Usando un modelo de aprendizaje automático desarrollado internamente y entrenado en datos de registro, el equipo de seguridad de la información de un banco francés descubrió que podía detectar tres nuevos tipos de exfiltración de datos que los dispositivos de seguridad basados ​​en reglas no detectaron.

Carole Boijaud, ingeniera de ciberseguridad de Credit Agricole Group Infrastructure Platform (CA-GIP), subirá al escenario en la conferencia Black Hat Europe 2022 de la próxima semana para detalle la investigacion en la técnica, en una sesión titulada "Los umbrales son para viejas amenazas: desmitificando la IA y el aprendizaje automático para mejorar la detección de SOC". El equipo tomó datos resumidos diarios de los archivos de registro, extrajo características interesantes de los datos y los utilizó para encontrar anomalías en el tráfico web del banco. 

La investigación se centró en cómo detectar mejor la filtración de datos por parte de los atacantes y dio como resultado la identificación de ataques que el sistema anterior de la empresa no pudo detectar, dice.

“Implementamos nuestra propia simulación de amenazas, de lo que queríamos ver, de modo que pudimos ver lo que podíamos identificar en nuestro propio tráfico”, dice. “Cuando no detectamos [una amenaza específica], tratamos de descubrir qué es diferente y tratamos de entender qué estaba pasando”.

Dado que el aprendizaje automático se ha convertido en una palabra de moda en la industria de la seguridad cibernética, algunas empresas e investigadores académicos aún están avanzando en la experimentación con sus propios datos para encontrar amenazas que de otro modo podrían ocultarse en el ruido. Microsoft, por ejemplo, usó datos recopilados de la telemetría de 400,000 XNUMX clientes para identificar grupos de ataque específicos y, usando esas clasificaciones, predecir acciones futuras de los atacantes. Otras empresas están utilizando técnicas de aprendizaje automático, como algoritmos genéticos, para ayudar a detectar cuentas en plataformas de computación en la nube que tener demasiados permisos.

Hay una variedad de beneficios al analizar sus propios datos con un sistema desarrollado internamente, dice Boijaud. Los centros de operaciones de seguridad (SOC) obtienen una mejor comprensión del tráfico de su red y la actividad de los usuarios, y los analistas de seguridad pueden obtener más información sobre las amenazas que atacan sus sistemas. Si bien Credit Agricole tiene su propio grupo de plataformas para administrar la infraestructura, manejar la seguridad y realizar investigaciones, incluso las empresas más pequeñas pueden beneficiarse de la aplicación del aprendizaje automático y el análisis de datos, dice Boijaud.

“Desarrollar tu propio modelo no es tan costoso y estoy convencida de que cualquiera puede hacerlo”, dice ella. “Si tiene acceso a los datos y tiene personas que conocen los registros, pueden crear su propia canalización, al menos al principio”.

Encontrar los puntos de datos correctos para monitorear

El equipo de ingeniería de ciberseguridad usó una técnica de análisis de datos conocida como agrupación para identificar las características más importantes para rastrear en su análisis. Entre las características que se consideraron más importantes se incluyeron la popularidad de los dominios, la cantidad de veces que los sistemas se comunicaron con dominios específicos y si la solicitud utilizó una dirección IP o un nombre de dominio estándar.

“Basándonos en la representación de los datos y en el hecho de que hemos estado monitoreando el comportamiento diario de las máquinas, hemos podido identificar esas características”, dice Boijaud. “El aprendizaje automático se trata de matemáticas y modelos, pero uno de los hechos importantes es cómo elige representar los datos y eso requiere comprender los datos y eso significa que necesitamos personas, como ingenieros de ciberseguridad, que entiendan este campo”.

Después de seleccionar las características que son más significativas en las clasificaciones, el equipo utilizó una técnica conocida como "bosque de aislamiento" para encontrar los valores atípicos en los datos. El algoritmo del bosque de aislamiento organiza los datos en varios árboles lógicos en función de sus valores y luego analiza los árboles para determinar las características de los valores atípicos. El enfoque se escala fácilmente para manejar una gran cantidad de funciones y es relativamente ligero en cuanto al procesamiento.

Los esfuerzos iniciales dieron como resultado que el modelo aprendiera a detectar tres tipos de ataques de exfiltración que, de otro modo, la empresa no habría detectado con los dispositivos de seguridad existentes. En general, alrededor de la mitad de los ataques de exfiltración pudieron detectarse con una baja tasa de falsos positivos, dice Boijaud.

No todas las anomalías de red son maliciosas

Los ingenieros también tuvieron que encontrar formas de determinar qué anomalías indicaban ataques maliciosos y qué tráfico podría ser no humano, pero benigno. El sistema también detectó etiquetas publicitarias y solicitudes enviadas a servidores de seguimiento de terceros, ya que tienden a coincidir con las definiciones de anomalías, pero podrían filtrarse de los resultados finales.

Automatizar el análisis inicial de los eventos de seguridad puede ayudar a las empresas a clasificar e identificar más rápidamente posibles ataques. Al hacer la investigación ellos mismos, los equipos de seguridad obtienen información adicional sobre sus datos y pueden determinar más fácilmente qué es un ataque y qué puede ser benigno, dice Boijaud.

CCA-GIP planea ampliar el enfoque de análisis para casos de uso más allá de la detección de exfiltración mediante ataques web, dice.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://www.darkreading.com/analytics/soc-homegrown-machine-learning-cyberintruders