機械学習を妨害する10のサイバー攻撃

サーセイ・ラニスターの策略やサー・ジョラー・モーモントの父親のような保護をもってしても、攻撃者が HBO のネットワークに侵入し、1.5 テラバイトのデータ (未放送のゲーム・オブ・スローンズのエピソードを含む) を盗むのを阻止することはできませんでした。しかし、機械学習は HBO の仮想要塞の防御をより強化したかもしれない。

[[207148]]

人工知能 (AI) と機械学習 (ML) は、特にサイバーセキュリティ コミュニティ内で多くの議論の対象となっています。では、機械学習はセキュリティの次の大きなトレンドなのでしょうか? AI は機械学習を利用した攻撃に対応できるのでしょうか? 一般的に、AI は使用できる状態にあるのでしょうか? 機械学習がサイバーセキュリティの救世主になるかどうかについての見解にかかわらず、2 つのことは真実です。分析はセキュリティにおいて重要な役割を果たし、機械学習は特定のユースケースに対する現在の最善の答えです。

ハッカーが「洗練された」侵入方法を使用したとの報告があるにもかかわらず、ハッカーまたはハッカーグループは一般的な攻撃方法を巧みに使用してスクリーン大手のシステムに侵入し、「little.finger66」というニックネームを使用した可能性が高い。

以下は、あらゆる企業に影響を及ぼす一般的なセキュリティ脅威を表すユースケースです。それでも、機械学習がサイバーセキュリティの万能薬になるかどうかはわかりませんが、確実に役立つ状況がいくつかあります。

ユースケース1：「フィッシング」（フィッシングの防止）

フィッシングは現在最も一般的な攻撃ベクトルであり、非常に成功率が高いです。この攻撃は、ソーシャル メディアや電子メールなどの通信ツールに対する個人の習熟度を悪用し、添付ファイルやリンクを介して、疑いを持たない受信者に悪意のあるコンテンツを送信します。この攻撃の有効性は、エンドユーザーを騙して悪意のあるペイロードをクリックまたはダウンロードさせ、その後内部制御をバイパスする攻撃者の能力に依存します。破壊力とランサムウェアのペイロードの増加により、この攻撃はさらに深刻化しています。

組織は、ユーザーのプライバシーを侵害することなく、電子メールからメタデータを取得することで、これらの脅威を検出できます。電子メールのヘッダーを調べ、メッセージ本文のデータをサブサンプリングすることで、機械学習アルゴリズムは悪意のある送信者を明らかにできる電子メールのパターンを識別する方法を学習できます。これらの微細な動作を抽出してラベル付けすることで、誰かがフィッシングを試みているかどうかを検出できるようにモデルをトレーニングできます。時間が経つにつれて、機械学習ツールは送信者の信頼性に基づいてグラフを構築できるようになります。

ユースケース 2: 水飲み場

フィッシング攻撃と同様に、ウォーターホール型攻撃は正規の Web サイトまたは Web アプリケーションのように見えます。ただし、これらのサイトやアプリは本物であっても、侵害されている可能性があり、または単に無防備な訪問者を騙して個人情報を入力させるために設計された偽のサイトやアプリである可能性があります。この攻撃は、攻撃者がユーザーを誤解させ、効果的にサービスを攻撃する能力にも一部依存しています。

機械学習は、パス/ディレクトリのトラバーサル統計などのデータを分析することで、組織が Web アプリケーション サービスをベンチマークするのに役立ちます。時間の経過とともに学習するアルゴリズムは、攻撃者や悪意のある Web サイトやアプリケーションの一般的なやり取りを識別できます。機械学習は、まれまたは異常なリダイレクト パターン、サイト ホストへのリダイレクト、またはサイト ホストからのリダイレクト、および参照リンクの動作を監視することもできます。これらはすべて、典型的な危険信号です。

ユースケース3: 横方向の移動

これは特定の種類の攻撃ではなく、イントラネット ローミング攻撃方法は、ネットワーク内で攻撃者が脆弱性を探し、それを悪用するためにさまざまな手法を適用する動きを表します。イントラネット ローミングは、特に、攻撃者が低レベル ユーザーのマシンから、貴重なデータにアクセスできる上級ユーザーへと移動するにつれて、キル チェーン (偵察からデータ抽出までの攻撃者の活動) が上へ移動するリスクを特に示しています。

Web トラフィック入力ログから、訪問者が Web サイトとどのようにやり取りしているかがわかります。機械学習はデータのコンテキストを理解し、通常の通信データのビューを動的に提供できます。典型的な通信フローをより深く理解することで、アルゴリズムは変化点検出 (つまり、特定の通信パターンの確率分布が変化し、「通常の」通信アクティビティに似なくなる可能性を認識) を実行し、潜在的な脅威を監視できます。

ユースケース4: 隠れチャネル検出

秘密チャネルを使用する攻撃者は、通信に使用されていないチャネルを通じて情報を送信します。秘密チャネルを使用すると、攻撃者は侵害された資産の制御を維持し、長期間にわたって攻撃を実行し、検出されないままでいられる戦術を使用できます。

秘密チャネルを使用した攻撃は、多くの場合、特定のネットワーク上のすべてのドメインの可視性に依存します。機械学習技術により、希少なドメインに関する統計データを取り込んで分析することができます。この情報により、セキュリティ運用チームはクラウド内の攻撃者をより簡単に特定できるようになります。攻撃対象となるネットワークの全体像を把握していないと、サイバー犯罪者がキル チェーンに沿って攻撃を進めることが難しくなります。

ユースケース5: ランサムウェア

ランサムウェアはその名の通りです。このマルウェアは、ユーザーの暗号化キーと引き換えに、ドライブを消去し、感染したデバイスやコンピューターをロックするという脅威です。この形式のサイバー攻撃では、ユーザーがキーを渡すまで情報がロックされたり、場合によっては、身代金を支払わない場合はユーザーの個人情報を公開すると脅迫されたりします。

ランサムウェアは、攻撃によってネットワーク アクティビティ ログに証拠が残らないことが多いため、使用が難しいケースとなります。機械学習技術は、セキュリティアナリストが、エントロピー統計や特定のファイル システム全体と対話するプロセスなど、ランサムウェアに関連する小さな動作を追跡するのに役立ちます。組織は、機械学習アルゴリズムを初期の感染ペイロードに集中させ、これらの証拠を特定しようとすることができます。

ユースケース6: インジェクション攻撃

Open Web Application Security Project (OWASP) は、インジェクション攻撃を Web アプリケーションの最大のセキュリティ リスクとして挙げています。 (注: OWASP Top-10 の現在のバージョンは廃止されており、組織はセキュリティ専門家へのデータの呼び出しと調査を再開しました)。インジェクション攻撃により、攻撃者はプログラムに悪意のある入力を挿入することができます。たとえば、攻撃者がデータベースにコード行を入力し、アクセスすると、Web サイト上のデータが変更または変更される可能性があります。

データベース ログは、潜在的な攻撃を特定するのに役立つもう 1 つの情報源です。機関は機械学習アルゴリズムを使用して、データベース ユーザー グループの統計プロファイルを作成できます。時間の経過とともに、アルゴリズムはこれらのグループが企業全体のアプリケーションにアクセスする方法を学習し、それらのアクセス パターンの異常を見つける方法を学習します。

ユースケース 7: 偵察

ハッカーは攻撃を開始する前に、ターゲットまたはターゲットグループに対して徹底的な偵察を行います。偵察には、ネットワークの脆弱性を調査することが含まれます。攻撃者は、ネットワークの境界またはローカル エリア ネットワーク (LAN) 内で偵察を行います。一般的な偵察攻撃検出では、シグネチャ マッチング技術を使用して、ネットワーク アクティビティ ログを調べ、悪意のある動作を示す可能性のある繰り返しパターンを探します。ただし、シグネチャベースの検出では、ノイズの多い誤報が頻繁に発生します。

機械学習は、ネットワーク データのトポロジーのコンパスとして機能します。訓練されたアルゴリズムは、このトポロジマップを開発して、シグネチャベースのアプローチよりも迅速に新しいパターンの広がりを識別できます。機械学習を使用すると誤検知の数も減り、セキュリティアナリストは本当に重要なアラートへの対応に時間を費やすことができるようになります。

ユースケース 8: Web シェル

米国コンピュータ緊急事態対応チーム (US-CERT) は、Web シェルを「ネットワーク サーバーにアップロードしてマシンをリモートで管理できるスクリプト」と定義しています。リモート管理を通じて、攻撃者はデータベース データのダンプ、ファイル転送、マルウェアのインストールなどのプロセスを開始できます。

Web シェル攻撃者は通常、バックエンドの電子商取引プラットフォームを標的とし、それを通じて買い物客の個人情報を狙います。機械学習アルゴリズムは、通常のショッピングカートの動作の統計に焦点を当て、そのような頻度では発生しないはずの外れ値や動作を識別するのに役立ちます。

ユースケース9: 資格情報の盗難

仮想プライベート ネットワーク (VPN) への攻撃を含む、注目を集めた攻撃のいくつかは、資格情報の盗難が原因でした。資格情報の盗難は、多くの場合、フィッシングやウォーターホール攻撃などの戦術を使用して実行され、攻撃者は組織が保持する機密情報にアクセスするために被害者からログイン資格情報を抽出します。

インターネットユーザー（消費者）は、ログインモードを離れることが多いです。ウェブサイトやアプリは位置情報やログイン時間を追跡できます。機械学習技術は、これらのパターンとそれを含むデータを追跡して、どのようなユーザー行動が正常であり、どのような行動が潜在的に有害なアクティビティであるかを理解できます。

ユースケース 10: リモートからの攻撃

最後に、多くの攻撃モードではリモートエクスプロイトが利用されます。これらの攻撃は通常、一連の悪意のあるイベントを通じてターゲット システムに対して実行され、脆弱性を特定し、悪意のあるコードなどのペイロードを配信して脆弱性を悪用します。攻撃によってペイロードがドロップされると、システム内でコードが実行されます。

機械学習はシステムの動作を分析し、一般的なネットワーク動作とは関連のない連続動作のインスタンスを識別できます。アルゴリズムは時間の経過とともに学習し、脆弱性を悪用することを目的としたペイロードの送信についてセキュリティアナリストに警告することができます。

ここでの議論は機械学習の終わりではなく、その出発点です。

正確なサイバーセキュリティ分析システムは、現代のセキュリティ運用センターの基礎となる必要があります。ただし、データ サンプルがなければ、正確な分析を行うことはできません。機械学習の考え方を採用し、機械学習技術を使用するセキュリティ チームは、上記の各タイプの攻撃に迅速に対処できます。機械学習やその他のテクノロジーは、いかなる業界にとっても究極のものとなることは決してありません。これは、現在使用されている多くのアプローチを改善できる、サイバー攻撃を識別して対処するための代替のオープンソース哲学を提供します。