Hoe machine learning beschermt tegen phishing, mobiele bedreigingen en fabrieksstoringen

kaspersky-lab-400300

Al sinds de jaren vijftig bestuderen wetenschappers actief de mogelijkheden van computerintelligentie. In de afgelopen 70 jaar heeft machine learning (ML) zich ontwikkeld van een theoretisch concept tot een technologie die actief wordt gebruikt - van de aanbevelingenmachine in Netflix tot zelfrijdende Tesla-auto's en van spraakherkenning in Google Translator tot de verkoopstuurprogramma's in Salesforce. Het belangrijkste voordeel van ML is dat het programma autonomie krijgt om besluiten te nemen, waardoor mensen minder handmatig werk hoeven te doen. 

Machine learning wordt ook actief gebruikt in cyberbeveiliging - onder andere om malwaredetectie te verbeteren en te automatiseren. In dit artikel delen we enkele van de interessantste ML-technieken voor cyberbeveiliging 

Machine learning tegen geavanceerde e-mail phishing 

Een nauwkeurig voorbereide phishingbrief kan een doeltreffende manier zijn om een specifieke organisatie of een gebruiker met kwaadaardige bedoelingen te misleiden. Aanvallers vermommen hun berichten als e-mails van nieuwe onlinediensten, maken misbruik van populaire evenementen en zelfs van de Covid-19 pandemie. In het eerste kwartaal van 2020 waren er veel e-mails in omloop met het verzoek geld over te maken om COVID-19 te helpen bestrijden. Via de techniek van business email compromise (BEC) winnen criminelen het vertrouwen van werknemers via e-mailcorrespondentie. Ze vermommen zich als een derde partij, aannemer of zelfs een collega en laten doelwitten doen wat zij, de criminelen, willen. 

Om gebruikers tegen dergelijke lastige aanvallen te beschermen, moet een beveiligingsoplossing snel alle parameters van de e-mail analyseren, waaronder de inhoud en de technische kenmerken, om te detecteren of het beter is de e-mail niet te openen. Machine learning kan hiervoor zorgen. 

In dit geval moeten er twee ML-modellen zijn. Het ene model analyseert automatisch de technische parameters van e-mails (zoals technische headers). Het traint op honderden miljoenen metadata records van echte e-mails en leert de combinaties van technische sporen te herkennen die bewijzen dat de e-mail kwaadaardig is. Maar dit is niet voldoende om een oordeel te vellen. 

Het tweede model detecteert de kwaadaardige aard van een e-mail op basis van de inhoud ervan. Om het gewenste emotionele effect te bereiken, gebruiken aanvallers taal met emotie en een duidelijke oproep tot actie (bv. "uw pakje kon niet worden afgeleverd, werk uw gegevens hier bij") in hun tekst. Het model herkent dergelijke woorden en zinnen die typisch zijn voor phishingbrieven. 

De twee modellen correleren beide resultaten en vellen zo het eindoordeel - deze brief is phishing - waardoor de gebruiker de brief niet opent. 

Machine learning tegen mobiele bedreigingen voor Android 

In 2020 detecteerden Kaspersky-onderzoekers een toename van twee miljoen meer mobiele bedreigingen dan in 2019, in totaal meer dan vijf miljoen1. Een van de belangrijkste taken binnen mobiele bescherming is het beveiligen tegen onbekende kwaadaardige objecten die onlangs in het wild zijn verschenen. 

Op iOS-apparaten is de installatie van apps voor een breed publiek alleen mogelijk via de App Store, die streng wordt gecontroleerd door Apple. Op Android-apparaten kunnen gebruikers apps installeren vanuit een groot aantal bronnen en app-markten. Helaas maken cybercriminelen hier soms misbruik van door malware te plaatsen in apps die vermomd zijn als spelletjes, nuttige software, porno, enzovoort. En om de bedreigingen effectief en snel te detecteren, is ML nodig.  

Een ML-agent op het apparaat van een gebruiker scant elke app terwijl deze wordt gedownload op specifieke kenmerken, zoals vereiste toegangsmachtigingen of aantallen en groottes van interne structuren. De metadata worden naar het cloudgebaseerde ML-model gestuurd dat vervolgens beslist of deze set parameters ervoor zorgt dat de app als kwaadaardig wordt geclassificeerd, of niet. Het model stuurt vervolgens een antwoord waarin wordt aangegeven of het bestand al dan niet kwaadaardig is, en het beschermingsproduct op het apparaat besluit het downloaden en installeren van de app te blokkeren. 

Deze ML-analyse vergt veel rekenkracht, veel meer dan een mobiel toestel ter beschikking heeft, daarom wordt het proces in de cloud uitgevoerd.   

Machine learning ter voorkoming van fabrieksstoringen 

Storingen aan apparatuur, verkeerde configuraties, menselijke fouten of aanvallen van hackers kunnen allemaal oorzaken zijn van het uitvallen van industriële machines. Als een van die situaties zich voordoet, is het beter om de afwijking in productieprocessen zo snel mogelijk op te sporen. Anders kan een incident uit de hand lopen, wat in het beste geval kan leiden tot stilstand of in het slechtste geval tot een ongeval. 

Het probleem is dat de eerste symptomen van een incident vrijwel onmogelijk te detecteren zijn door drempelbewaking, of door menselijke operators. Wanneer elke seconde duizenden telemetrische gegevens binnenkomen, kan zelfs een ervaren operator zich slechts op een paar patronen concentreren en de rest over het hoofd zien. 

Dit is waar machinaal leren voor anomaliedetectie (MLAD) om de hoek komt kijken. Het neurale netwerk is in staat een enorme hoeveelheid telemetriegegevens te analyseren, alle aspecten van de werking van de machine in zich op te nemen en grondig te leren hoe de machine zich onder normale omstandigheden gedraagt - zoals hoe de signalen in de loop van de tijd veranderen en hoe ze met elkaar correleren. 

Wanneer de training van het ML-model is voltooid, schakelt het model over op de modus voor afwijkingsdetectie. Het ontvangt dan in real-time telemetrie en als de afwijking tussen het model en de waarneming boven een bepaalde drempel komt, wordt het gedrag van de machine als afwijkend beschouwd en wordt er alarm geslagen. Het model waarschuwt vroegtijdig voor aanvallen, storingen of slecht beheer, voordat een ander instrument het probleem kan opsporen. Op die manier helpt het de schade tot een minimum te beperken en uitval van een fabriek te voorkomen. 

Machine learning tegen geavanceerde cyberaanvallen 

In sommige gevallen kunnen machine learning technieken worden gebruikt om menselijke intelligentie aan te vullen tegen geavanceerde bedreigingen - zoals bij MDR-diensten (Managed Detection and Response). 

Binnen een MDR-service helpt een extern beveiligingsoperatiecentrum (SOC) zakelijke klanten te reageren op geavanceerde cyberaanvallen. Het ontvangt waarschuwingen van de endpoints van de klant en onderzoekt deze om sporen van aanvallen te vinden, die het vervolgens aan de klant rapporteert met responsmaatregelen. SOC-deskundigen analyseren sommige bedreigingsvoorbeelden handmatig, maar gezien de schaal kunnen ze fysiek niet elke waarschuwing bekijken. 

Machine learning kan deze last op zich nemen. Het filtert automatisch waarschuwingen uit die niet interessant zijn voor SOC-analisten, stelt waarschuwingsniveaus in en geeft hints voor analyse. Dit bespaart hun capaciteit en minimaliseert de gemiddelde tijd om te reageren. 

Tijdens de trainingsmodus analyseert het model waarschuwingen en geeft het er een score aan. Hoe hoger de score, hoe groter de kans dat de waarschuwing door experts moet worden beoordeeld. Waarschuwingen met een score boven een bepaalde drempel worden naar SOC-analisten gestuurd, die ze handmatig labelen en zo trainingsgegevens verrijken voor het ML-model. 

In de gevechtsmodus lost het model sommige waarschuwingen op en geeft het prioriteit aan de rest voor handmatige verwerking: de belangrijkste - die met de hoogste score - worden vooraan in de wachtrij geplaatst voor verwerking. Deze wachtrijstrategie vermindert de gemiddelde verwerkingstijd van waarschuwingen en stelt het aanbod in staat de beste SLA te leveren. 

***  

Dit zijn slechts een paar interessante gevallen van hoe machine learning cyberbeveiligingsdoelen dient. Maar wij bij Kaspersky geloven dat het toepassingsgebied zich zal blijven uitbreiden. Het ontwikkelen van ML-technieken in producten is een van de priorities voor ons R&D team, omdat dit cyberbeveiliging intelligenter, sneller en efficiënter kan maken. 

Meer over
Lees ook
Denktank geeft adviezen voor toepassen AI in cybersecurity

Denktank geeft adviezen voor toepassen AI in cybersecurity

Steeds meer organisaties maken kunstmatige intelligentie (AI) en machine learning (ML) onderdeel van hun IT-beveiligingsstrategie. De Cyber Resilience Think Tank , een internationale denktank van toonaangevende securityexperts, doet nu een aantal aanbevelingen voor een effectieve en veilige inzet van deze technologieën.