Индикаторы атак на основе искусственного интеллекта позволяют максимально быстро прогнозировать и останавливать угрозы

Недавно CrowdStrike представила следующую эволюцию первой в области IOA (Indicators of attack): индикаторы атак на основе искусственного интеллекта (AI). Сразу доступные клиентам IOA на базе искусственного интеллекта генерируются моделями машинного обучения в облаке, использующими масштабный объем данных телеметрии CrowdStrike Security Cloud — механизм, обеспечивающий наибольшую долю рынка развернутых датчиков в сфере корпоративной безопасности; и опыт элитных команд по поиску угроз CrowdStrike, чтобы предусмотреть и заранее защитить от новых классов угроз. Этот этап расширяет подход к объединению искусственного интеллекта и человеческого опыта (как это сделано с CrowdStrike Falcon OverWatch) для обеспечения непревзойденной защиты.

Индикаторы атак, созданные искусственным интеллектом, укрепляют существующую защиту (рис. 1) с помощью облачного машинного обучения и обнаружения угроз в реальном времени. Эти данные используются для анализа событий при работе программы и динамической передачи индикаторов атак на сенсор. Клиент CrowdStrike затем соотносит сгенерированные AI индикаторы атак (данные о поведенческих событиях) с локальными событиями и данными файлов, чтобы оценить степень опасности. IOA на основе искусственного интеллекта работают асинхронно вместе с имеющимися уровнями защиты сенсоров, включая машинное обучение на основе сенсоров и уже имеющимися индикаторами.

Рисунок 1. IOA на базе искусственного интеллекта, сгенерированные облачными моделями машинного обучения, основанными на богатой телеметрии CrowdStrike Security Cloud

Основные преимущества IOA на основе искусственного интеллекта

• Выявление новых классов угроз быстрее, чем когда-либо: будьте на шаг впереди злоумышленников, предусматривая изменение методов деятельности и обеспечивая проактивную локальную защиту, работающую вместе с существующими уровнями защиты.
• Автоматизированная профилактика атак с помощью высокоточного обнаружения: облачные модели искусственного интеллекта обмениваются индикаторами атак с сенсором CrowdStrike Falcon в режиме реального времени, чтобы остановить атаки, независимо от специфики вредоносного ПО или используемых инструментов.
• Зменшення кількості помилкових спрацьовувань і підвищення продуктивності: вооруженные экспертным опытом и активированные в масштабе облака, IOA на основе искусственного интеллекта синтезируют информацию от всемирно известной команды поиска угроз CrowdStrike, чтобы свести к минимуму количество ошибочных срабатываний, с которыми приходится иметь дело с командами безопасности. Это помогает максимизировать производительность аналитиков и обеспечивает автоматизированный поиск угроз в больших масштабах.

Что такое индикаторы атаки?

Индикаторы атак (IOA) — это последовательности наблюдаемых событий, указывающие на активную или продолжающуюся попытку взлома системы (например, выполнение кода, персистентность или боковое движение). Впервые внедрены в отрасль компанией CrowdStrike. Отслеживание событий по последовательности позволяет аналитикам определить, как злоумышленники сначала получают доступ к сети, а затем быстро заключить их мотивацию или цели. Отслеживая основные моменты злонамеренной деятельности на поверхности атаки, IOA позволяют аналитикам составить полную картину атаки, независимо от типа вредоносного программного обеспечения или используемых инструментов. Кроме предупреждения об активных атаках, IOA применяют расширенный анализ поведения для моделирования и прогнозирования действий злоумышленника, обеспечивая улучшенную защиту будущих атак.

Фокус на IOA дает клиентам многочисленные преимущества по сравнению с использованием только индикаторов компрометации (Indicators Of Compromise, IOC). Во-первых, IOA позволяет клиентам выявлять атаки до или во время их появления, а не после того, как система была скомпрометирована, обеспечивая таким образом проактивную и превентивную стратегию защиты. Полагаясь исключительно на IOC, организация всегда будет шагать позади злоумышленника, поскольку они предупреждают аналитиков о присутствии хакера уже после того, как системы были скомпрометированы (реактивный подход).

Рисунок 2. Индикаторы компрометации и показатели атаки CrowdStrike

Во-вторых, сосредоточиваясь на злонамеренных мотивах, а не на конкретных вредоносных программах или используемых инструментах, IOA позволяют клиентам адаптироваться к новым классам атак и изменению методов злонамеренной деятельности. Например, атаки без использования вредоносного ПО или бесфайловые атаки, на которые приходится 62% атак за прошлый год.

Наконец, поскольку IOA является универсальным по своей природе, их можно анализировать параллельно (обеспечивая как эффективность вычислений, так и масштабируемость), и их не нужно обновлять так часто, как подходы на основе сигнатур (как и в случае с IOC).

Расширение возможностей IOA с помощью искусственного интеллекта

До этого времени процесс создания IOA в основном полагался на прикладной опыт всемирно известных охотников за угрозами, в результате чего мы получали очень сложные и высокоточные индикаторы. Чтобы клиенты могли опережать угрозы завтрашнего дня, процесс обнаружения и классификации активных атак должен превышать скорость киберзлоумышленников без потери невероятной точности IOA, созданных экспертами. Чтобы достичь этого, CrowdStrike объединила человеческий опыт и машинное обучение, чтобы расширить возможности по выпуску IOA и и повысить качество созданных экспертами IOA, делая обнаружения еще более комплексными и проактивными, сохраняя при этом высокий уровень точности.

Используя мощность CrowdStrike Security Cloud для обучения этих образцов на облачной платформе CrowdStrike Falcon модели машинного обучения могут синтезировать огромные объемы анализа угроз с непревзойденной скоростью, масштабом и точностью. Внедряя мощность облачного машинного обучения в процесс разработки IOA, клиенты продолжают извлекать выгоду от проактивных, высококачественных сигналов, предоставленных IOA, теперь со скоростью и масштабом облака.

Примеры IOA на основе искусственного интеллекта

С момента запуска в производство облачные модели машинного обучения точно определили более 20 новых шаблонов индикаторов, которые затем подтвердили эксперты и применили на платформе Falcon для автоматизированного обнаружения и предотвращения. Ниже мы рассмотрим два примера обнаруженных тактик противника, которые привели к появлению новых IOA для полезных нагрузок после эксплуатации и атак PowerShell.

Post-Exploitation Payload Detections

Post-Exploitation Payload (Полезная нагрузка после эксплуатации) – это код, который злоумышленник передает хосту после получения исходного доступа. Этот Payload может быть разным: от C&C маяка до сложной ransomware-угрозы. IOA на основе искусственного интеллекта идентифицируют их, совмещая исходные данные статической модели искусственного интеллекта сенсора Windows с запускаемым файлом и со знаниями, доступными только через CrowdStrike Security Cloud. К примеру, добавить информацию о происхождении процесса и способах его запуска. Благодаря этим дополнительным данным можно добиться невероятной точности обнаружения и подробных индикаторов, что превышает показатели, которые достигаются только с помощью статического или поведенческого подхода. Известные группы злоумышленников, связанные с этими методами атаки – CARBON SPIDER, WIZARD SPIDER, PRIMITIVE BEAR і VENOMOMUS BEAR.

PowerShell IOA глазами искусственного интеллекта

Злоумышленники часто используют PowerShell для доставки шелкода (или таких инструментов как Mimikatz) или для выполнения вредоносных действий, когда IOC никогда не будет на диске. Эти типы атак труднее идентифицировать, а традиционные методы на основе сигнатур легко обойти, изменив сценарий или командную строку.

Используя мощность моделей глубокого обучения для автоматического извлечения наиболее релевантных разделов кода из сценариев PowerShell, можно идентифицировать безфайловые угрозы, управляемые PowerShell, и защититься от них. Этот искусственный интеллект научен «читать» сценарии PowerShell и понимать разницу между допустимыми и злонамеренными потоками кода. Он может понимать закодированные и замаскированные сценарии быстрее и таким образом, который не доступен человеку, благодаря чему обеспечивается проактивное высокоточное обнаружение, труднее обойти злоумышленникам. В известные группы хакеров, которые использовали PowerShell для организации атак, входят CYBER SPIDER, OCEAN BUFFALO, HELIX KITTEN і STONE PANDA.

Вывод

Машинное обучение остается критически важным инструментом для выявления новых закономерностей в данных и проведения углубленного анализа поведения, для понимания намерений и целей злоумышленников. Компания CrowdStrike, лидер в области облачной защиты конечных точек, облачных рабочих нагрузок, идентификации и данных, намерена продолжать использовать совокупную мощь искусственного интеллекта и облачных технологий для повышения эффективности защиты, противодействия методам работы злоумышленников и оказанию клиентам помощи в прекращении взломов.

iIT Distribution обеспечивает продвижение и дистрибуцию решений компании CrowdStrike в Украине. Мы стремимся к тому, чтобы наши клиенты были вооружены лучшими мировыми решениями по киберзащите.