AMIDES Yeni Siber Saldırı Çeşitlerini Tespit Ediyor

Siber saldırı ve endüstriyel casusluk tehdidi 2024 yılında daha da artmıştır. Bitkom dijital derneği tarafından yapılan bir araştırmaya göre, Almanya'daki her on şirketten sekizi veri hırsızlığı ve benzeri saldırıların kurbanı olmuştur. Ağ izinsiz girişlerinin verdiği zarar milyarlarca avroya ulaşıyor. Ancak sorun şu ki, saldırıların doğası ve bunları gerçekleştirmek için kullanılan yöntemler sürekli değişim halinde ve saldırganlar genellikle tespit edilmekten kaçınmak için yalnızca küçük değişiklikler yapıyor. Sonuç olarak, hırsızlık ve tahrifat genellikle çok geç olana kadar fark edilmez.

Açık kaynaklı sistem, uyarlanabilir kötüye kullanım tespiti yoluyla imza atlatmayı tespit ediyor
Şimdiye kadar, kuruluşlardaki siber saldırıların tespiti, öncelikle güvenlik uzmanları tarafından bilinen saldırılar temelinde yazılan imzalara dayanıyordu. Bu imzalar bir SIEM sisteminin en önemli parçasıdır. Ancak Bonn'daki Fraunhofer FKIE'deki araştırmacılar, saldırganların bu türden birçok imzayı atlatmasının kolay olduğunu keşfettiler. Anomali tespiti adı verilen ilgili bir alandaki yöntemler, imza atlatmalarına rağmen saldırıları tespit etmek için bir alternatif olarak kullanılabilse de, bu yaklaşım sıklıkla çok sayıda yanlış alarm verir - aslında o kadar çok ki, hepsi araştırılamaz bile. Bu sorunu çözmek için Fraunhofer FKIE'deki araştırmacılar, mevcut imzalara benzeyen ancak onlarla tam olarak eşleşmeyen saldırıları tanımlamak için makine öğrenimine dayanan bir sistem geliştirerek pratik bir denge kurmaya başladılar. Çözümleri olan Uyarlanabilir Kötüye Kullanım Tespit Sistemi (AMIDES), potansiyel kural kaçamaklarını tespit etmek için denetimli makine öğrenimini kullanırken aynı zamanda yanlış alarmları en aza indiriyor. Ücretsiz olarak kullanılabilen açık kaynak kodlu yazılım (aşağıdaki bağlantıya bakınız) öncelikle merkezi güvenlik izleme sistemleri ve yapıları olan ve şimdi bunları geliştirmek isteyen daha büyük kuruluşları hedeflemektedir.

Fraunhofer FKIE'de araştırmacı ve Saldırı Tespit ve Analiz araştırma grubu başkanı olan Rafael Uetz, “İmzalar kurumsal ağlardaki siber saldırıları tespit etmenin en önemli yoludur, ancak sihirli bir mermi değildir” diyor. “Kötü niyetli faaliyetler genellikle saldırıyı biraz değiştirerek fark edilmeden gerçekleştirilebilir. Saldırganlar ne yaptıklarını gizlemek ve tespit edilmekten kaçınmak için komut satırlarına sahte karakterler eklemek gibi çeşitli teknikler kullanırlar. Saldırgan komutu özellikle yazar, böylece imza onu bulamaz” diyerek siber suçlular tarafından kullanılan taktikleri açıklıyor. AMIDES işte bu noktada devreye giriyor: Yazılım, yeni başlatılan programların komut satırı gibi güvenlikle ilgili olaylardan özellikler çıkarıyor. Daha sonra makine öğrenimi, tespit kurallarıyla eşleşenlere benzeyen ancak tam olarak eşleşmeyen komut satırlarını tanımlamak için kullanılır. AMIDES bu durumda bir alarm tetikleyecektir. Yazarlar bu yaklaşımı uyarlanabilir kötüye kullanım tespiti olarak adlandırmaktadır, çünkü öncelikle ortamın normalde nasıl davrandığı konusunda eğitilerek hedef ortama uyum sağlar, böylece potansiyel saldırıları zararsız olaylardan doğru bir şekilde ayırabilir.

Uyarlanabilir kötüye kullanım tespiti kural ilişkilendirmesine izin verir
Potansiyel suiistimal uyarılarını başlatma seçeneğinin yanı sıra yeni yaklaşım, araştırmacıların kural ilişkilendirme adını verdikleri bir işlev de sunuyor. Kötüye kullanımı tespit etmek için geleneksel bir kural tetiklendiğinde, kurallar normalde imzalara ek olarak anlamlı bir başlık ve bir açıklama içerdiğinden, bir analist ne olduğunu bulmak için kuralı kolayca görüntüleyebilir. Ancak makine öğrenimine dayalı birçok sistem bu avantajdan yoksundur, bunun yerine daha fazla bağlam olmadan yalnızca bir uyarı üretir. Uyarlanabilir kötüye kullanım tespiti SIEM tespit kurallarından öğrendiği için, hangi özelliklerin hangi kurallarda yer aldığına dair bilgiler eğitim sırasında mevcuttur ve AMIDES'in hangi kurallardan kaçınılmış olabileceğini ölçmesine olanak tanır.

AMIDES, bir Alman devlet kurumundan alınan gerçek dünya verileri kullanılarak yapılan kapsamlı testlerle değerlendirilmiştir. Uetz şu yorumu yapıyor: “Bu testler, çözümümüzün ağ izinsiz girişlerinin tespitini önemli ölçüde geliştirme potansiyeline sahip olduğunu gösterdi.” Varsayılan hassasiyet seviyesine ayarlanan AMIDES, yanlış alarmları tetiklemeksizin kaçınma girişimlerinin yüzde 70'ini tespit etmeyi başardı. Hız söz konusu olduğunda, ölçümler sistemin çok büyük kurumsal ağlarda bile canlı çalışma için yeterince hızlı olduğunu gösteriyor.