Frondeur Labs, DistrectedApps.ai ve OWASP’den bir araştırmacı ekibi, savunucuların siber öldürme zincirinin aşamalarında saldırgan davranışını öngörmesine yardımcı olmak için tasarlanmış yeni bir makine öğrenme çerçevesi geliştirdi. Çalışma, makine öğrenimi modellerinin nasıl düşman tekniklerini tahmin edebileceğini ve yapılandırılmış saldırı yolları oluşturabileceğini araştırıyor.
Att & ck’yi öldürme zinciriyle birleştirmek
Lockheed Martin tarafından tanıtılan siber öldürme zinciri, saldırıları yedi aşamaya ayırıyor: keşif, silahlanma, teslimat, sömürü, kurulum, komuta ve kontrol ve hedefler üzerindeki eylemler. Şimdi sektörde yaygın olarak kullanılan MITER ATT & CK çerçevesi, rakipler tarafından kullanılan gerçek dünya taktiklerini ve teknikleri kataloglar. Araştırmacılar, saldırganların bir saldırıda adım adım nasıl hareket ettiğini incelemek için iki modeli birleştirdiler.
Projenin amacı statik algılama kurallarının ötesine geçmekti. Geleneksel araçlar genellikle yeni veya uyarlanmış saldırı yöntemlerini, özellikle sıfır gün veya polimorfik kötü amaçlı yazılım içerenleri kaçırır. Yazarlar, öngörücü, aşamalı bir yaklaşımın güvenlik ekiplerine bir saldırganın nereye gidebileceğine dair daha iyi bir görüş verebileceğini savunuyorlar.
Modeller ve grafikler üzerine inşa edilmiş bir çerçeve
Çerçevelerini oluşturmak için, ekip ilk olarak ATT & CK’den Saldırı-Bert adlı özel bir dil modeli kullanarak siber öldürme zincirinin aşamalarıyla eşleştirdi. Bu, saldırının her aşaması için ayrı veri kümeleri üretti. Daha sonra bu veri kümelerinde dört tür makine öğrenimi modeli eğittiler: gradyan artırma modeli (LightGBM), özel bir transformatör kodlayıcı, Bert’in ince ayarlı bir versiyonu ve bir grafik sinir ağı. Son olarak, çıktıları her modelin güçlü yönlerinden yararlanan ağırlıklı bir topluluğa birleştirdiler.
Çerçevenin önemli bir kısmı grafik bileşenidir. Her model olası teknikleri tahmin ettikten sonra, sonuçlar anlamsal benzerlik kullanılarak aşamalar arasında bağlanır. Uygulamada bu, sistemin erken keşif tekniklerini sömürü veya veri hırsızlığı gibi daha sonraki eylemlerle ilişkilendirebileceği ve potansiyel saldırı yolları haritası üretebileceği anlamına gelir. Çıktı, sadece bir dizi izole edilmiş uyarıdan ziyade bir saldırının nasıl ortaya çıkabileceğini gösteren yorumlanabilir bir grafiktir.
Laboratuvar sonuçlarından SOC gerçeklerine kadar
Değerlendirmelerinde, topluluk yaklaşımı bireysel modelleri sürekli olarak ortaya koymuştur. Sadece grafik sinir ağı üzerindeki kazanımlar küçüktü, ancak öldürme zincirinin tüm aşamalarında sabitti. Araştırmacılar, yanlış pozitiflerde veya yanlış negatiflerde mütevazı bir azalmanın bile, analistlerin sınırlı zaman ve kaynaklara öncelik vermesi gereken güvenlik operasyon merkezleri için önemli olabileceğini belirtiyorlar. Operasyonel bir bakış açısından, bu, toplulukları makine öğrenme sistemlerinden artımlı güvenilirliği sıkmanın bir yolu olarak kullanma durumunu sağlar.
Makalenin ortak yazarı Ken Huang, net güvenliğe yardımcı olmak için, çerçevenin daha az geleceği ve daha fazlasını bir bağlam motoru olarak bilen bir tahmin motoru olarak görülmesi gerektiğini açıkladı. Değerini “bir bağlam motoru, asla olmaması gereken sihirli bir sekiz top” olarak nitelendirdi. Ona göre, en acil kullanım durumu, tehdit avcıları için bir hipotez jeneratörüdür. “Bir genç analist, tek bir son noktada şüpheli bir Powershell infazını görebilir. Kendi başına reddedilebilir. Bu çerçeve ile sistem, saldırganların bir sonraki adım atabileceğini önerebilir, bu da analiste ne yapacağını tahmin etmek yerine somut şeyler sağlar.”
Huang ayrıca bunu insan yargısının yerini almak yerine uyarıları zenginleştirmenin bir yolu olarak görüyor. “Bunu, uyarıları otomatik olarak belirlemek için kullanmaya karşı dikkatli olurum. Bunun yerine, başarısız bir giriş girişimini daha önceki keşif faaliyeti ile bağlayabilir ve bu zinciri analiste işaretleyebilir. İnsan hala çağrıyı yapıyor, ancak şimdi bu uyarının neden önemli olabileceğini anlıyorlar.” Tespitin ötesinde, aracın mor ekiplere kendi ortamlarına dayanan makul saldırgan yollarını göstererek daha gerçekçi esneklik testi de şekillendirebileceğini öne sürdü.
Makale ayrıca ödünleşmeleri de kabul ediyor. Paralel olarak birden fazla model çalıştırmak karmaşıklığı ve kaynak taleplerini artırır. Yazarlar, bunun bir saldırganın bir sonraki hareketini kaçırma maliyetinin ekstra hesaplama yükünden çok daha yüksek olabileceği proaktif tehdit tahminleri gibi görevler için kabul edilebilir olabileceğini savunuyorlar.
Yine de, araştırmadan uygulamaya geçmek basit olmaktan uzaktır. Huang, gerçek dünya verilerinin bu çalışmada kullanılan temiz veri kümelerinden yoksun sorunlar getirdiğini kaydetti. “En büyük en büyük engel, veri hadesi sorunu dediğim şeydir. Laboratuarda tekniklerin anlatı açıklamaları vardı. Üretimde, genellikle tutarsız zaman damgalarıyla farklı formatlarda, genellikle eksik bir ham kütük ateşli bir ateşhozunuz var. Tüm bunları MITER ATT & CK tekniklerine normalleştirmenin açık çalışması kitlesel bir mühendislik görevidir.”
Örgütsel bağlamın başka bir zorluk olduğunu da sözlerine ekledi. “Modelimiz, bir sunucunun bir taç mücevher olduğunu ve diğerinin bir sanal alan olduğunu bilmiyor. Bir insan analisti farkı anında anlarken, aynı uyarı model tarafından aynı şekilde ele alınacaktır. Bu bağlam üstte katmanlı olmalıdır.”
Huang ayrıca Concept Drift ve Analist Trust hakkında da uyardı. “Geçmiş saldırılara eğitim verdik. En gelişmiş rakipler sürekli yenilik yapıyorlar. Model, yeni istismarlara değil ortak tehditlere karşı en güçlü olacak. Ve herhangi bir sistem gibi, yanlış pozitifler üretecektir. Eğer analistler güven kaybediyorlarsa, onları vahşi kaz kovalarına göndermeye devam ediyorsa, tamamen göz ardı edilmek riskindedir.”
Cisos şimdi ne yapmalı
Cisos için bu, şimdi ne yapılması gerektiği sorusunu gündeme getiriyor. Huang, tahmini araçlar satın almayı ve bunun yerine temellere odaklanmayı acele etmeyi tavsiye etti. “Veri hijyeni’nin gözetsiz çalışmasını şimdi başlatın. Tüm güvenlik verilerinin merkezi olarak günlüğe kaydedilmesini, normalleştirilmesini ve toplama noktasında ATT & CK ile eşleştirilmesini zorunlu kılmak. Bu hemen işe yarıyor ve herhangi bir öngörücü sistemin ihtiyaç duyduğu temeldir.”
Ayrıca insan iş akışlarının ve becerilerinin önemini vurguladı. “Teknolojiyi getirmeden önce, süreci tanımlamadan önce. Model bir saldırı yolu önerdiğinde, bunu doğrular ve olay yanıtınıza nasıl bağlanır? Ve sadece AI uzmanlığı için işe almıyor. Tren analistlerinin model çıktısının kritik tüketicileri olmalarını öğretin.
Sonuçlar umut verici olsa da, araştırmacılar bunları erken bir adım olarak tanımlamaya dikkat ediyorlar. Modeller, canlı ağ verileri yerine MITER ATT & CK açıklamalarından oluşturulan küratörlü veri kümelerinde test edilmiştir. Bir sonraki zorluk, saldırganların hızlı bir şekilde adapte olduğu ve gürültü seviyelerinin çok daha yüksek olduğu üretim ortamlarına entegrasyon. Ekip, sistemi gerçek zamanlı tehdit istihbaratı ile besleme ve otomatik SOC boru hatlarına gömme potansiyeli görüyor.