Securitatea cibernetică a devenit o problemă de interes global, iar mai multe atacuri vizează companiile industriale și organizațiile guvernamentale. Amenințările persistente avansate (APT) au apărut ca o versiune nouă și complexă a atacurilor în mai multe etape (MSA), care vizează companii și organizații selectate. Sistemele actuale de detectare a APT se concentrează pe apariția alertelor de detectare, mai degrabă decât pe prezicerea APT-urilor. Prognoza etapelor APT nu numai că dezvăluie ciclul de viață APT în stadiile sale incipiente, dar ajută și la înțelegerea strategiilor și obiectivelor atacatorului. Un nou sistem de detectare a intruziunilor pentru detectarea și predicția APT trece prin două faze principale; primul realizează reconstrucția scenariului de atac. Această fază are un cadru de corelare pentru a lega alertele elementare care aparțin aceleiași campanii APT. Corelația se bazează pe potrivirea atributelor alertelor elementare care sunt generate într-o fereastră de timp configurabilă. A doua fază a sistemului propus este decodarea atacului. Această fază utilizează modelul Markov ascuns (HMM) pentru a determina secvența cea mai probabilă de etape APT pentru o anumită secvență de alerte corelate. În plus, este dezvoltat un algoritm de predicție pentru a prezice următorul pas al campaniei APT după ce a calculat probabilitatea ca fiecare etapă APT să fie următorul pas al atacatorului. Abordarea propusă estimează secvența etapelor APT cu o precizie de predicție de cel puțin 91,80%. În plus, prezice următorul pas al campaniei APT cu o precizie de 66,50%, 92,70% și 100% pe baza a două, trei și, respectiv, patru alerte corelate.
(Parametri probabilistici ai unui model Markov ascuns (exemplu): X — afirmă; y — observații posibile; a — probabilitățile de tranziție de stare; b — probabilități de ieșire.)
Atacurile cibernetice au devenit mai răspândite și mai multe atacuri au făcut știri principale în ultimul deceniu, vizând companii industriale și organizații guvernamentale [1]. Aceste atacuri au cauzat pierderi financiare substanțiale și au putut împiedica funcționarea serviciilor publice de bază. În plus, de când a apărut Internetul lucrurilor (IoT), numărul de dispozitive conectate la internet este în creștere rapidă devenind ținte ușoare pentru atacurile cibernetice [2]. Costul global al criminalității cibernetice a atins acum 600 de miliarde de dolari, conform unui raport McAfee din 2018 [3]. Termenul de atac cibernetic se referă la activități criminale lansate prin internet, care vizează, de obicei, câștiguri financiare sau exfiltrarea datelor confidențiale. În plus, un atacator poate spiona și monitoriza organizația țintă și poate perturba funcțiile acesteia, din cauza motivației politice, ideologice sau criminale [4].
Pentru a atenua atacurile cibernetice, analiștii de securitate cibernetică depind în mare măsură de sistemele de detectare a intruziunilor (IDS) care pot detecta activități rău intenționate prin potrivirea tiparelor de atacuri cunoscute (adică bazate pe semnături) sau observând activitățile de anomalii (adică bazate pe anomalii) [5]. În IDS bazat pe semnături, detecția se bazează pe o comparație între datele/informațiile monitorizate și o bază de date de semnături. Această bază de date conține o listă de semnături de atac cunoscute. Dacă se găsește o potrivire, datele/informațiile monitorizate sunt raportate ca fiind rău intenționate și se declanșează o alertă. În IDS bazat pe anomalii, detectarea se bazează pe o comparație între activitatea monitorizată și un profil de referință. Acest profil de bază este construit în cadrul fazei de antrenament și se stabilește un prag. Orice abatere pentru activitatea monitorizată de la profilul de bază este considerată rău intenționată.
Atacurile în mai multe etape (MSA) sunt o amenințare de securitate cibernetică în care campania de atac se desfășoară în mai multe etape. În ultimii ani, Advanced Persistent Threats (APT) au apărut ca o versiune sofisticată a MSA [6]. Acest tip de amenințare cibernetică este condusă de infractori cibernetici cu înaltă calificare și motivație, având ca scop spionajul și exfiltrarea datelor. Individual, fiecare etapă APT poate apărea ca una benignă și nu ridică nicio suspiciune. În plus, atacul poate dura săptămâni sau ani, în timp ce exfiltrează datele țintei fără a fi detectat. Detectarea unui APT necesită un IDS pentru a corela mai multe alerte în timpul ciclului de viață APT pentru a dezvălui campaniile de atac, adică pentru a reconstrui scenariul de atac [7]. Metodele tradiționale de potrivire a modelelor nu sunt aplicabile pentru detectarea APT, deoarece aceste metode necesită ca toate acțiunile posibile să fie bine definite. Din păcate, acesta nu este cazul unui APT din mai multe motive. De exemplu, nu există o secvență specifică de etape pentru a realiza campania de atac. Un atacator nu trebuie să urmeze o ordine precisă a etapelor. Dimpotrivă, atacatorul trebuie să adapteze implementarea unei campanii APT de succes la caracteristicile reale și configurația actuală a sistemului vizat. Tehnicile utilizate în timpul acestui proces pot varia de la instrumente de penetrare preexistente și binecunoscute până la software unic și personalizat. În plus, există mulți factori care ar putea opri campania APT și nu există un anumit punct în care un APT să se termine. Odată ce atacatorul preia controlul asupra unui sistem și informațiile au fost exfiltrate, atacatorul poate abandona atacul sau poate păstra accesul la sistem timp de luni sau ani după atacul inițial. În plus, detectarea uneia sau mai multor etape de APT poate fi ratată din cauza limitărilor tehnice ale dispozitivelor din rețea sau din cauza utilizării de către atacator a unor noi tehnici pentru a compromite vulnerabilitățile actuale sau noi. Aceste provocări au adus mult interes în cercetare și investiții în dezvoltarea de noi instrumente și abordări pentru detectarea APT.
Modelul Markov ascuns (HMM) este un model statistic utilizat pentru reprezentarea distribuțiilor de probabilitate pe secvențe de observații [8]. Acest model a fost utilizat în mai multe domenii, cum ar fi recunoașterea vorbirii [9], înțelegerea textului [10], identificarea imaginilor [11] și microbiologie [12]. HMM a fost, de asemenea, utilizat în [13], [14] pentru a antrena modele folosind traficul de rețea observat în condiții normale de rețea și pentru a detecta secvențele de deviere ale observațiilor de trafic.
Aceste deturnări pot indica anomalii ale rețelei, fie reale, fie rău intenționate. HMM-ul are potențialul de a detecta MSA chiar dacă un IDS nu detectează anumite etape ale atacului. Prin urmare, HMM abordează provocarea de a oferi informații complete despre campania de atac.
Un IDS nou pentru detectarea și predicția APT trece prin două faze principale, prima este pentru reconstrucția scenariului de atac, iar a doua fază este pentru predicția atacurilor. Prima fază a sistemului propus este prezentată în [15]. Aceasta a fost extinsă utilizând cea de-a doua fază a abordării propuse prin încorporarea HMM. Prima fază a acestei abordări realizează reconstrucția scenariului de atac pe baza tipului de alertă și a caracteristicilor spațiu-temporale. Această fază are un cadru de corelare pentru a lega alertele elementare care aparțin aceleiași campanii APT. Corelația se bazează pe potrivirea atributelor alertelor elementare care sunt generate într-o fereastră de timp configurabilă. A doua fază a abordării propuse este generarea de probabilități și predicția diferitelor etape ale APT. Această a doua fază, numită decodificarea atacului, utilizează HMM-ul pentru a determina secvența cea mai probabilă de etape APT pentru o anumită secvență de alerte corelate. Mai mult, această fază prezice următorul pas al campaniei APT pe baza observațiilor actuale și trecute și a probabilităților de tranziție ale modelului HMM.
HMM relevant a fost dezvoltat pentru predicția APT. Acest modul folosește algoritmul Viterbi pentru a determina secvența cea mai probabilă de etape APT pentru secvența alertelor corelate legate de cadrul de corelare în prima fază a IDS propus. Prognoza etapelor APT nu numai că dezvăluie ciclul de viață APT în etapele sale incipiente, dar ajută și la înțelegerea strategiilor și obiectivelor atacatorului. În plus, prezicerea următorului pas al atacatorului joacă un rol cheie în răspunsul la atac și permite echipei de securitate a rețelei să întreprindă acțiunile necesare înainte ca atacatorul să ajungă la etapa finală de exfiltrare a datelor.
Potențialul noii abordări HMM pentru APT este demonstrat utilizând date sintetice concepute cu grijă. Din cauza lipsei de date relevante disponibile public pentru scenariile APT, demonstrarea abordărilor HMM folosind datele sintetice, așa cum sunt disponibile în [16], va fi benefică pentru a stimula interesele de cercetare în continuare în comunitatea de cercetare.
Sursa: Ibrahim Ghafir, Konstantinos G. Kyriakopoulos, Sangarapillai Lambotharan, Francisco J. Aparicio-Navarro, Basil Assadhan4, Hamad Binsalleeh, And Diab M. Diab, ”Hidden Markov Models and Alert Correlations for the Prediction of Advanced Persistent Threats”, În IEEE Access, Volume 7, 2019, licența CC BY 4.0. Traducere și adaptare © 2023 Nicolae Sfetcu
Lasă un răspuns