Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 3, 2018

Хакерите използват машинното обучение за кибератаки

от , 27 март 2018 0 1379 прочитания,

Хакерите използват машинното обучение за кибератаки

Доуг Дринкуотър, IDG, САЩ

Машинното обучение (ML), което ще рече "възможност компютрите да се учат, без да са изрично програмирани за целта", се превръща в истинско предизвикателство пред информационната сигурност. Технология подпомага работата на анализаторите на сигурността в направления като анализ на злонамерен софтуер до преждевременното идентифициране и затваряне на уязвимости. Освен това машинното обучение се очаква да повиши сигурността на крайните устройства, да спомогне за автоматизацията на повтарящи се процеси и дори да ограничи вероятността от кибератаки, водещи до загуба на данни.

Всичко това създава убеждението, че подобни интелигентни решения за сигурност ще имат силата да пресекат следващата атака от типа WannaCry много по-бързо, отколкото традиционните инструменти. "Изкуственият интелект все още е неразорана нива, но по всичко личи, че е крачка към бъдещето. Машинното обучение ще промени изоснови начина, по който се гарантира сигурността на информационните системи", коментира Джак Голд, президент и главен анализатор в J.Gold Associates, и добавя: "С изобилието на данни и постоянно появяващите се нови приложения наистина няма по-добър начин да се гарантира сигурността от използването на автоматизирани системи, базирани на изкуствен интелект, които да анализират мрежовия трафик и взаимодействието межу потребителите."

В този ред на мисли единственият проблем е, че хакерите знаят всичко това и на свой ред са готови да изработят свои собствени инструменти за машинно обучение, за да направят още по-сложни и разрушителни своите атаки.

Как киберпрестъпниците използват машинно обучение

Хакерите, които са все по-организирани и предлагат все по-широка палитра от услуги в тъмната мрежа, в много от случаите са способни да внедряват иновации много по-бързо, отколкото защитниците на информационните системи. До голяма степен това важи и когато става дума за неоползотворения потенциал на технологии като машинното и дълбочинното обучение.

"Трябва да сме наясно, че макар въпросните технологии да са крайъгълни камъни на киберзащитата на утрешния ден, нашите противници работят също толкова усилено за внедряването им и обновяването на инструментите, на които разчитат", обръща внимание Стив Гробман, главен технологичен директор в McAfee. По думите му, както често се случва в сферата на киберсигурността, човешката интелигентност, усилена чрез технологиите, ще продължи да бъде решаващ фактор в борбата между специалистите по сигурност и киберпрестъпниците.

Това естествено води със себе си страхове, че този сблъсък на изкуствени интелекти много напомня на известния холивудски екшън “Терминатор”. Още повече че Ник Савидис, главен технически директор на Symantec, е категоричен, че 2018 е "първата година, в която ще видим AI срещу AI в контекста на киберсигурността", и нападатели, които могат ефективно да изследват компрометираните мрежи, което пък ще застави доставчиците на услуги за сигурност да изградят по-интелигентни и надеждни решения.

"Автономният отговор на заплахите е бъдещето на киберсигурността", подчертава и директорът по технологиите на Darktrace Дейв Палмър. Той е категоричен, че алгоритмите, които могат да предприемат интелигентни и целенасочени действия за забавяне или дори предотвратяване на случваща се кибератака, като същевременно позволяват обичайните бизнес дейности да продължат, биха били изключително полезни.

Атаките, задвижвани от изкуствен интелект и машинно обучение, все още не са на дневен ред освен в контролирана среда в някоя лаборатория може би, но престъпните организации вече използват някои техники.

1. Неуловим зловреден софтуер

Създаването на зловреден софтуер е до голяма степен ръчен процес. Киберпрестъпниците пишат скриптове, за да съставят компютърни вируси, троянски коне, руткитове (зловреден код за получаване на пълни права на администратор, който се разпространява чрез мрежи за обмен на данни от типа P2P или през заразени уеб сайтове), инструменти за кражба на пароли и т.н.

Но какво би станало, ако те можеха да ускорят този процес? Нищо хубаво. Затова на дневен ред излиза въпросът: Има ли начин машинното обучение да помогне за създаването на злонамерен софтуер?

Първият известен пример за използване на машинно обучение за създаване на такъв беше представен през 2017 г. в доклад, озаглавен “Генериране на зловреден код за атака с отваряне на вратичка (Black-Box Attacks), който използва GAN”. Тогава авторите му разкриха как са създали алгоритъм, базиран на генеративна конфликтна мрежа (GAN - нов метод в областта на изкуствения интелект, в който две невронни мрежи се противопоставят една на друга), пригоден за генериране на зловреден софтуер, който успява да заобиколи защитните системи, създадени с помощта на машинно обучение.

В друг пример, даден по време на конференцията DEFCON през 2017, компанията за сигурност Endgame разкри как е разработила персонализиран злонамерен софтуер, невидим за защитните механизми, използвайки рамката OpenAI на Илън Мъск. Изследванията на Endgame се основават на двоични кодове, изглеждащи като злонамерен софтуер, които след промени в няколко части придобиват вид на доброкачествени и надеждни.

Други изследователи пък предвиждат, че машинното обучение може да бъде използвано за "модифициране на код в движение", което ще доведе до масово разпространение на полиморфичен злонамерен софтуер.

2. Интелигентен ботнет за скалируеми атаки

От компанията за киберсигурност Fortinet предупреждават, че 2018 ще бъде годината на самообучаващите се ботове, което по същество е предупреждение, че IoT устройствата в световен мащаб могат да бъдат “принудени” да реализират мащабни атаки срещу уязвими системи. "Те ще могат да разговарят помежду си и да предприемат действия, основаващи се на информация от споделено разузнаване по места", смята Дерек Манки, глобален стратег по сигурност във Fortinet и добавя: "Освен това “зомбитата” ще стават все по-умни, изпълнявайки различни действия, без създателят им да ги инструктира допълнително какво точно трябва да правят. В резултат на това подобни мрежи от ботове ще могат да се разрастват експоненциално, като рояци, надграждайки способността си да атакуват едновременно множество жертви, и значително да възпрепятстват смекчаването на последствията и реакцията от страна на защитниците."

По думите на Манки за радост подобни атаки все още не използват “технологията на рояка” (swarm technology), която ще позволи мрежите от ботове да се самообучават от действията си в миналото. В полето на изкуствения интелект тази технология се дефинира като "колективното поведение на децентрализирани, организирани системи, естествени или изкуствени" и днес се използва в безпилотните и роботизираните устройства (въпреки че изглежда като научна фантастика, изводи за деструктивния характер на тази технология могат да се направят от сериала “Черното огледало”, където хиляди пчели-роботи са “превзети” и използвани за наблюдение и физически атаки.)

3. Фишинг имейлите стават все по-умни

Едно от по-очевидните приложения на криминалното машинно обучение е използването на алгоритми за превръщане на текст в говор (text-to-speech), разпознаване на реч (speech recognition) и обработка на естествен език (NLP) за по-ефективно социално инженерство. Чрез повтарящи се невронни мрежи е възможно въвеждането на такива софтуерни стилове на писане, че фишинг имейлите могат да станат много по-сложни и правдоподобни.

По-специално машинното обучение би могло да улесни процеса по таргетиране на по-сложните фишинг имейли към по високопрофилни акаунти, докато едновременно с това го автоматизира. Не на последно място, системите могат да бъдат обучени на база истинска кореспонденция и да се научат да генерират напълно достоверни на пръв поглед имейли.

В своите прогнози за 2017 McAfee Labs предупреди, че киберпрестъпниците все по-често прибягват до машинното обучение при анализа на огромни обеми откраднати данни за идентификация на потенциалните си жертви и създаването на контекстуално подробни и достоверни имейли, които могат да бъдат насочвани по-точно.

Освен това по време на "Black Hat USA 2016" Джон Сиймор и Филип Тули представиха доклад, озаглавен “Използване на науката за данните за целите на социалното инженерство: автоматизиран Е2Е фишинг в Twitter" (Weaponizing data science for social engineering: Automated E2E spear phishing on Twitter), в който става дума за повтарящи се невронни мрежи, обучени за създаването на фишинг публикации и насочването им към определени потребители. Двамата описват SNAP_R - невронна мрежа, обучена на базата на теми, които таргетираните жертви са коментирали в своята реална кореспонденция в Twitter, с цел да се повиши вероятността за успех на атаката.

В крайна сметка тази система се оказва забележително ефективна. При тестове, включващи 90 потребители, тя постига между 30 и 60% ефективност, което е значително по-добро представяне от това на ръчно генерираните фишинг имейли, изпращани на случаен принцип.

4. Анализът на заплахите се усложнява

Възможността за анализ на заплахите, която дава машинното обучение, е нож с две остриета. От една страна, универсално се приема, че в епохата на фалшивите позитивни сигнали машинното обучение ще помогне на анализаторите да идентифицират реалните заплахи, идващи от множество системи. "Прилагането на машинно обучение дава две значителни предимства в областта на анализа на информация за заплахите", смята Стафан Труве, технологичен директор и съосновател на Recorded Future, компания за анализ на киберзаплахи. По думите му обработката и структурирането на огромния обем от информация и сложните вътрешни връзки между данните правят невъзможен за човека анализа на заплахите. "Колаборацията между способен човек и машина е възможно най-добрият инструмент за анализ и откриване на пробиви", смята Труве.

Втората посока, в която машинното обучение може да помогне при анализа и откриването на заплахи, е автоматизацията. “Технологиите могат да увеличат неимоверно обема на задачите, с които ние като хора можем да се справяме без проблем", категоричен е експертът.

Освен тези ползи обаче съществува и опасение, че престъпниците ще се адаптират, за да отговорят на нарастващите възможности на специалистите по сигурност. Стив Гробман, технологичен директор на McAfee, говори за техниката, известна като "засилване на шума" (raising the noise floor), при която хакерът бомбардира с множество фалшиви положителни сигнали обичайните модели за машинно обучение. След като защитниците калибрират своята система и я пригодят към фалшивите атаки, нападателят може да започне истинското нападение.

5. Неразрешен достъп

Един ранен пример за използването на машинно обучение за кибератаки беше публикуван през 2012 г. от изследователите Клаудия Крус, Фернандо Учеда и Леонардо Рейес. Те са използвали SVM (support vector machines - контролирани модели за обучение на изкуствен интелект с асоциирани алгоритми, които анализират данните, използвани за класификация и регресионен анализ), за да разбият система, работеща с изображения от типа CAPTCHA код, с точност от 82%. Оттогава насам този тип механизми за защита бяха многократно подобрявани, само за да могат изследователите отново да ги пробият с помощта на дълбочинно обучение. През 2016 те публикуват статия, в която подробно описват как тази защитна технология може да се пробие с 92% точност.

Отделно от това изследването I am Robot, което беше публикувано през 2017, разкри как изследователи по сигурността са пробили последната семантична CAPTCHA система, сравнявайки различни алгоритми за машинно обучение. В доклада също така се описват инструменти, които пробиват това решение за защита на Google с 98% успеваемост.

6. Компрометиране на платформата за машинно обучение

Една много по-проста, но ефективна техника е свързана с компрометиране на самата платформа за машинно обучение, използвана за откриване на злонамерен софтуер, което я прави неефективна, подобно на антивирусните системи в миналото. Моделът за машинно обучение се ръководи от входните данни. Ако те са компрометирани, тогава изходните също са такива. Изследователи от Нюйоркския университет пък демонстрират как конволюционните невронни мрежи (CNN) могат да бъдат използвани, за да генерират именно подобни неверни резултати, и то не в случайни платформи, а в тези на Google, Microsoft и AWS.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов