Дафни Яо — Аномалии в кибербезопасности

МЕНЮ


Искусственный интеллект. Новости
Поиск

ТЕМЫ


Внедрение ИИНовости ИИРобототехника, БПЛАПсихологияТрансгуманизмЛингвистика, обработка текстаБиология, теория эволюцииВиртулаьная и дополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информации

RSS


RSS новости

Авторизация



Новостная лента форума ailab.ru

«Бизнес в цифровую эпоху построен как интеллектуальная сеть — устройств, программ, бизнес-процессов и взаимодействий людей», — говорит Дэвид Сирли, один из исследователей в аналитической компании Gartner. Переход к такому устройству бизнес-процессов, по его мнению, означает, что компании будут сталкиваться с все более серьезными вызовами в отношении кибербезопасности. Системы, отвечающие за сохранность данных, должны уметь подстраиваться под все новые типы угроз и иметь адаптивную инфраструктуру. В рамках такого подхода постоянно сменяют друг друга четыре процесса: обнаружение угрозы, ответ на нее, предсказание похожих угроз и их предотвращение. Система, работающая по такому беспрерывному циклу, способна сама идентифицировать новые типы угроз и вырабатывать ответ — здесь на помощь приходят алгоритмы машинного обучения, способные выявлять повторяющиеся паттерны в том или ином поведении и обнаруживать аномалии, когда эти паттерны перестают воспроизводиться.

— Как давно развивается парадигма выявления аномалий в рамках эволюции систем кибербезопасности?

— Понятие «выявление аномалий» появилось впервые в статье Дороти Деннинг в журнале “IEEE Transactions on Software Engineering” в 1987 году. Деннинг была в то время младшим специалистом в сфере компьютерных наук в SRI International в Менло-Парк в Калифорнии. Ее работа во многом эпохальна и наполнена вдохновляющими идеями. Деннинг указывает на то, что на практике в любом программном обеспечении есть уязвимые места, поэтому для обнаружения постоянно эволюционирующих техник взломов нужны новые решения. В статье Деннинг привела конкретные статистические методы. Среди них были и классические методы (вроде определения среднего значения и значимых отклонений для тех или иных параметров), и более сложные (вроде применения цепей Маркова для выявления последовательностей случайных событий или метода временных рядов). Все из них и сегодня можно использовать для определения нормального компьютерного поведения и обнаружения аномалий. Однако Деннинг не использовала их экспериментально, она только описала их как концепции. Ее работа была важна тем, что описанные методы, пусть пока теоретически, были названы способными обнаруживать новые вредоносные программы и атаки нулевого дня. Поскольку вредоносное ПО продолжает развиваться, обнаружение аномалий на основе ключей шифрования (signature based) ставит системы защиты на основе других методов в довольно невыгодное положение.

— Какими были первые системы обнаружения аномалий?

— Первые системы обнаружения аномалий на уровне proof-of-concept были разработаны группой ученых под руководством доктора Стефани Форест в Университете Нью-Мексико в 1996 году. Статья этого коллектива исследователей под названием “A Sense of Self for Unix Processes” стала первой экспериментальной демонстрацией техники обнаружения аномалий в ПО. Была продемонстрирована возможность профилирования поведения серверных программ и обнаружения аномалий и атак. Система описывала профиль поведения Sendmail — программ для почтовых серверов (в то время каждый сервер электронной почты использовал Sendmail). Это было актуально, потому что, например, известный «червь Морриса» (один из первых сетевых червей, поразивших тысячи узлов в США в 1988 году) использовал как раз различные слабые стороны программного обеспечения в почтовом сервере Sendmail.

— Как работают современные системы обнаружения аномалий?

— Система обнаружения аномалий — это система, которая моделирует нормальное поведение того или иного объекта (программы, сети, транзакции или пользователя) и обнаруживает отклонения в наблюдаемом поведении. Таким способом можно идентифицировать атаки, вторжения или операционные ошибки.

Принцип работы можно описать так: на этапе отслеживания система собирает данные для анализа, затем она анализирует собранные данные, применяя заранее заданную модель нормальности. Если данные несовместимы с моделью, то система помечает их как аномалию.

Мой коллега, профессор Сал Столфо из Колумбийского университета, изобрел технику обнаружения аномалий, основанную на безопасности сети. На высоком уровне пошаговое описание этой технологии выглядит следующим образом. Вначале нужно собрать данные об обычном поведении сети (normal network traces), после, используя собранные данные, построить модель нормального поведения сети (вычислить байтовые распределения полезной нагрузки сети). Следующий шаг — продолжение мониторинга все новых процессов в сети, к которым могут относиться и атаки. Далее необходимо соотнести новые процессы с моделью (в данном случае, используя измерения подобия, сравнить байтовые распределения новых процессов с уже знакомыми, чтобы увидеть, похожи ли они). Если различия превышают заранее описанный моделью порог, то новый процесс помечается как аномалия.

— Когда система обнаружения аномалий работает наиболее эффективно?

— Система лучше справляется с детерминированным поведением, которое предполагает низкую степень случайности. Такое поведение, конечно, наиболее предсказуемо. В качестве примера можно привести, скажем, технику обнаружения аномалий профессора Столфо — она разработана именно для такого поведения.

Но поведение большинства компьютерных программ и сетей либо не детерминировано вообще, либо настолько сложно, что для их полного описания нужны огромные финансовые затраты. Тем не менее, определить аномалии в их поведении намного легче, чем в поведении человека. Во многом поэтому обнаружение внутренних угроз — следующий шаг в отношении сложности задачи. Он потребует моделирования и обоснования поведения пользователей. Это представляет собой достаточно серьезную сложность для систем обнаружения аномалий.

— Как системы обнаружения аномалий справляются с уязвимостями нулевого дня?

— Уязвимость нулевого дня (zero-day exploits) — это новый тип атак, для которых еще не разработаны защитные механизмы. Например, когда злоумышленники решают воспользоваться ранее не обнаруженной уязвимостью ПО. Существующие в настоящее время подходы к кибербезопасности (patching-and-scanning approaches) могут только предотвращать известные атаки. Они остаются беззащитными перед лицом уязвимостей нулевого дня. Разработчики вредоносных программ ежедневно тестируют свои способы атак против антивирусных сканеров, чтобы убедиться, что их код не вызывает сигнала тревоги, прежде чем выпустить его на свободу. Может ли умная атака обойти систему обнаружения аномалий? Это возможно. Но это существенным образом усложнит запуск успешной атаки.

Например, в рамках атак, использующих элементы мимикрии (the mimicry attacks), злоумышленники генерируют последовательность действий, которая может достигать целей атаки, не вызывая каких-либо сигналов тревоги. Эти атаки могут мимикрировать под нормальное поведение. Если технология обнаружения атак фокусируется на обнаружении локальной аномалии (то есть происходит только проверка короткого фрагмента последовательностей поведения), то атаки мимикрии возможны.

Типичное поведение атакующего при этом заключается в заполнении последовательности атак некоторыми фиктивными вызовами или действиями, которые не влияют на цели атаки и в то же время удовлетворяют локальную проверку обнаружения аномалий.

В случае с глобальной проверкой обнаружения аномалий, которая проверяет гораздо более длинную цепочку действий, злоумышленнику намного сложнее провести атаку: для нее есть больше ограничений.

Однако нужно понимать, что каждый случай обнаружения аномалии — это игра в кошки-мышки: всегда есть способ сломать систему. Глобальное обнаружение аномалии — это не серебряная пуля. Ее просто не существует. Фред Коэн подтвердил это в конце 1980-х годов, доказав невозможность решения задачи обнаружения компьютерных вирусов.

— Какие техники машинного обучения применяются в системах обнаружения аномалий?

— N-грамма — самая хорошо изученная и простая техника для обнаружения локальной аномалии, где N — число объектов (например, число обращений к системе) в последовательности (например, в последовательности этих обращений). Типичное количество N — от 3 до 15. Таким образом, можно построить базу данных, которая будет хранить все N-граммы, описывающие нормальную работу системы.

Используются также метод опорных векторов и метод кластеризации. Машинное обучение действительно имеет огромное значение для обнаружения аномалий данных. Однако алгоритмы машинного обучения сами по себе обычно малопригодны с точки зрения точности обнаружения как ложноположительных, так и ложноотрицательных срабатываний. Для этого требуется очень серьезная настройка. Как облегчить процесс проектирования обнаружения аномалий? Как сделать технологию более доступной для большего числа людей? Эти вопросы пока открыты.

— Каков сегодня уровень проникновения систем обнаружения аномалий в корпоративные системы безопасности?

— На деле применимых систем обнаружения аномалий немного, в условиях реального рынка они встречаются нечасто. Пока речь идет о множестве прототипов систем, созданных в академической среде. Но в целом все больше интересных разработок появляется как внутри академической среды, так и в индустрии.

Основная сложность в том, что все еще происходит много ложных срабатываний, в особенности когда представители бизнеса используют готовые методы и не адаптируют их под свои нужды. Важно понимать, что разработка, производство и оптимизация нормальных моделей требуют большого опыта и высокого уровня экспертности специалистов по кибербезопасности — часто компании не могут позволить себе развивать сотрудников такого уровня.

— Каковы критерии эффективности системы обнаружения аномалий?

— Система должна приносить низкий ложнопозитивный результат, например низкий уровень ложных сигналов тревоги. Основные показатели эффективности включают в себя: ложноположительную оценку (ложные тревоги), ложноотрицательную оценку (пропущенные обнаружения) и показатели времени выполнения (замедления в производственных системах).

— Как системы обнаружения аномалий меняются в контексте возникновения новых типов атак?

— Требуются постоянные обновления, приспособления и улучшения модели. Из-за, скажем, обновления программного обеспечения, изменения конфигураций, среды или характера использования нормальная модель будет меняться. Значит, и модель обнаружения аномалий должна идти в ногу с этими возникающими изменениями.

— Какие методы могут сделать системы обнаружения аномалий еще эффективнее?

— Использование нескольких средств защиты и сопоставление их результатов позволяют получить более информативное представление о состоянии системы. Сложность состоит в том, чтобы отличить ложные сигналы тревоги от реальных вторжений, поскольку перегрузка и чрезмерная интенсивность в анализе параметров безопасности будут только утомлять систему, снижать ее производительность.