Pahavarahiiglaste naasmine
Kui tänavu varem teatati populaarsest masinõppe tuvastusmootorist möödumine, purunesid kindlasti paljud masinõppe tehnoloogia hiilguse väärkujutlused. Möödumine koosnes mängutarkvarast tõmmatud “õnnelike ridade” lihtsast lisamisest mitmele pahavarafailile – toimimisviis, mida nimetatakse ülekatmiseks. Järelikult hoidsid sellised kurjad hiiglased nagu lunavara WannaCry ja SamSam tuvastamisest kiiresti kõrvale.
Uus masinõppest kõrvalehoidmise võistlus
Sellised juhtumid on tervitatavaks meeldetuletuseks vajadusele suurendada teadlikkust küberjulgeoleku masinõppe tegelikust olukorrast – nii selle eelistest kui ka puudustest. Selles vaimus võttis ESET-i tootejuht Jakub Debski ette raske asja ja osales masinõppe staatilisel kõrvalehoidmise võistlusel, mille korraldasid VMRay, Endgame ja MRG-Effitas läinud augustis. Vaatamata tihedale konkurentsile ja tehnilistele probleemidele sellel esmakordselt võõrustatud võistlusel pani Debski ESET-i uhkust tundma, kui saavutas parima tulemuse 133 punktiga 150-st. [Märkus: testimiskeskkonna probleemide tõttu vajab asetus ja punktisumma lõplikku ülevaatamist. Jälgige Endgame’i blogist peatseid ametlikke tulemusi.]
Võetud meetmed polnud lihtsad. 50 pahavara näidise muutmine, et vältida tuvastamist kolmelt masinõppe tuvastusmudelilt (kaks MalConvi mudelit ja üks EMBER LightGBMivi mudel), tagades samas pärast muutmist täielikult toimiva pahavara, pole mingi saavutus.
Esiteks avastas Debski, et ta saab manipuleerida pahavaraproovides päisekirjega, mis oli EMBERi liigiti jaoks eriti tugev funktsioon. Siin oli vaja kasutada kohandatud UPX-pakkijat ja käivitada seejärel hägustatud skript, et eksitada EMBER-i liigitit pahavara “healoomulise ilmega” olemuse kohta. UPX on piisavalt tavaline pakkija, mida paljud masinõppe mootorid ei suuda märgistada.
Võistluse teine osa püsis – kuidas saab ründaja kahest MalConvi masinõppe mudelist mööduda? Debski lisas pahatahtlikele näidetele mõned rekordilised “õnnelikud read” – vana hea ülekatte triki – mis lõpuks tõi kaasa võistluse lõpu.
Saate uurida Debski mänguülevaadet võistlusel siin.
Pärismaailma ründajad, kes suurendavad panuseid
Kindel on see, et ründajatel on oma arsenalis palju rohkem kui võistlustel lubatud lihtsaid kõrvalehoidmise viise. Võib-olla andis see “liigne ründajaks pidamine”, mis andis teistele konkurentidele kerge edumaa, enne kui Debski pani kõrvale oma “ründaja mütsi”, pani selga oma “mängija kampsuni” ja võttis end kokku võistluse maksimumpunktide saamiseks. Päriselu on segasem kui võistlused ja ründaja meetoditel pole mingeid piiranguid. Nii nagu Debski esialgsed äkkrünnakud võistlusel, otsiks ründaja tõenäoliselt kõigepealt turvakeskkonnas augu – mõtleks funktsiooniekstraktori nurjamist – kui mõjujõudu, et täielikult mööda hiilida paikapandud masinõppe tuvastuste mistahes kasulikust rakendusest.
Teise võimalusena võiks ründaja kasutada ka dünaamilisemat lähenemisviisi, kasutades automaatekstraktoreid ja kukutajaid, mis hõlbustavad kiiresti mööda minna igasugustest staatilistest masinõppe mudelitest, nagu sellel võistlusel kasutatakse. Kuna staatiline analüüs on piiratud teatava ajahetkega, ei suuda see paljastada viiteajaga automaatekstraktorisse peidetud nurjatut käitumist. Pealegi, kui andmed on tihendatud ja/või krüptitud automaatekstraktori sees, ei suuda see ekstraktida midagi kasulikku – kõik on vaid müra. Masinõppe algoritmi koolitamine tuvastamaks kõiki automaatekstraktoreid – mis tavaliselt sisalduvad puhaste rakenduste installerites – põhjustaks ka liigselt valepositiivseid tulemusi.
Täiusta, kihita ja kaitse
Lõppkokkuvõttes näitas see masinõppe võistlus ebakindlust, kui panustate kogu oma raha ühele hobusele – masinõppele. Tõdeded kasutusvalmis masinõppest kõrvalehoidmise meetodite laia levikut, pöörab ESET suurt tähelepanu pädevate ja kogenud pahavaraanalüütikute kasutamisele, et täiendada ja tagada, et masinõppe tuvastamise algoritmid ei jääks nende enda müstiliste mahhinatsioonide meelevalda.
Seetõttu on masinõppe mootori ehitamine pahavara tuvastamiseks, nagu ESET-i Augur, ESET-i seisukohalt jätkuv vastutus. Masinõppe mootorit tuleb pidevalt uuendada, sest pahatahtlike toimijate käitumine muutub järjest keerukamaks ja loomingulisemaks. Need värsked andmed on ülioluline sisend iga masinõppe tuvastamise mootori kvaliteedi puhul. ESET-is oleme veetnud kolm aastakümmet “mootori kallal nokitsemisega”, et vähendada valepositiivsusi ja möödalaskmisi.
Teine meetod masinõppe tuvastamise parandamiseks on tagada, et pakite lahti andmed enne nende sisestamist masinõppe mootorisse. See kaitseb paremini masinõppest kõrvalehoidmise meetodite eest automaatekstraktorite kaudu ja võimaldab leida, emuleerida ja analüüsida pahavara käitumise tasandil.
Iga tööjaam ja seade, mida ESET kaitseb tootega ESET LiveGrid®, lülitas sisse Auguri võimekuse pakutavad eelised tekkivate ohtude analüüsimiseks. Augur töötab ka võrgust väljas kerge Täpsema masinõppe moodulina, mis kaitseb masinaid ka siis, kui need töötavad ilma internetiühenduseta. Ettevõtte klientide käsutuses on Augur ESET Dynamic Threat Defense´i (EDTD) kaudu.
Kuigi masinõpe on suurepärane tehnoloogia, ei saa ükski ettevõte loota ainult sellele kõigi vastaste peatamisel. Ettevõtte kindel turbeseisund nõuab mitmekihilist kaitset, nagu ESET-i UEFI skanner ja Täiustatud mäluskanner, mis suudavad kaitsta tööjaama kõigi vektorite eest. Nutikad vastased võivad küll teada saada, kuidas masinõppe kaitsetest varem pääseda, kuid nad ei jõua kaugele, kui ka muud kihid on paigas.
