Învățarea automată pentru detectarea amenințărilor persistente avansate

O amenințare persistentă avansată (APT) poate fi definită ca un atac cibernetic țintit și foarte sofisticat. Administratorii IT au nevoie de instrumente care să permită detectarea timpurie a acestor atacuri. Au fost propuse mai multe abordări pentru a oferi soluții la această problemă pe baza ciclului de viață de atac. Recent, tehnicile de învățare automată au fost implementate în aceste abordări pentru a îmbunătăți problema detectării.

Securitatea cibernetică este responsabilă pentru stabilirea politicilor de securitate; aceste politici stabilesc pașii de urmat pentru ca datele să fie gestionate în cadrul infrastructurii tehnologice dintr-o organizație. Cu toate acestea, unele defecte de securitate și vulnerabilități (de exemplu, utilizarea de echipamente învechite, utilizarea politicilor care nu sunt revizuite în mod continuu, eșecul instalării actualizărilor la timp, deficiența de conștientizare) permit atacatorilor să realizeze o intruziune într-o organizație.

Dezvoltarea tot mai mare a instrumentelor sofisticate folosite de infractorii cibernetici, cum ar fi vulnerabilitățile zero-day și atacurile denial of service (DoS), soluțiile convenționale nu pot face față complexității actuale a acestor tipuri de amenințări.

În zilele noastre, atacurile de amenințări persistente avansate reprezintă o amenințare reală pentru entitățile publice și private din întreaga lume și vor continua să facă acest lucru în viitor [1]. Aceste atacuri sunt o amenințare iminentă, a cărei problemă principală este dificultatea depistării timpurii deoarece atacatorii folosesc tehnici diferite, atât pentru a rămâne cât mai mult timp nedetectați, cât și pentru a se sustrage eficient.

Diferențele dintre o amenințare persistentă avansată (APT) și un atac cibernetic comun sunt semnificative. De exemplu, numărul de resurse de toate felurile necesare pentru a efectua atacul. Un atac cibernetic obișnuit poate fi direcționat către entități sau organizații cu politici de securitate cibernetică nule sau deficitare pentru a sustrage datele clienților sau activității financiare ale unei companii [2]. Aceste atacuri sunt de obicei detectate, iar daunele cauzate nu sunt de obicei critice. Cu toate acestea, un APT se poate concentra asupra organizațiilor mari și sectoarelor industriale, provocând daune grave, de exemplu, furtul de proprietate intelectuală, eșecul serviciilor esențiale și distrugerea infrastructurii critice. Aceste atacuri sunt de obicei nedetectate, iar daunele cauzate pot fi critice.

În ultimii ani, numărul cazurilor raportate legate de APT a crescut semnificativ [3,4]; unul dintre principalele obiective ale atacatorilor APT este să rămână nedetectați. Unii cercetători au propus abordări diferite pentru a înțelege și detecta acest tip de amenințare. Se poate observa că ciclul de viață al acestui atac este un indicator pentru a înțelege cum funcționează aceste atacuri [5-7]. În plus, tehnicile de învățare automată au permis colectarea și analiza instrumentelor utilizate de atacatori pentru a îmbunătăți detectarea timpurie a acestor atacuri.

Un exemplu de amploare pe care o poate avea APT este acela că actorii profită de problemele actuale care generează interes în rândul populației generale. Situația actuală a COVID-19 a generat scenariul potrivit pentru ca actorii să-și lanseze atacurile. În acest caz, momeala au fost informații consultative despre situația asistenței medicale din diferite țări, pentru aceste tehnici precum spear-phishing, exploit-uri cu instrumente de acces la distanță și ransomware [8].

Referințe

• 1.    Swisscom. Targeted Attacks Cyber Security Report 2019; Technical report; Swisscom (Switzerland) Ltd. Group Security: Bern, Switzerland, 2019.
• 2.    Chen, P.; Desmet, L.; Huygens, C. A Study on Advanced Persistent Threats. In Lecture Notes in Computer Science (Including Subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics); Springer: Berlin, Germany, 2014; Volume 8735 LNCS, pp. 63-72.
• 3.    Fireeye. M-Trends 2019: Fireeye Mandiant Services Special Report; Technical report; Fireeye: Milpitas, CA, USA, 2019.
• 4.    Lemay, A.; Calvet, J.; Menet, F.; Fernandez, J.M. Survey of publicly available reports on advanced persistent threat actors. Comput. Secur. 2018, 72, 26-59. [CrossRef]
• 5.    Bai, T.; Bian, H.; Daya, A.A.; Salahuddin, M.A.; Limam, N.; Boutaba, R. A Machine Learning Approach for RDP-based Lateral Movement Detection. In Proceedings of the 2019 IEEE 44th Conference Local Computer Networks, Osnabrueck, Germany, 14-17 October 2019; pp. 242-245.
• 6.    Ghafir, I.; Hammoudeh, M.; Prenosil, V.; Han, L.; Hegarty, R.; Rabie, K.; Aparicio-Navarro, F.J. Detection of advanced persistent threat using machine-learning correlation analysis. Futur. Gener. Comput. Syst. 2018, 89, 349-359. [CrossRef]
• 7.    Zhang, R.; Huo, Y.; Liu, J.; Weng, F. Constructing APT Attack Scenarios Based on Intrusion Kill Chain and Fuzzy Clustering. Secur. Commun. Netw. 2017, 2017,1-9. [CrossRef]
• 8.    Threat Intelligence Team, M.L. APT36 Jumps on the Coronavirus Bandwagon, Delivers Crimson RAT. Available online: https://blog.malwarebytes.com/threat-analysis/2020/03/apt36-jumps-on-the-coronavirus-bandwagon-delivers-crimson-rat/ (accessed on 16 March 2020).

Sursa: Santiago Quintero-Bonilla and Angel Martin del Rey, ”A New Proposal on the Advanced Persistent Threat: A Survey”, în Appl. Sci. 2020, 10, 3874; doi:10.3390/app10113874, licența CC BY 4.0. Traducere și adaptare © 2023 Nicolae Sfetcu