Kako SOC ekipa s pomočjo AI preprečuje spletne prevare?
Z uporabo AI "beremo med vrsticami" in zagotavljamo izboljšano prepoznavo lažnih e-poštnih sporočil in phishing napadov
Podrsajte levo za prikaz vseh gumbov
Med vsemi različnimi vrstami kibernetskih napadov lažno predstavljanje oz. phishing ostaja največja grožnja tako posameznikom kot podjetjem, saj danes mnogi spletni prevaranti uporabljajo vse bolj prefinjene tehnike, ki jih lahko spregledajo tudi najbolj varnostno ozaveščeni uporabniki. Za uspešno obrambo pred takšnimi grožnjami je ključna napredna analiza besedilnih podatkov, pri čemer pomembno vlogo igra obdelava naravnega jezika (angl. Natural Language Processing – v nadaljevanju NLP).
V Kontron SI SOC-u NLP uporabljamo za prepoznavanje phishing napadov in lažnih e-poštnih sporočil, kar omogoča zmanjšanje ročnega dela analitikov in povečanje učinkovitosti varnostnih operacij.
NLP v službi kibernetske varnosti
NLP omogoča prepoznavanje sumljivih vsebin v besedilu, kot so napačno zapisani podatki, lažni pošiljatelji ali sumljive povezave, s čimer preprečuje morebitne napade, ki bi se sicer lahko zgodili. V našem varnostno operativnem centru iz izkušenj ocenjujemo, da NLP prepreči približno 60 % manjših ali lažnih groženj, s katerimi bi se sicer morali analitiki ročno ukvarjati. To nam prihrani ogromno časa – v povprečju 30 min – 2 h na vsako potencialno grožnjo, ki jo zazna in prepreči NLP ali strojno učenje (angl. Machine learning – v nadaljevanju ML). Prihranjen čas raje namenimo resnejšim in bolj kompleksnim grožnjam.
Alex Crgol, varnostni analitik v Kontron SI SOC-u
Uporaba NLP v kibernetski varnosti
Analiza jezika in vsebine
NLP prepoznava sumljive vzorce v e-poštnih sporočilih, kot so slovnične napake, nenavadne zahteve in neobičajne besedne zveze.
Prepoznavanje ponarejenih povezav
Algoritmi NLP in ML primerjajo URL naslove s podatkovnimi bazami znanih phishing spletnih strani ter zaznavajo sumljive preusmeritve ali preoblečene povezave.
Zaznavanje sumljivih prilog
NLP preverja, ali so priponke v e-pošti potencialno nevarne, na primer z analizo kode v dokumentih in preverjanjem, ali vsebujejo zlonamerno programsko opremo.
Odkrivanje nenavadnih vzorcev v komunikaciji
NLP analizira zgodovino prejetih e-poštnih sporočil in ugotavlja, ali določena sporočila odstopajo od običajnega vzorca (npr. neznani pošiljatelj, nepričakovane priponke, sprememba sloga pisanja znanega stika).
Preverjanje avtentičnosti pošiljateljev
Algoritmi preverjajo tehnične indikatorje, kot so SPF, DKIM in DMARC zapisi, ki pomagajo ugotoviti, ali je e-pošta dejansko prišla od navedenega pošiljatelja ali gre za ponarejeno identiteto.
Kako NLP uporabljamo v Kontron SI SOC-u?
Najbolj odmeven primer napada preko elektronske pošte, katerega je zaznala in preprečila AI, je bil primer spear phishing napada, usmerjenega proti vodstvu enega izmed slovenskih podjetji. Napadalci so poslali e-poštno sporočilo, ki je izgledala kot legitimno sporočilo finančnega direktorja s prošnjo za takojšnje nakazilo sredstev na “nov poslovni račun” podjetja. Sporočilo je bilo izjemno prepričljivo, saj je bilo napisano v tonu, ki je bil značilen za notranjo komunikacijo, vsebovalo je pravi podpis in ni imelo očitnih pravopisnih napak ali sumljivih povezav, ki bi jih uporabnik lahko zaznal in prepoznal kot znak zlonamernosti.
AI je takoj zaznal nenavadno vedenje – med drugim odstopanje v načinu komunikacije finančnega direktorja ter nenavadno stopnjo nujnosti nakazila, ki ni bila značilna za preteklo komunikacijo. Poleg vsebinskih vzorcev je sistem uporabil modele strojnega učenja za primerjavo z zgodovinskimi podatki in ugotovil, da finančni direktor še nikoli ni poslal podobne zahteve.
Poleg vsebinske analize je sistem preveril tudi tehnične podrobnosti sporočila in zaznal, da je bil e-poštni naslov pošiljatelja le rahlo spremenjen – denimo, namesto “direktor@podjetje.si” je bil uporabljen “direkt0r@podjetje.si”. Gre za klasičen primer zavajanja z vizualno podobnimi znaki (t. i. homografni napad), ki je pogosto neopažen s strani prejemnikov.
AI je takoj zaznala neobičajne jezikovne vzorce, ki jih običajno ne bi opazil človek – nekoliko spremenjen ton, nenavadno zahtevo in uporabo neobičajnih fraz. ML je ugotovil, da ta uporabnik nikoli prej ni poslal podobne zahteve za nakazilo. Hkrati je sistem preveril tehnične podrobnosti in ugotovil, da je bil e-poštni naslov pošiljatelja le rahlo spremenjen (npr. “direktor@podjetje.si” je bil v resnici “direkt0r@podjetje.si”).
V tem konkretnem primeru bi brez uporabe AI phishing napad ostal neopažen več ur ali celo dni, ali pa bi lahko podjetje doživelo veliko finančno škodo, če bi se uporabnik ujel na napad.
AI pa je zaznala sumljivo dejavnost v nekaj sekundah in učinkovito preprečila nadaljnje tveganje za podjetje ter sprožila naslednje ukrepe:
- E-poštno sporočilo je bilo samodejno blokirano in prestavljeno v karanteno, preden je doseglo prejemnika/prejemnike.
- Analitiki SOC so bili takoj obveščeni o dogodku, izvedli podrobno analizo in potrdili, da gre za napreden phishing napad.
- Obveščeni so bili vsi zaposleni, da bi se izognili podobnim napadom v prihodnosti, in nastavljeni so bili dodatni zaščitni ukrepi (filtri na e-poštnem strežniku), ki preprečujejo prihodnje poskuse zlorabe.
Avtor prispevka: Alex Crgol, varnostni analitik v Kontron SI SOC-u
Sorodne vsebine
Big data – big problem?
Zanima me več
Varnostno kopiranje: Vaša zaščita pred kibernetskimi napadi
Zanima me več
Kaj je združljivost in zakaj je pomembna?
Zanima me več