CrowdStrike zapowiedział udostępnienie nowych, opartych na sztucznej inteligencji modeli wskaźników ataków (IoA) zaprojektowanych do zwalczania zaawansowanych metod cyberprzestępczych.
IoA oparte na sztucznej inteligencji wskaźniki wykorzystują nauczanie maszynowe do powstrzymywania naruszeń, wykrywając i przewidując jednocześnie złośliwe wzorce zachowań w czasie rzeczywistym, niezależnie od używanych narzędzi lub złośliwego oprogramowania.
CrowdStrike stosuje sztuczną inteligencję w 3 praktycznych kategoriach
- do zwalczania coraz bardziej wyrafinowanych ataków poprzez identyfikację zachowań przeciwników i wzorców zagrożeń,
- rozwiązywania wyzwań związanych z danymi w hiperskali poprzez szybką i skalowalną analizę danych wywiadowczych oraz telemetrii zagrożeń,
- zniwelowania niedoboru umiejętności w zakresie cyberbezpieczeństwa poprzez wykorzystanie sztucznej inteligencji do automatyzacji powtarzalnych zadań oraz wykrywania i reagowania na zagrożenia.
Wśród obszarów, w których CrowdStrike jest pionierem, znajdują się pierwsze w branży, oparte na sztucznej inteligencji wskaźniki ataków (IOA). Koncepcja ta została wprowadzona po raz pierwszy przez CrowdStrike . IOA czyli sekwencja zaobserwowanych zdarzeń, które wskazują na aktywną próbę naruszenia systemu (np. wykonanie kodu, ruch poziomy (lateral movement)). Analizując te zdarzenia i procesy na całej powierzchni ataku, IOA umożliwiają organizacjom zastąpienie izolowanych punktów między narzędziami w celu holistycznego badania ich środowisk, umożliwiając im lepsze przewidywanie i zapobieganie wskaźnikom podejrzanej aktywności oraz odkrywanie wyrafinowanych metod działania przeciwników.
W ubiegłym roku przyspieszony został proces generowania IOA wraz z wprowadzeniem IOA opartych na sztucznej inteligencji. Zastosowanie mocy natywnej dla chmury inteligencji maszynowej w procesie generowania IOA pozwoliło zwiększyć szybkość wykrywania nowych wzorców zachowań przy jednoczesnej radykalnej poprawie precyzji modeli. Wykorzystywane jest uczenie się poprzez konwolucyjne sieci neuronowe, służące do odkrywania i przewidywania nowych przeciwstawnych wzorców.
Arsenał się rozszerza: Nowe wskaźniki ataku oparte na sztucznej inteligencji
Cyberprzestępcy nieustannie rozwijają swój warsztat, tworząc nowe skrypty, przejmując legalne narzędzia i odkrywając nowe metody unikania wykrycia. Według raportu CrowdStrike 2023 Global Threat Report, 71% ataków nie zawiera złośliwego oprogramowania, a 80% ataków wykorzystuje skradzione lub przejęte dane uwierzytelniające.
Cyberprzestępcy znajdują nowe sposoby na uzyskanie wstępnego dostępu i osiągnięcie pobliskich hostów (Lateral Movement). Wykonują to szybciej niż kiedykolwiek wcześniej, z nowym średnim czasem przełamania wynoszącym 84 minuty. Nowe klasy IOA oparte na sztucznej inteligencji rozszerzają zasięg zabezpieczeń na wiele nowych wektorów ataku, aby zapewnić zespołom bezpieczeństwa szybkość i precyzję potrzebną do powstrzymania przeciwników.
Nowe innowacje zawierają następujące elementy:
Innowacja: Wieloprocesowa analiza potencjalnie niegroźnych zachowań w systemie Windows
Zachowanie potencjalnie niegroźne to operacja wykonywana przez proces, która nie jest wystarczająco złośliwa, aby spowodować wykrycie, ale może wskazywać na aktywność przeciwnika. Na przykład wykonanie zrzutu ekranu może być złośliwe, ale może być również nieszkodliwe. Falcon wykorzystuje wskaźniki ataku, wskaźniki kompromitacji i wskaźniki zachowania, które są wysyłane do chmury w celu zainicjowania incydentów CrowdScore i określonych kombinacji zachowań potencjalnie niegroźnych w celu wsparcia wykrywania. Istnieje jednak duża liczba zachowań potencjalnie niegroźnych, które nie są przechowywane w chmurze ani nie istnieją jako wykrycia. Dane te dostarczają bogatych informacji dla silników uczenia maszynowego.
Przeciwnicy często wykorzystują wiele narzędzi, formatów plików i procesów do organizowania ataków w środowisku docelowym. Obserwowanie aktywności w jednym narzędziu lub procesie może nie zapewniać wystarczającego kontekstu, aby z całą pewnością stwierdzić, czy jest ona łagodna, czy złośliwa. Badając zachowania wielu procesów, model ten wykorzystuje bogaty kontekst zebrany przez platformę, aby zapewnić jeszcze większą pewność wykrywania.
Wpływ na klienta i korzyści: Zwiększone proaktywne wykrywanie i zapobieganie wszystkim typom zagrożeń.
Innowacja: Wykrywanie złośliwych linii poleceń i LOLBinów
Cyberprzestępcy coraz częściej wykorzystują binaria typu living-off-the-land (LOLBins) do przejmowania natywnych, legalnych narzędzi systemów docelowych w celu przeprowadzania ataków. Metody te pozwalają cyberprzestępcom łatwo ominąć tradycyjne narzędzia bezpieczeństwa, które polegają na wykrywaniu znanych sygnatur złośliwego oprogramowania, umożliwiając im przebywanie w środowiskach ofiar przez dłuższy czas. Ten nowy model ukierunkowany będzie na LOLBiny poprzez badanie anomalii w wykonywaniu wiersza poleceń i analizowanie połączonych sekwencji procesów potomnych, nadrzędnych i podrzędnych w celu skuteczniejszego wykrywania podejrzanej aktywności.
Wpływ na klienta i korzyści: Przyspieszony czas wykrywania i reagowania na ataki bezplikowe wykorzystujące złośliwe wiersze poleceń i LOLBiny.
Innowacja: IOA oparte na sztucznej inteligencji dla złośliwych skryptów Linux
Linux jest jednym z podstawowych systemów operacyjnych dla wielu krytycznych aplikacji biznesowych. Wraz ze wzrostem popularności Linuksa i złośliwego oprogramowania ukierunkowanego na Linuksa, ta oparta na sztucznej inteligencji IOA umożliwi Falconowi wykrywanie złośliwych skryptów w kilku formatach. Skrypty Linux, Bash, JavaScript, Python i Perl pozwalają nam zapewnić bardziej kompleksowe pokrycie w głównych systemach operacyjnych. Model ten będzie również wykrywał złośliwe skrypty Python i wsadowe w środowiskach Windows.
Wpływ na klienta i korzyści: Nowa widoczność i proaktywne pokrycie złośliwych skryptów na punktach końcowych opartych na systemach Windows i Linux.
Innowacja: Wykrywanie złośliwej zawartości Windows MultiScript
Cyberprzestępcy często modyfikują i zaciemniają skrypty, aby uniknąć wykrycia. Ten model pozwoli celować w taktyki, techniki i procedury ataków, ukierunkowanych na typy skryptów PowerShell, JavaScript, VBScript i VBA obsługiwane przez Windows ScriptControl, z odpornością na metody zaciemniania, takie jak modyfikowanie rejestrów debuggera i inne taktyki.
Wpływ na klienta i korzyści: Nowa widoczność i proaktywne pokrycie dla powszechnie używanych typów skryptów specyficznych dla systemu Windows.
Innowacja: Wykrywanie bezplikowych zestawów .NET
Wraz z powszechnym przyjęciem przez deweloperów frameworków .NET, uruchomiony został pierwszy model uczenia maszynowego przeznaczony do przewidywania aktywności cyberprzestępców na zestawach.NET w pamięci. Zestawy .NET w pamięci są atrakcyjne dla cyberprzestępców, ponieważ są trudniejsze do wykrycia za pomocą tradycyjnych rozwiązań antywirusowych, które monitorują głównie działania oparte na plikach. Model ten pomaga wykrywać niektóre z powszechnych technik cyberprzestępców wykorzystywanych w tych atakach, takich jak użycie zastrzyków DLL do ładowania zestawów .NET bezpośrednio w pamięci lub ukrywanie artefaktów pozostawionych przez ich działania przy użyciu atrybutów plików NTFS.
Wpływ na klienta i korzyści: Proaktywne, oparte na sztucznej inteligencji pokrycie złośliwych ataków bezplikowych przy użyciu .NET.
Podsumowanie
Uczenie maszynowe i sztuczna inteligencja to potężne narzędzia do wykrywania pojawiających się wzorców w danych i przeprowadzania dogłębnej analizy behawioralnej w celu zrozumienia intencji i celów przeciwników. CrowdStrike bardzo mocno stawia na rozwój i korzysta z połączonej mocy sztucznej inteligencji i chmury w celu wzmocnienia obrony, obalenia metod działania cyberprzestępców i pomagania klientom w wyprzedzaniu ich o krok w celu powstrzymania naruszeń.
Zobacz także:
Potęga rozwiązania VMware SD-WAN by VeloCloud – Dynamic Multipath Optimization (DMPO)
Dynamic Multi-path Optimization (DMPO) Potężne rozwiązanie VMware SD-WAN by VeloCloud (zwane również VMware NSX SD-WAN) umożliwia przedsiębiorcom klasy Enterprise oraz oczywiście mniejszym organizacjom jak najlepsze jednoczesne wykorzystanie posiadanych łączy WAN (w...
Ridgebot
Czym jest Ridgebot? RidgeBot, stworzony przez firmę Ridge Security, to w pełni zautomatyzowany robot do testów penetracyjnych. Korzysta z technologii opartej na sztucznej inteligencji do oceny i identyfikacji luk bezpieczeństwa, obejmując nie tylko aplikacje, lecz...
Jak dobrze znasz swoją powierzchnię ataku? Pięć wskazówek, jak zmniejszyć ryzyko narażenia na ataki.
Czym jest powierzchnia ataku? Powierzchnia ataku to cały obszar organizacji lub systemu, który jest podatny na atak ze źródła zewnętrznego. Składa się ze wszystkich punktów dostępu, których nieautoryzowana osoba może użyć do wejścia do systemu. Obejmuje to wszystko,...
