Ghaznix

כיצד למידת מכונה מזהה מתקפות Zero-Day

אלגוריתמים של למידת מכונה מזהים ובולמים ניצול של פגיעות יום אפס בלוח בקרה של איומי סייבר

במשך עשרות שנים, אבטחת סייבר הייתה משחק חתול ועכבר המבוסס על חתימות (signatures). כאשר התגלה סוג חדש של נוזקה או אקספלויט, חוקרי אבטחה ניתחו אותו, חילצו חתימה דיגיטלית ייחודית והפיצו אותה למאגרי המידע של האנטי-וירוס.

אך להגנה מבוססת חתימות יש פגם קריטי: היא פועלת לחלוטיن בצורה תגובתית (reactive). היא אינה יכולה לעצור את מה שלא ראתה מעולם.

כאן נכנסת לתמונה מתקפת יום אפס (Zero-Day)—אקספלויט המכוון לפגיעות תוכנה שלא הייתה ידועה בעבר, עוד לפני שהיצרן הספיק לשחרר תיקון (patch). מאחר שלא קיימות חתימות, חומות אש ומערכות מניעת חדירה (IPS) מסורתיות נותרות עיוורות לחלוטיن בפניהן.

כדי להתגונן מפני איומי יום אפס, התעשייה עוברת שינוי פרדיגמה: התרחקות מחתימות ומעבר לניתוח התנהגותי, המונע על ידי למידת מכונה (ML).

1. מעבר לחתימות: המכניקה של זיהוי אנומליות

בלב ההגנה המבוססת על למידת מכונה נמצא המושג של זיהוי אנומליות (anomaly detection). במקום לחפש התנהגות זדונית מוכרת (חתימות), מודלי ML מאומנים להבין כיצد נראית התנהגות “נורמלית” במערכת או ברשת, ולסמן כל דבר שחורג מאותו קו בסיס (baseline).

  • בניית קו בסיס התנהגותי: אלגוריתמים של למידה לא מונחית, כגون Isolation Forests ו-Autoencoders, מעבדים כמויות עצומות של תעבורת רשת, פעילות משתמשים ויומני מערכת כדי לבנות מודל מפורט ביותר של פעילות תקינה.
  • ניקוד חריגה: כאשר אקספלויט יום אפס מופעל, הוא מבצע בהכרח פעולות שחורגות מקו הבסיס—כגון הרצת סדרה חריגה של קריאות API, פתיחת חיבורי פורטים לא צפויים, או ניסיון לקרוא מזיכרון מערכת מוגבל. מודל ה-ML מסמן מיידית התנהגות זו עם ציון אנומליה גבוה.

2. חילוץ מאפיינים דינמי: ניתוח קבצים בזמן אمت

אקספלויטים של יום אפס מגיעים לעיתים קרובות דרך קבצים מצורפים בדוא"ל או הורדות סמויות מהאינטרנט. מאחר שבודקי חתימות אינם יכולים לסמן קבצים חדשים אלה, נקודות קצה המונעות על ידי ML משתמשות בחילוץ מאפיינים סטטי ודינמי כדי לנתח אותם בתוך אלפיות השנייה.

  1. ניתוח סטטי: המודל מנתח את מבנה הקובץ, ספריות DLL מיובאות, קריאות לפונקציות API ומטא-נתונים מבלי להריץ את הקובץ. מודלים של למידה עמוקה יכולים לזהות דפוסים זדוניים גם אם הקוד עבר ערפול (obfuscation).
  2. ניתוח דינמי בארגז חול (Sandbox): אם הניתוח הסטטי אינו חד-משמעי, הקובץ מורץ בארגז חול וירטואלי מאובטח ומבודד. סוכן ה-ML מנטר את ההרצה בזמן אמת ועוקב אחר התנהגויות כגون:
    • הזרקת תהליכים (Process Injection): ניסיונות להזריק קוד לתוך תהליכי מערכת לגיטימיים (כמו explorer.exe).
    • שינוי רישום (Registry): כתיבה למפתחות הפעלה רגישים או השבתת שירותי אבטحة.
    • הרשאות יתר (Privilege Escalation): בקשת גישת מנהל מערכת בצורה חריגה באמצעות אקספלויטים של המערכת.

3. ניתוח תעבורת רשת ומידול רצפים

מתקפות יום אפס רבות כוללות הרצת פקודות מרחוק, גניבת נתונים או תנועה רוחבית (Lateral Movement) בתוך הרשת. למידת מכונה מנטרת פעילויות אלו על ידי התייחסות לנתוני הרשת כאל רצף של אירועים.

  • רשתות LSTM ורשתות קבילות חוזרות (RNN): בדיוק כפי שרשתות LSTM משמשות בעיבוד שפה טבעית (NLP) כדי לחזות את המילה הבאה במשפט, באבטחה הן משמשות למידול זרימות רשת. המודل לומد את רצף התקשורת האופייני בין מכשירים ומסמן אנומליות זדוניות.
  • רשתות עצביות גרפיות (GNN): רשתות GNN ממפות את כל הטופולוגיה של הרשת כגרף, שבו המכשירים הם צמתים והתקשורת ביניהם היא קצוות (edges). זה מאפשר למודל לזהות תנועות רוחביות חשאיות שבהן תוקף מנסה לקפוץ משרת אחד למשנהו באמצעות אקספלויט יום אפס.

4. אתגרים: חרב פיפיות של הגנת ML

למרות שלמידת מכונה היא כלי חזק במיוחד, היא אינה תרופת פלא. הגנת מערכות באמצעות ML מלווה באתגרים הנדסיים משלה:

  • דילמת הזיהויים השגויים (False Positives): אם מודל זיהוי אנומליות רגיש מדי, הוא יסמן עדכוני תוכנה לגיטימיים או משימות ניהוליות כמתקפות, דבר שיוביל ל"עייפות התראות" בקרب צוותי האבטحة.
  • למידת מכונה יריבה (Adversarial ML): פושעי סייבר מפתחים באופן פעيل שיטות לעקיפת מודלים של ML. על ידי הכנסת שינויים עדינים ולא זדוניים בקود (הפרעות יריבות), הם יכולهم להטעות את מודל הסיווג לחשוב שקוד זדוני של יום אפס הוא בטוח לחלוטיن.

סיכום: עתיד רב-שכבתי ולומד עצמאית

למידת מכונה הפכה את אבטחת הסייבר ממאמץ ניקוי תגובתי למנגנון הגנה פרואקטיבי בזמן אמת. באמצעות ניתוח התנהגות, חילוץ מאפיינים דינמיים ומידול רצפי רשת, ML מאפשרת לארגונים לעצור מתקפות יום אפס לפני שהן גורמות לנזק נרחب.

ככל שהתוקפים הופכים למתוחכמים יותר, עתיד ההגנה טמون במערכות שיתופיות הלומדות עצמאית ומסתגלות ללא הרף לאיומים חדשים, ומבטיחות שגם אקספלויטים חמקמקים ביותר של יום אפס לא יוכלו להישارت מוסתרים.

גלה תובנות טכנולוגיות נוספות בבלוג של Ghaznix →

Tags

למידת מכונה מתקפות Zero-Day אבטחת מידע זיהוי איומים בינה מלאכותית באבטחה