Sistem sumber terbuka mendeteksi jenis serangan dunia maya baru

Serangan siber telah menjadi risiko besar bagi dunia usaha dan organisasi lainnya. Untuk mencegah pencurian data, sabotase, dan pemerasan, banyak perusahaan dan lembaga pemerintah beralih ke sistem manajemen informasi dan peristiwa keamanan (SIEM), yang menggunakan aturan deteksi, juga dikenal sebagai tanda tangan, untuk mengidentifikasi serangan dunia maya.

Namun, para peneliti di Institut Fraunhofer untuk Komunikasi, Pemrosesan Informasi, dan Ergonomi FKIE melakukan pengujian ekstensif dan menyimpulkan bahwa penyerang dapat dengan mudah menghindari banyak tanda tangan seperti ini. AMIDES, sistem open source baru dari Fraunhofer FKIE, dirancang untuk membantu memperbaiki situasi ini. Gunakan AI untuk mengidentifikasi serangan yang luput dari perhatian perusahaan tradisional.

Ancaman serangan siber dan spionase industri akan terus meningkat pada tahun 2024. Menurut studi yang dilakukan oleh asosiasi digital Bitkom, 8 dari 10 perusahaan di Jerman telah menjadi korban pencurian data dan serangan serupa. Kerusakan yang disebabkan oleh intrusi jaringan mencapai miliaran euro.

Namun masalahnya adalah sifat serangan dan metode yang digunakan untuk melaksanakannya terus berubah, dan penyerang sering kali hanya melakukan perubahan kecil untuk menghindari deteksi. Hasil akhirnya adalah pencurian dan gangguan sering kali tidak terdeteksi hingga terlambat.

Sistem sumber terbuka mendeteksi penghindaran tanda tangan menggunakan deteksi penyalahgunaan adaptif

Hingga saat ini, deteksi serangan siber terhadap organisasi sebagian besar didasarkan pada tanda tangan yang ditulis oleh pakar keamanan berdasarkan serangan yang diketahui. Tanda tangan ini adalah inti dari sistem SIEM. Namun, para peneliti di Fraunhofer FKIE di Bonn menemukan bahwa penyerang mudah untuk melewati banyak tanda tangan tersebut.

Meskipun metode dari area terkait yang disebut deteksi anomali dapat digunakan sebagai alternatif untuk mengidentifikasi serangan sekalipun tanda tangan Dalam kasus penghindaran, pendekatan ini sering kali menimbulkan banyak peringatan palsu; kenyataannya sangat banyak, bahkan tidak semuanya dapat diselidiki.

Untuk mengatasi masalah ini, peneliti Fraunhofer FKIE berupaya mencapai keseimbangan praktis, dengan mengembangkan sistem yang mengandalkan pembelajaran mesin untuk mengidentifikasi serangan yang serupa, namun tidak persis sama, dengan tanda tangan yang ada. Solusi mereka, Adaptive Misuse Detection System (AMIDES), menggunakan pembelajaran mesin yang diawasi untuk mengidentifikasi potensi penghindaran aturan sekaligus meminimalkan alarm palsu.

Yang tersedia secara bebas perangkat lunak sumber terbuka Hal ini terutama ditujukan pada organisasi besar yang telah memiliki struktur dan sistem pemantauan keamanan terpusat dan kini berupaya untuk memperbaikinya.

“Tanda tangan adalah cara paling penting untuk mendeteksi serangan siber di jaringan perusahaan, namun tanda tangan bukanlah obat mujarab,” kata Rafael Uetz, peneliti di Fraunhofer FKIE dan kepala kelompok riset Deteksi dan Analisis Intrusi.

“Aktivitas berbahaya seringkali dapat dilakukan tanpa terdeteksi dengan sedikit memodifikasi serangan. Musuh menggunakan berbagai teknik untuk menyamarkan apa yang mereka lakukan dan menghindari deteksi, seperti memasukkan karakter tiruan ke dalam baris perintah. Penyerang mengetikkan perintahnya secara spesifik sehingga perusahaan tidak melakukan hal tersebut. Saya tidak menemukannya,” katanya, menjelaskan taktik yang digunakan oleh penjahat dunia maya.

Di sinilah AMIDES berperan: perangkat lunak mengekstrak fungsi dari peristiwa terkait keamanan, seperti baris perintah dari program yang baru diluncurkan. Pembelajaran mesin kemudian digunakan untuk mengidentifikasi baris perintah yang serupa dengan baris perintah yang cocok dengan aturan deteksi tetapi tidak sama persis. AMIDES akan meningkatkan kewaspadaan dalam kasus ini.

Penulis menyebut pendekatan ini sebagai deteksi penyalahgunaan adaptif karena pendekatan ini beradaptasi dengan lingkungan target dengan terlebih dahulu dilatih tentang bagaimana lingkungan biasanya berperilaku sehingga dapat dengan tepat membedakan potensi serangan dari peristiwa yang tidak berbahaya.

Deteksi penyalahgunaan adaptif memungkinkan atribusi aturan

Selain opsi untuk memulai peringatan kemungkinan penghindaran, pendekatan baru ini juga menawarkan fitur yang para peneliti sebut sebagai atribusi aturan. Ketika aturan konvensional dipicu untuk mendeteksi penyalahgunaan, analis dapat dengan mudah menampilkan aturan tersebut untuk mengetahui apa yang terjadi, karena aturan biasanya berisi judul dan deskripsi yang bermakna selain tanda tangan.

Tetapi banyak sistem yang didasarkan pada pembelajaran mesin Mereka tidak memiliki keuntungan ini dan hanya menghasilkan peringatan tanpa konteks lebih lanjut. Karena deteksi penyalahgunaan adaptif belajar dari aturan deteksi SIEM, informasi tentang fitur mana yang terdapat dalam aturan mana yang tersedia selama pelatihan, memungkinkan AMIDES untuk mengevaluasi aturan mana yang kemungkinan besar telah dilewati.

AMIDES telah dievaluasi melalui pengujian ekstensif menggunakan data dunia nyata dari lembaga pemerintah Jerman. Uetz berkomentar: “Pengujian ini menunjukkan bahwa solusi kami berpotensi meningkatkan deteksi intrusi jaringan secara signifikan.”

Dengan tingkat sensitivitas yang telah ditentukan, AMIDES berhasil mengidentifikasi 70% upaya penghindaran, tanpa menimbulkan alarm palsu. Dalam hal kecepatan, pengukuran menunjukkan bahwa sistem ini cukup cepat untuk dijalankan secara langsung, bahkan pada jaringan perusahaan yang sangat besar.