Ghaznix

Come l'apprendimento automatico rileva gli attacchi Zero-Day

Algoritmi di apprendimento automatico rilevano e bloccano un exploit di vulnerabilità Zero-Day su una dashboard di minacce informatiche

Per decenni, la sicurezza informatica è stata un gioco al gatto e al topo giocato su una base di firme. Quando veniva scoperto un nuovo ceppo di malware o un exploit, i ricercatori di sicurezza lo analizzavano, estraevano una firma digitale univoca e la distribuivano ai database antivirus.

Malgrado la difesa basata sulle firme abbia un difetto fatale: è completamente reattiva. Non può fermare ciò che non ha mai visto prima.

Entra in gioco l’attacco Zero-Day—un exploit che prende di mira una vulnerabilità software precedentemente sconosciuta prima che il fornitore abbia rilasciato una patch. Poiché non esistono firme, i firewall tradizionali e i sistemi di prevenzione delle intrusioni rimangono completamente ciechi di fronte a essi.

Per difendersi dalle minacce zero-day, il settore sta vivendo un cambio di paradigma: allontanarsi dalle firme e spostarsi verso il comportamento, grazie all’apprendimento automatico (ML).

1. Oltre le firme: la meccanica del rilevamento delle anomalie

Al centro della difesa basata sull’apprendimento automatico c’è il concetto di rilevamento delle anomalie. Invece di cercare comportamenti dannosi noti (firme), i modelli di ML vengono addestrati a comprendere l’aspetto del comportamento “normale” in un sistema o in una rete, segnalando qualsiasi cosa devii da tale valore di riferimento.

  • Creazione della baseline comportamentale: Gli algoritmi di apprendimento non supervisionato, come gli Isolation Forest e gli Autoencoder, acquisiscono enormi volumi di traffico di rete, attività degli utenti e log di sistema per costruire un modello altamente dettagliato delle normali operazioni.
  • Punteggio di deviazione: Quando un exploit zero-day viene eseguito, compie inevitabilmente azioni che deviano dalla baseline, come l’esecuzione di una sequenza insolita di chiamate API, l’apertura di connessioni di porta impreviste o il tentativo di leggere la memoria di sistema riservata. Il modello di ML segnala istantaneamente questo comportamento con un punteggio di anomalia elevato.

2. Estrazione dinamica delle caratteristiche: analisi dei file in tempo reale

Gli exploit zero-day spesso arrivano tramite allegati e-mail o download invisibili. Poiché i controllori delle firme non possono segnalare questi nuovi file, gli endpoint basati su ML utilizzano l’estrazione statica e dinamica delle caratteristiche per analizzarli in pochi millisecondi.

  1. Analisi statica: Il modello analizza la struttura del file, le DLL importate, le chiamate alle funzioni API e i metadati senza eseguirlo. I modelli di deep learning possono segnalare pattern dannosi anche se il codice è stato offuscato.
  2. Analisi dinamica in sandbox: Se l’analisi statica non è conclusiva, il file viene eseguito in una sandbox virtualizzata sicura. L’agente di ML monitora la sua esecuzione live, tracciando comportamenti come:
    • Iniezione di processi: Tentativi di iniettare codice in processi di sistema legittimi (come explorer.exe).
    • Modifica del registro: Scrittura su chiavi di avvio sensibili o disattivazione dei servizi di sicurezza.
    • Escalation dei privilegi: Richiesta insolita di accesso come amministratore tramite exploit di sistema.

3. Analisi del traffico di rete e modellazione sequenziale

Molti attacchi zero-day comportano l’esecuzione di comandi a distanza, l’esfiltrazione di dati o movimenti laterali all’interno di una rete. L’apprendimento automatico monitora queste attività trattando la telemetria di rete como una sequenza di eventi.

  • LSTM e reti neurali ricorrenti (RNN): Proprio come le LSTM vengono utilizzate nell’elaborazione del linguaggio naturale (NLP) per prevedere la parola successiva in una frase, nella sicurezza vengono utilizzate per modellare i flussi di rete. Il modello apprende la tipica sequenza di comunicazione tra i dispositivi e segnala le anomalie dannose.
  • Reti neurali a grafo (GNN): Le GNN mappano l’intera topologia di rete come un grafo, in cui i dispositivi sono nodi e le comunicazioni sono archi. Ciò consente al modello di individuare movimenti laterali furtivi in cui un utente malintenzionato tenta di saltare da un server all’altro utilizzando un exploit zero-day.

4. Sfide: il filo a doppio taglio della difesa ML

Sebbene l’apprendimento automatico sia incredibilmente potente, non è una bacchetta magica. La protezione dei sistemi con il ML comporta una serie di sfide ingegneristiche:

  • Il dilemma dei falsi positivi: Se un modello di rilevamento delle anomalie è troppo sensibile, segnalerà i normali aggiornamenti software o le attività amministrative come attacchi, provocando un affaticamento da allerta nei team di sicurezza.
  • Apprendimento automatico avversario: I criminali informatici stanno sviluppando attivamente metodi per aggirare i modelli di ML. Introducendo modifiche al codice sottili e non dannose (perturbazioni avversarie), possono ingannare i modelli di classificazione facendo credere che un payload zero-day sia del tutto sicuro.

Conclusione: un futuro multilivello e autoapprendente

L’apprendimento automatico ha trasformato la sicurezza informatica da un’attività reattiva di pulizia a un meccanismo di difesa proattivo e in tempo reale. Analizzando il comportamento, estraendo caratteristiche dinamiche e modellando le sequenze di rete, il ML consente alle organizzazioni di bloccare gli attacchi zero-day prima che possano causare danni diffusi.

Man mano che gli aggressori diventano più sofisticati, il futuro della difesa risiede in sistemi collaborativi e ad autoapprendimento che si adattano continuamente alle nuove minacce, garantendo che anche gli exploit zero-day più furtivi non possano rimanere nascosti.

Esplora altri approfondimenti tecnici sul blog di Ghaznix →

Tags

Apprendimento automatico Attacchi Zero-Day Sicurezza informatica Rilevamento delle minacce IA nella sicurezza