ضرورت یادگیری ماشینی در تشخیص بدافزار

/در /توسط

تا به امروز، بدافزار همچنان یکی از مؤثرترین ابزارهای مورد استفاده جهت حمله است که اغلب برای مقابله با آن و پیشگیری و شناسایی رخنه بدافزارها در سیستم‌ها، از ابزارهای امنیتی مبتنی بر یادگیری ماشین استفاده  می‌شود.

نیزی راستوگی، استادیار مؤسسه فناوری روچستر، در این باره می‌گوید ابزارهای امنیتی یادگیری ماشین تقریباً آنقدر که به نظر می‌آید مؤثر نیستند زیرا موانع مختلفی بر سر راه آنها قرار دارند. راستوگی در کنفرانس انیگما 2022 که در 2 فوریه برگزار شد به شرح دیدگاه‌های خود در مورد محدودیت‌های یادگیری ماشین در مقوله امنیت پرداخت و راه‌حل بالقوه‌ای تحت عنوان امنیت محتوایی را در این جلسه ارائه داد.

یکی از چالش‌های کلیدی که اخیرا در مورد امنیت یادگیری ماشینی به آن پرداخته شده است مسئله هشداردهی‌های نادرست است. راستوگی توضیح داد که این هشدارهای نادرست هم سبب اتلاف وقت سازمان‌ها می‌شود و هم یک خلاء امنیتی است که به طور بالقوه یک سازمان را در معرض خطرپذیری‌های غیرضروری قرار می‌دهد.

راستوگی گفت: “حل مسئله هشدارهای کاذب منفی و مثبت بسیار دشوار است.”

چرا الگو های یادگیری ماشینی هشدارهای نادرست تولید می‌کنند؟

از بین دلایل مهمی که سبب  تولید هشدارهای نادرست توسط الگوهای یادگیری ماشین می‌شود؛ می‌توان به ناکافی بودن داده‌های ارائه شده اشاره کرد.  در تعریف یادگیری ماشین باید گفت؛ رویکردی است که در آن یک ماشین یاد می‌گیرد چگونه کاری را انجام دهد و با نوعی آموزش در قالب یک مجموعه داده فعال می‌شود. چنانچه مجموعه داده‌های آموزشی حاوی همه داده های صحیح نباشد، شناسایی دقیق همه بدافزارها نیز ممکن نخواهد بود. راستوگی گفت که یکی از راه‌های ممکن برای ارتقاء  بهبود الگو‌های امنیتی یادگیری ماشین، یکپارچه‌سازی یک الگوی یادگیری مداوم است. در این رویکرد، با کشف ابزارهای حمله و آسیب پذیری های جدید، داده های جدید هم به طور مداوم برای آموزش سیستم یادگیری ماشین ارائه می‌گردند.

افزودن محتوا برای افزایش کارایی شناسایی بدافزار

با این حال، دریافت داده‌های درست بمنظور آموزش یک الگو،  در عمل بسیار دشوار است. راستوگی ارائه محتوای مضاعف را به عنوان فرصتی برای بهبود الگو‌های شناسایی بدافزار و یادگیری ماشین پیشنهاد می‌کند.محتوای مضاعف را می‌توان از منابع طرف سوم یا هوش منبع باز تهدیدات  (اوسینت(OSINT)) استخراج کرد.  این منابع گزارش‌ها و تحلیل‌های تهدید در مورد حملات جدیدی که اخیرا به وقوع پیوسته‌اند را ارائه می‌کنند. چالشی که در ارتباط با اوسینت وجود دارد معمولا فاقد ساختار بودن داده‌ها، پست‌های وبلاگ و سایر فرمت‌هایی است که برای آموزش یک الگوی یادگیری ماشین به‌خوبی کار نمی‌کنند.راستوگی در این خصوص گفت: “این گزارش‌ها به زبانی قابل فهم برای انسان نوشته شده‌اند و بدین ترتیب محتوای ارائه شده در آنها امکان تبدیل شدن به کد را ندارند”.

استفاده از نمودارهای دانش برای امنیت محتوایی

اکنون این سوال مطرح می‌شود که داده‌های فاقد ساختار  چگونه می‌توانند به یادگیری ماشینی و بهبود تشخیص بدافزار کمک کنند؟ راستوگی و تیمش در تلاش هستند تا از رویکردی به نام نمودار دانش استفاده کنند.یک نمودار دانش از آنچه به عنوان پایگاه داده نمودار شناخته می‌شود بهره می‌برد که ارتباط بین نقاط مختلف داده را ترسیم می‌کند. به گفته راستوگی، بزرگترین مزیت استفاده از نمودارهای دانش این است که مسیر دریافت و درک بهتر اطلاعات فاقد ساختار نوشته شده به زبان قابل درک برای انسان را هموار می‌سازد. او گفت: «تمامی داده‌های ادغام شده بر روی یک نمودار دانش، قادرند به شناسایی یا استنباط الگوهای حمله در زمان شکل گرفتن یک تهدید بدافزاری کمک کنند». این مزیت استفاده از نمودارهای دانش و همان چیزی است که تحقیقات ما آن در پی آن است.»به گفته راستوگی؛  افزودن محتوا و اطلاعات مکانی داده‌ در ردیابی منبع داده‌ها و راستی آزمایی آنها بسیار موثر است و به بهبود دقت کلی تشخیص بدافزار منجر خواهد شد.او افزود: “ما باید با استفاده از امتیازدهی‌های درست و دقیق در مورد ارزیابی عملکرد الگو‌های یادگیری ماشین گامی فراتر بگذاریم. هدف ما کمک به تحلیل‌گران از طریق استنباط درست و مطمئن محتوا است

 

آسیب پذیری‌

تلاش بیهوده سازمان‌ها در رویارویی با آسیب پذیری‌ها

/در /توسط

تلاش بیهوده سازمان‌ها در رویارویی با آسیب پذیری‌ ها

به گفته محققان، شرکت‌ها برای تامین امنیت خود در سال 2022 و برای مقابله با تهدیداتی که در سال گذشته ظهور یافتند باید رویکردهای «ابتکاری و پیشگیرانه‌تری» اتخاذ نمایند.

بر اساس گزارش سالانه موسسه باگ کراود با موضوع امنیت،  سازمان‌ها با گذر از سال 2021 که برای آسیب پذیری‌ ها و حملات سایبری سال بسیار خوبی بود، به این باور رسیدند که با وجود صرف میلیاردها دلار هزینه برای فناوری امنیت سایبری، در واقع در برابر تهدیدات و آسیب پذیری‌ های امنیتی فقط آب در هاون کوبیده‌اند.

طبق گزارش اولویت اول 2022؛ این تصور پس از آن به وجود آمد که در سال 2021 سازمان‌ها متوجه شدند با پیچیدگی‌های محیط‌ های ترکیبی دست و پنجه نرم می‌کنند که شامل همراه شدن دورکاری کارکنان شرکتی به دلیل همه‌گیری کرونا با انفجار باج‌ افزار و نیز ظهور زنجیره تامین به عنوان سطح اصلی حملات می‌شد.

این گزارش پیش‌بینی می‌کند که حس مشترک ناکامی در میان متخصصان امنیتی  و همچنین وجود شکاف همیشگی کمبود نیروهای ماهر در زمینه امنیت سایبری –  2.7 میلیون نفر کمبود نیروی شاغل در بخش امنیت سایبری که هنوز جبران نشده است-  “علاقه‌مندی به اتخاذ رویکردهای نوآورانه‌تر و فعال‌تر برای امنیت در سال 2022 را افزایش می‌دهد.” به گفته محققان، این امر مستلزم رجوع به جامعه تحقیقاتی جهانی و برنامه‌های آن در مورد باگ بانتی‌ها و کشف آسیب‌پذیری‌ها برای کمک به شناسایی و مبارزه با تهدیدات است.موسسه باگ کراود یک رویکرد جمع‌سپاری را برای مدیریت تست نفوذپذیری، باگ بانتی، کشف آسیب‌پذیری و مدیریت سطح حمله ارائه می‌کند. گزارش 2022 – که داده‌های مربوط به فعالیت شرکت در طول سال را گردآوری می‌کند – برخی از ترندهای برتر در خصوص آسیب‌ پذیری‌ هایی که سازمان‌ها در سال 2021 گزارش کرده‌اند و همچنین انواع حملاتی که رخداد آنها عموما بیشتر بوده است را به طور شفاف نشان می‌دهد.

نکات مرتبط با آسیب پذیری

بر اساس این گزارش یکی از رایج‌ترین آسیب‌پذیری‌های شناسایی شده در سال گذشته، تزریق کدهای اسکریپت به وبگاه (XXS) بود که طی آن مهاجم کد را به یک وب سایت قانونی تزریق می کند و هر زمان که قربانی وب سایت را باز کند به اجرا درمی‌آید. مهاجمان اغلب از XSS در حملات سرقت اطلاعات اعتباری افراد استفاده می‌کنند و شاید به همین دلیل باشد که سوء استفاده از اطلاعات محرمانه در رده اول حملات سال گذشته قرار داشت.. طبق این گزارش، این نوع تهدید از شماره 9 در لیست 10 نوع آسیب پذیری برتر شناسایی شده در سال 2021 به رتبه 3 ارتقاء یافت. در واقع، سرقت اطلاعات اعتباری یک روش کلیدی است که طی آن عوامل تهدید به شبکه‌های شرکتی نفوذ کرده و از طریق باج‌افزار یا حملات دیگر به سرقت داده‌ها می‌پردازند.در میان صنایعی که در سال 2021 از آسیب‌پذیری‌ها ضربه های بیشتری خوردند می‌توان به بخش‌های خدمات مالی اشاره کرد.  براساس پلتفورم باگ کراود، این  شرکت‌ها در 12 ماه گذشته  برای ارسال‌های اطلاعاتی «اولویت 1» یا P1 ، افزایش قابل توجه 185 درصدی را  که شامل آسیب‌پذیری‌ها عمده میشود را تجربه کردند. البته ارسال اطلاعات باگ های معتبر نیز در این بخش 82 درصد افزایش داشته است و همچنین هزینه پرداختی برای شناسایی نقص‌ها در سال گذشته با 106 درصد افزایش روبرو بوده است. بنا بر این گزارش، بخش دولتی نیز شاهد افزایش قابل توجهی در ارسال و اعلام آسیب پذیری‌ معتبر در سال 2021 بود. ارسال اطلاعات باگ در این فضا به میزان خیره کننده 1000 درصد افزایش یافت چرا که بخش دولتی”ذینفع اصلی در تعامل مداوم با مردم” است. بر اساس این گزارش، «بخش اعظم این ارسال‌ها در سه‌ماهه سوم، زمانی که خریداران دولتی در پاسخ به دستورالعمل‌های جدید آژانس غیرنظامی فدرال، که برای مثال کشف و نشان دادن آسیب پذیری‌ را به یک الزام کلیدی تبدیل می‌کنند، روی داد زیر آنها تپ‌ها را برای امنیت جمع‌سپاری باز کردند.

ترندهای امنیتی 2021

در این گزارش آمده است در میان ترندهای امنیتی سطح بالا که در سال گذشته بسیار مورد توجه قرار گرفتند، باج‌افزار به ترند اصلی سال 2021 تبدیل شد و پا را از رخنه در اطلاعات شخصی فراتر نهاد بطوریکه واکنش گسترده‌ای از سوی دولت نسبت به حملات مخرب آن مانند حمله‌ای که در ماه می گذشته به خط لوله شرکت کولونیال انجام شد را در پی داشت. سرویس امنیت فدرال روسیه (FSB)  هفته گذشته گزارش داد که با حمله به 25 مکان،  دارایی‌هایی به ارزش بیش از 5.6 میلیون دلار از تبهکاران مجری باج افزار ریویل (REvil) ضبط کرده و به نحو موثری این گروه را از پای درآورده است.  دولت بایدن نیز سال گذشته مواضع سختی را علیه گردانندگان باج‌ افزارها اتخاذ کرد و استراتژی‌های دفاع سایبری دولت برای مبارزه با حملات را گسترده تر کرد. هرچند سال گذشته گروههای باج افزاری بزرگی کار خود را تعطیل کردند، اما گروه‌های دیگری به جای آن‌ها قد علم کردند  که باگ کراود در گزارش خود به تکامل حملات باج‌افزاری که هم اکنون در حال وقوع است اشاره می کند. محققان در این گزارش نوشتند: «اکنون شاهد گروه‌های تبهکاری گرداننده باج‌ افزار ها هستیم که اصول کاری استارت‌آپ را در عملیات خود به کار می‌بندند. آنها کار خود را با یک گروه کلی و در قالب حمله به هدف های پراکنده، حملات حدسی و درخواست پول به صورت رمزارز انجام می‌دهند. این گروه‌ها پس از یک یا دو حمله موفقیت آمیز از طریق آسیب پذیری‌ ، باج های دریافت شده را به عنوان سرمایه اولیه در نظر گرفته و از آن برای توسعه عملیات خود و سرمایه گذاری در نرم افزار، استعدادیابی و سوء‌استفاده  بهتر استفاده می کنند. محققان خاطرنشان کردند که اکنون نخبه‌ترین گروه‌های باج‌ افزاری فرآیندهایی را به اجرا می‌گذارند که شامل تجسس یا تحقیق عمقی برای شناسایی اهداف، توسعه دادن ارتباطات و روابط رسانه‌ای برای وحشت آفرینی و افزایش احتمال پرداخت باج هستند. آنها گفتند که این فرآیندها همچنین شامل ردیابی آسیب پذیری‌ حیاتی برای یافتن شکاف‌هایی است هنوز توسط سازمان‌ها شناسایی نشده اند که این خود نیاز به اتخاذ رویکرد امنیتی پیشگیرانه توسط سازمان‌ها را تشدید می‌کند. طبق این گزارش، زنجیره تامین نیز به عنوان یک “سطح حمله اصلی” در سال 2021 ظاهر شد که بر نحوه مواجهه سازمان ها با آسیب پذیری‌ و مقوله امنیت در سال 2022 تأثیرگذار خواهد بود. به گفته محققان هرچند که این ترند باعث ایجاد «صنعت پر رونق اسکنرها و ابزارهای خودکار شناسایی» شده است، اما سازمان‌ها باید همانند تهدیدآفرینان فکر کنند و از کمک هکرهای اخلاق مدار و سایر راه‌حل‌های امنیتی زاییده خرد جمعی برای محافظت از زنجیره تأمین در سال جاری استفاده کنند. آنها در این گزارش نوشتند: “تنها رویکردی که این نقاط ضعف را به نقاط قوت تبدیل می‌کند؛ بکارگیری ابزارها، تکنیک‌ها و طرز فکر مشابه با مهاجمان در کشف موفقیت‌آمیز آسیب‌پذیری‌هاست”.”

بازنشانی رمز عبور

سال 2022 را با استراتژی امنیت رمز عبور که برای رویارویی با تهدیدات امروزی ساخته شده است قدرتمندانه به پیش ببرید. میزگرد امنیتی وب سایت Treatpost که برای متخصصان رشته امنیت اطلاعات ترتیب داده شده بود، بر مدیریت اطلاعات اعتباری سازمان، اصول اولیه ساخت رمز عبور جدید و کاهش رخنه‌های پس از طی روند اعتبارسنجی، متمرکز است. به دارن جیمز با نرم افزار Specops  و راجر گریمز، تبلیغ کننده راهکارهای  دفاعی در KnowBe4 و بکی براکن میزبان Threatpost بپیوندید. ثبت و انتشار جلسه رایگان امروز توسط نرم افزار Specops پشتیبانی شده است