Výskumníci z Texaskej univerzity v Dallase vymysleli nový spôsob ako vylepšiť strojové učenie v systémoch na detekciu prienikov (IDS). Systémy nakŕmili dátami, ktoré nazbierali priamo počas útokov.
Metóda DEEP-Dig spočíva v tom, že pomocou špeciálnych záplat navedú útočníkov na podvrhnutú webstránku, kde ich nechajú skúšať svoje hackerské techniky. Z nazbieraných informácií sa následne systém učí rozpoznávať a blokovať ďalšie útoky. „Honey-patche sú softvérové bezpečnostné záplaty, ktoré sú upravené tak, aby neupozornili útočníka, keď jeho pokus o zneužitie zraniteľnosti nevyjde. Namiesto blokovania takýchto pokusov o prienik, honey-patche presmerujú útočníkove spojenie do starostlivo izolovaného podstrčeného prostredia, na ktorom beží zraniteľná verzia softvéru.“ Podľa nich sa dnes väčšina kyberbezpečnostných riešení snaží zabrániť prienikom ešte skôr, než útočníkov postup môže ktokoľvek odpozorovať. Preto vymysleli nový „podvodný“ spôsob, ako zneužiť samotných hackerov na bezplatné penetračné testovanie ich systémov, a zároveň na zisk cenných reálnych dát.
Tie im totiž doteraz unikali pomedzi prsty a nedokázali ich nahradiť ani dáta, ktoré poskytovali klasické návnady – honeypoty. „Účelové honeypoty majú pre IDS obmedzenú tréningovú hodnotu, pretože ich môžu zavádzať tým, že zbierajú len dáta o útokoch proti nim samotným. Zahŕňajú teda aj falošne pozitívne skeny či neúmyselné spojenia, alebo útoky neskúsených protivníkov, ktorí nevedia rozpoznať a vyhnúť sa honeypotu.“ IDS systém nakŕmený novými dátami je podľa Dr. Kevina Hamlena natoľko účinný, že aj keby útočník rozpoznal, že ide o podvrhnutý web, z pasce by sa nedokázal dostať. „Doteraz sme nezistili, že by to fungovalo. Keď sa útočník snaží so systémom hrať, ten sa jednoducho naučí jeho spôsoby zahladzovania stôp. Je to výhra v každom ohľade – aspoň teda pre nás.
Zdroj: Cybersec