах профессиональными исследователями угроз для обнаружения уязвимостей в аппаратных и программных интерфейсах и приложениях. Они делают это, вводя неверные, неожиданные или полуслучайные данные в интерфейс или программу, а затем отслеживают такие события, как сбои, недокументированные переходы к процедурам отладки, неудачные подтверждения кода и потенциальные утечки памяти.

Одна из причин, почему преступники так редко используют фаззинг — потому что это очень трудно реализовать. Крайне мало людей обладают знаниями, необходимыми для разработки и запуска эффективных инструментов фаззинга, именно поэтому их использование, как правило, ограничивается простыми вещами, такими как атаки DDoS, и поэтому же обнаружение и использование эксплойтов нулевого дня (от которых ещё не создано защиты) самими киберпреступниками имеет низкую вероятность.

Тем не менее, вполне вероятно, что в коммерческом ПО и операционных системах имеется бесчисленное количество готовых к вредоносному использованию уязвимостей, которые можно было бы обнаружить с помощью технологий фаззинга, и для их открытия просто не хватает специализированных инструментов фаззинга или квалифицированных разработчиков.

AIF — фаззинг с применением искусственного интеллекта

Искусственный интеллект (ИИ) изменит это. Он уже начинает использоваться для решения проблемы обнаружения и использования программных ошибок.

Прогноз: ИИ-фаззинг

Применение моделей ИИ и машинного обучения позволит фаззингу стать более эффективным. Преступники смогут разрабатывать и тренировать фаззинговые программы для автоматизации и ускорения обнаружения атак нулевого дня. В конечном счете, таким инструментам достаточно будет указать на цель, и они автоматически исследуют её на эксплойты нулевого дня. Я называю этот подход Artificial Intelligence Fuzzing (AIF) или фаззинг с искусственным интеллектом.

AIF будет включать в себя две фазы машинного обучения, Discovery и Exploit. Во время открытия инструмент AIF узнает о функциях и требованиях ПО, на которое он нацелен, включая шаблоны, используемые тем для структурированных данных. Затем, на этапе эксплойта, он начнет вводить в это ПО преднамеренно скомпонованные структурированные данные, отслеживать результаты, использовать машинное обучение для уточнения атаки и в конечном итоге приводить программу к сбою, тем самым одновременно обнаруживая уязвимость и эксплойт.

Этот метод принудительного машинного обучения, осуществляемого под контролем опытного хакера, может воспроизводиться неоднократно, позволяя преступнику вести непрерывные комбинированные атаки, ставя обнаружение и использование уязвимостей нулевого дня на поток. И в среде, где возможно бесконечное число атак нулевого дня, даже передовые средства защиты, такие как песочница, могут быть быстро преодолены.

Влияние AIF на экономику киберпреступлений

Рост количества и многообразия доступных уязвимостей и эксплойтов, в том числе возможностей быстро производить эксплойты нулевого дня и даже предоставлять сервисы по их добыче (Zero-Day Mining-as-a-Service), может радикально изменить типы и расценки услуг, доступных в Даркнете. Zero-Day MaaS полностью изменит подход организаций к безопасности, поскольку невозможно предвидеть, где находятся эти уязвимости и как правильно от них защищаться, особенно используя те устаревшие отдельностоящие средства безопасности, которые сегодня развёрнуты в сетях большинства организаций.

Прогноз: Роевой сервис (Swarm-as-a-Service)

Впечатляющие успехи в области роевых интеллекта и технологий приближают время, когда они станут применяться как в атаках, так и в средствах кибер-безопасности. Например, представленная недавно в Гонконге новая методология использует естественное поведение роя для управления кластерами нанороботов. Эти микро-рои можно заставить выполнять точные структурные манёвры с высокой степенью реконфигурации, такие как расширение, сжатие, рассеивание и слияние.

Прогноз: Роевой сервис

Эта же технология может быть применена для создания больших роёв интеллектуальных ботов, способных работать вместе и автономно. Они не только поднимут планку технологий, необходимых для защиты организаций, но, как и Zero-Day Mining, окажут влияние на основополагающие экономические модели, используемые сообществом киберпреступников.

В настоящее время криминальная экосистема сильно ориентирована на людей. Профессиональные хакеры-наёмники за плату создают заказные эксплойты, и даже прогрессивные новшества, такие как Ransomware-as-a-Service, требуют криминальных инженеров для таких задач, как создание и тестирование эксплойтов или управление внутренними (back-end) серверами C2. Но когда речь заходит о предоставлении автономного, самообучающегося Swarms-as-a-Service, объём непосредственного взаимодействия между хакером-потребителем и подпольным предпринимателем резко падает.

Меню «A la Carte»

Способность подразделять рой на разные задачи для достижения желаемого результата означает, что ресурсы в роевой сети могут быть распределены или перераспределены для решения конкретных проблем, возникающих в цепочке атак. Преступники-потребители могут предварительно выбирать для атак различные типы роёв, такие как: предварительно запрограммированные рои, которые используют машинное обучение, чтобы проникать в устройство или в сеть; те, которые применяют AIF для выявления точек эксплойтов Zero-Day; разработанные для распространения по сети в поперечном направлении и расширения поверхности атаки; рои, которые могут уклоняться от обнаружения и/или собирать и фильтровать конкретные целевые данные; рои, предназначенные для пересечения кибер-физического разрыва и контроля не только сетевых, но и физических ресурсов атакуемой цели.

Прогноз: отравление машинного обучения

Машинное обучение является одним из наиболее перспективных инструментов в наборе средств безопасности. Устройства и системы могут быть натренированы для автономного выполнения определенных задач, таких как принятие эффективных мер противодействия обнаруженной атаке. Машинное обучение также может эффективно определять типичное поведение, а затем применять поведенческую аналитику для выявления сложных угроз, которые охватывают различные среды или используют стратегии уклонения. Утомительные ручные задачи, такие как отслеживание устройств с учётом их уязвимости для современных трендов угроз и автоматическая установка патчей или обновлений, также могут быть легко переданы надлежащим образом обученной системе.

Прогноз: отравление систем машинного обучения

Этот процесс также может быть обоюдоострым мечом. Вместо того, чтобы пытаться передумать или превзойти по производительности систему, улучшенную с помощью машинного обучения, может быть проще просто атаковать сам процесс машинного обучения. Методология и инструменты, используемые для обучения устройства или системы выполнению конкретной задачи, также являются их самой большой ахиллесовой пятой. Например, если злоумышленник может взломать систему машинного обучения и ввести инструкции, она может обучить устройства или системы не устанавливать патчи или обновления на конкретную машину, чтобы та оставалась уязвимой для атаки или игнорировал конкретные типы приложений или поведения, либо игнорировать некоторые типы приложений или поведения, или не регистрировать определенный трафик, чтобы избежать обнаружения.

Модели машинного обучения регулярно используют данные из потенциально недостоверных источников, к примеру собранные краудсорсингом или из соцсетей, а также информацию, сгенерированную пользователями, такую как рейтинги удовлетворённости, истории покупок или веб-трафик. Благодаря этому, киберпреступники могут относительно просто «отравить» тренировочные наборы данных, подсунув туда вредоносные выборки, чтобы добиться игнорирования угроз или даже внести троянцев или создать тайный вход. Для предотвращения этого следует принять экстраординарные меры предосторожности и обеспечить тщательные контроль и защиту всех ресурсов и протоколов машинного обучения.

Отвечая новой стратегией защиты

Для решения проблем, которые мы видим на горизонте, сообщество кибербезопасности должно изменить свои традиционные подходы к безопасности. Вероятно самой эффективной стратегией, будет та, которая нацелена на экономическую модель преступников. Например, если поставить их перед перспективой дорогостоящего и трудоёмкого перестроения своих атак, это может заставить их искать более легкую добычу.

Прогноз: обман

Стратегии обмана были известны и прежде, но ключевое значение они приобрели лишь недавно — из-за усложнения атак, которым удаётся легко преодолевать традиционную защиту периметра.

Основная идея состоит в том, чтобы создать слишком много вариантов выбора для злоумышленника, большинство из которых — тупиковые, чтобы заставить их замедлиться и потенциально позволить себя обнаружить. Если вы можете генерировать соблазнительный трафик из большого количества баз данных, и только одна из них является настоящей, злоумышленникам придется замедлиться, чтобы проверить каждый источник данных, а может быть даже атаковать каждую опцию. Но что если эти тупиковые варианты не только содержат интересные данные, но также реализованы в среде, где неожиданный трафик сразу становится заметным, не только увеличивая способность защитника обнаруживать захватчика, даже использующего технологию уклонения, но также запускает автоматический ответ, выбрасывающий нападающих из сети. Такая стратегия увеличивает как риск обнаружения, так и затраты на проведение атаки.

Этот подход будет расшатывать бизнес-модель киберпреступников, в которой цели выбираются руководствуясь стратегиями риска/вознаграждения и возврата инвестиций. Добавление уровней сложности, требующих глубокого, практического анализа, означает, что стоимость запуска атаки внезапно возрастает. Большинство киберпреступников склонны идти по пути наименьшего сопротивления и наибольшей выгоды, кроме того, они в большинстве своём очень ленивы, поэтому, скорее всего, они станут искать более доступную сеть для приложения своих усилий.

Прогноз: объединённое открытое сотрудничество

Хотя прогресс в технологиях безопасности позволяет некоторым защитникам обнаруживать всё более сложные атаки, подавляющее большинство внедрённых решений безопасности по-прежнему полагаются на сверку сигнатур или другие простые методы детектирования. Из-за этого, один из самых простых способов для кибер-преступника получить максимальный эффект от своих инвестиций, это внести незначительные изменения в существующее решение для атаки. Даже элементарная смена Ip-адреса может позволить вредоносной программе избежать внимания традиционных средств защиты.

Одним из наиболее распространенных способов, как оставаться в курсе таких изменений, является активный обмен информацией об угрозах. Новые открытые инициативы по совместной работе между исследовательскими организациями по угрозам, производителями безопасности и правоохранительными органами и другими правительственными учреждениями повысят эффективность, своевременность и глубину информации об угрозах. Ширится сотрудничество в таких проектах, как Cyber Threat Alliance, которые не только осуществляют обмен данными между исследователями, но и публикуют результаты исследований в виде сценариев атак, раскрывающих тактику злоумышленников.

Преступники будут вынуждены реагировать на это, внося всё более сложные и дорогостоящие модификации в свои инструменты, программы и решения для атак. И по мере расширения этих форумов Объединённого открытого сотрудничества, организации вскоре смогут применять поведенческую аналитику к «живым» потокам данных и прогнозировать будущие действия вредоносных программ, делая цифровой рынок более безопасным для всех.

Заключение

Столкнувшись с парадигмой киберугроз организации должны переосмыслить свои стратегии безопасности с точки зрения того, как воздействовать на экономические основы преступного сообщества. Вместо того, чтобы вовлекаться в непрерывную гонку вооружений, организации смогут задействовать потенциал автоматизации для предвосхищения угроз и бить по экономическим мотивациям киберпреступников, заставляя их вернуться к чертежной доске.

Однако разрушение криминальной экономической модели может быть достигнуто только путем плотной интеграции систем безопасности в единую интегрированную структуру, которая может свободно обмениваться информацией, выполнять логистический и поведенческий анализ для выявления шаблонов атак, а затем включает эти знания в автоматизированную систему которая может не только реагировать на атаки скоординированным образом, но фактически начинают предвидеть преступные намерения и направления атак.