Maskininlärning för cybersäkerhet

I november 2020 hade Knowit Decision Göteborg nöjet att välkomna Josefin Winberg, en ny stjärna till Knowitfamiljen!

Josefin som har en bakgrund inom både Data Science och IT-säkerhet kommer att kunna vara en stor tillgång i möjliga samarbeten över bolagsgränserna mellan Decision och Secure.

Senast kommer Josefin från NTT Ltd där hon jobbade inom R&D för att förbättra detektionen i produktionsmiljön som i realtid upptäcker hot och attacker hos företagets kunder. Genom analys av stora mängder data från olika loggkällor byggdes maskininlärnings modeller och neurala nätverk för att upptäcka attacker som traditionella svartlistor och regler har svårt att upptäcka.

Vi hoppas kunna nyttja Josefins kunskaper och erfarenheter i säkerhetsrelaterade projekt och bygga samarbetsmöjligheter mellan Knowits olika bolag som skulle gynna både kunder och kollegor. Josefins spets är säkerhetsrelaterad maskininlärning och Data Science men hon skulle ju absolut även kunna agera som rådgivare kring olika MSS/SOC tjänster.

Maskininlärning för cybersäkerhet

- tillämpningar och erfarenheter

Det är tyvärr ingen nyhet att attackerna mot våra stora bolag och myndigheter ökar och att hotet mot vår IT- infrastruktur efter 2020 är större än någonsin. Vad som däremot kan vara en nyhet för många att området Data Science kan användas för att identifiera fler av dessa attacker och därigenom förbättra vår detektionsförmåga och även minska antalet lyckade intrång.

Typerna av IT-attacker är många och alla utnyttjar de olika sårbarheter i vår infrastruktur.
Då vi även ofta skyndar med att utveckla och lansera nya uppkopplade enheter och strömma större volymer av data blir våra infrastrukturer ännu mer sårbara. Men genom att analysera data från de hot vi sett historiskt kan vi lära modeller att se mönster och automatiskt hitta nya typer av attacker.

Vi vill gärna sprida kunskap kring säkerhet och dela med oss av de erfarenheter vi får längst vägen, både för att utöka kompetensen inom området och för att locka fler intresserade.

Nedan presenteras således ett par exempel från min verklighet som även delats open source och som är fritt för samtliga intresserade att få inspiration från eller t o m bygga vidare på.

De ger förhoppningsvis också en bredare förståelse för vad som faktiskt kan göras i området maskininlärning för cybersäkerhet och hur vi på Knowit i framtiden vill kunna hjälpa såväl befintliga som framtida kunder med förbättrade metoder. 

Exempel 1:

DGA - Domain Generated Algorithms

Ett populärt sätt för angriparna att komma runt den klassiska svartlistningen av malicious domäner är att använda sig av automatiska genereringsalgorithmer. Dessa skapar slumpmässiga domäner som tillåter angriparna att ansluta till sin C&C-server och på detta sätt blir anslutningen svår att spåra och blockera.

Baserat på dessa domänsträngar kan dock en reverse engineering-teknik användas, för att bygga skript som liknar de som angriparna har för att generera dessa domäner.

På så vis kan stora dataset skapas med domäner från de olika malware-familjerna som använder sig av DGA-metoder. Dessa dataset används sedan för att träna en traditionell maskinlärningsmodell som kollar på features såsom entropi och top-level domän som traditionellt skiljer sig från vanliga icke skadliga domänerna.

För en lägre false positive rate har det dock visat sig att neurala nätverk i form av recurrent neural networks (RNNs) klarar klassificeringsuppgiften ännu bättre och de kan då detektera de genererade domänerna och stoppa kommunikationen till C&C-servern för de olika malwarefamiljerna.

Länk till relaterade open source projekt:

https://github.com/baderj/domain_generation_algorithms

https://github.com/miaWallace0618/DGA_Detection

Exempel 2:

UEBA – User and Entity Behavior Analytics

UEBA är ett begrepp inom IT-säkerhet där analys används för att bygga standardprofiler och beteenden hos användare och enheter över en tidshorisont och en användargruppsprofil.
Aktivitet som är avvikande från dessa standardprofiler, så kallade outliers, presenteras som misstänkt och analys som tillämpas på dessa avvikelser kan hjälpa till att upptäcka hot och potentiella incidenter.

UEBA-lösningar bygger baslinjer för användar- och entitetsprofiler för att identifiera normal aktivitet. Här utnyttjas maskininlärning både för beskrivande och prediktiva modeller. Beskrivande modeller tittar in i det förflutna för att svara på: "Vad hände?". Prediktiva modeller förstår framtiden och svarar: "Vad kan hända?". Med hjälp av maskininlärning i området UEBA kan alltså modeller byggas som lär sig av historiska data och identifierar avvikelser från normalt beteende.

Länk till relaterade open source projekt:

https://github.com/GACWR/OpenUBA

https://github.com/variationalkk/User-and-Entity-Behavior-Analytics-UEBA

Detta är bara två exempel på hur Data Science kan användas för att förbättra vår IT-säkerhet och genom fokus på datadriven innovation är det bara vi själva som sätter gränser kring vad som faktiskt skulle kunna byggas.