feb 8. 2022

Ako strojové učenie pomáha chrániť pred kyberútokmi

Spam, phishingové útoky či ransomware – každý z nás ich asi pozná a s niektorými z nich sa pravdepodobne aj stretol. Existujú však aj typy útokov, kedy sa napríklad nevieme prihlásiť na náš obľúbený web. Snahou útočníkov je získať finančný profit, poškodiť reputáciu, získať citlivé informácie alebo narušiť konkurenčný boj. V tomto článku sa zameriame najmä na sieťové útoky a na to, ako ich môžeme detegovať pomocou strojového učenia.

Sieťové útoky

Ani na Slovensku nie sme kompletne chránení pred kyberútokmi (DoS útoky na Slovensku, imitovanie správania bánk, útok na nemocnicu v Nitre), a teda ako všetci ostatní sa potrebujeme vedieť brániť. Pomáha nám v tom aj skutočnosť, že aktivitu útočníkov vieme začleniť do štyroch základných kategórií:

  1. Prieskum (probe) je prvotná aktivita kyberzločincov, kedy zisťujú, aká je infraštruktúra siete možnej obete, aké služby (alebo aj porty) má spustené. Ide celkovo o snahu zistiť čo najviac informácií k pripravovanému útoku.
  2. Odopretie služby (denial of service – DoS) je útok, spôsobený škodlivou udalosťou, kedy dochádza k nezvyčajným a obvykle nadmerným požiadavkám na zariadenie, čo spôsobí preťaženie jeho výpočtových prostriedkov. 
  3. Získanie práv na lokálnom zariadení (remote to local) – útočník dokáže komunikovať so zariadením, aj keď na ňom nemá používateľský účet a vie získať prístup k tomuto systému.
  4. Získanie práv superpoužívateľa (user to root) – zneužitím zraniteľnosti dokáže útočník zvýšiť svoje oprávnenia v systéme na prakticky neobmedzené.

Každý z uvedených útokov je niečím jedinečný, a vďaka tomu je možné ich odhaliť. Aj v súčasnosti existuje viacero spôsobov, ako nájsť väčšinu bežne známych útokov (napríklad prostredníctvom nástroja Suricata). Spôsoby, ako môže prebiehať útok, však nie sú pevne dané. Ak by to tak bolo, boli by ohrozené len tie firmy a používatelia, ktorí by veľmi zanedbávali svoju kyberbezpečnosť.

Vývoj sieťových útokov

Kyberzločinci neustále prichádzajú s novými spôsobmi, a preto je potrebné byť neustále v strehu. Len v rámci roku 2021 bolo zaznamenaných viac ako 55 miliárd pokusov o prelomenie hesiel (správu k ohrozeniam si môžete prečítať napríklad tu). Medzi štandardné spôsoby patrí neustály monitoring sieťovej komunikácie a hľadanie anomálií. Ak sa takáto anomália nájde, môže to znamenať, že sme narazili na nový a dosiaľ neznámy typ útoku a vieme naň zareagovať. 

Avšak, nie každá anomália musí znamenať, že ide o útok, posúďte sami:

  1. Ak sledujeme pohyby na účte a zaplatíme výmenu okien kreditnou kartou, môže nastať nezvykle vysoký pohyb na účte. Ide o jednorazovú anomáliu z hľadiska nášho bežného míňania.
  2. Ak sa nám podarí vytvoriť extrémne úspešnú marketingovú kampaň, tak náhly nápor zákazníkov môže spôsobiť pád nášho e-shopu, hoci to určite nebol ich cieľ.
  3. Ak realizujeme platby na účte v hodnote 1000 eur každý mesiac a v decembri je to zrazu 1500 eur, mohli by sme to brať ako podozrivú anomáliu. Keď však vezmeme do úvahy kontext, zistíme, že ide o vianočné obdobie, a teda táto prudká zmena je v poriadku. Inak by sme k tomu pristupovali, keby takýto skok nastal napríklad v marci.

Vidíme teda, že nie každá anomália musí reprezentovať útok, ale každý útok je anomáliou vzhľadom na normálne a očakávané správanie sieťovej komunikácie. Prístupy detekcie anomálií teda v dôsledku toho vykazujú vyššiu mieru falošných alarmov a zostáva na obetavých bezpečnostných špecialistoch skontrolovať, či sa jedná o skutočne škodlivú anomáliu (útok).

Do istej miery vedia pomôcť zvýšiť bezpečnosť aj poskytovatelia prístupu na internet, čo sú spoločnosti, ktoré nám umožňujú pripájať sa na internet. Využívajú ich bežní ľudia, ale aj veľké firmy. Môžu monitorovať svoju sieť a v prípade útoku naň zareagovať, či už upozornením používateľa alebo aj aktívnym zásahom (napríklad použiť obranu proti DDoS útoku). Nemusia vedieť zabrániť všetkým typom útokov, pretože štandardne sa sleduje len aktivita na sieti a nie obsah prenášaných údajov.

Inovačný priemyselný projekt pre zvýšenie bezpečnosti

VNET patrí medzi poskytovateľov prístupu na internet, ktorí majú proaktívnu ochranu a monitorujú dianie na svojej sieti. Snaží sa zvyšovať svoju schopnosť identifikovať podozrivé vzory a korelácie (teda anomálie) v sieťovej premávke a tým aj zvyšovať bezpečnosť svojich zákazníkov. 

V spoločnom priemyselnom projekte s VNET-om využívame ich odborné znalosti v tejto doméne a našu expertízu v oblasti detekcie anomálií. Pripravujeme možnosti použitia strojového učenia na detekciu škodlivých anomálií (útokov). Podarilo sa nám identifikovať vhodné prístupy a dátové sady, ktoré budú použiteľné pre návrh metód šitých pre potreby poskytovateľov, ako je VNET. Zrealizovali sme už aj prvotné experimenty, aby sme lepšie spoznali prínosy a obmedzenia v existujúcom monitoringu sieťovej aktivity. Veľkou výzvou sa ukazuje použiteľnosť existujúcich, vo výskume používaných dátových sád, ktoré javia určité problémy pri použití v reálnom prostredí. 

Tešíme sa na to, ako naše spoločné riešenie, založené na prvkoch strojového učenia zlepší ochranu klientov a veríme, že našimi publikovanými výstupmi obohatíme aj znalosť svetovej vedeckej a odbornej komunity.

Čítať viac