This post is also available in:
English (אנגלית)
ככל שכמות תקיפות הסייבר ממשיכה לעלות ברחבי העולם, מערכות אבטחה מסורתיות מתקשות לעמוד בקצב של השיטות המתוחכמות יותר ויותר בהן משתמשים התוקפים. כדי לנטרל זאת, ארגונים רבים מסתמכים על מערכות SIEM המזהות חתימות של קוד זדוני כדי לזהות ולמנוע חדירות. עם זאת, מחקר חדש של Fraunhofer Institute for Communication, Information Processing and Ergonomics (FKIE) חשף פגם רציני בגישה זו – תוקפים רבים יכולים בקלות לעקוף מערכות מבוססות חתימה אלה, מה שמשאיר נתונים רגישים חשופים ופגיעים.
כדי לטפל בבעיה זו, ב-Fraunhofer FKIE פיתחו פתרון מבטיח הנקרא AMIDES (Adaptive Misuse Detection System). בניגוד לשיטות המסורתיות המבוססות על חתימות, AMIDES משתמש בבינה מלאכותית (AI) ולמידת מכונה (ML) כדי לזהות תקיפות הדומות לאיומים ידועים, אך אינן תואמות באופן מושלם את כללי הזיהוי שנקבעו, על פי TechXplore. שיטה אדפטיבית זו מבטיחה זיהוי מדויק יותר של תקיפות סייבר תוך מזעור השיעור הגבוה של אזעקות שווא הקשורות לגישות זיהוי אחרות כמו זיהוי אנומליות.
האיום הגובר של תקיפות סייבר ניכר, עם מחקרים המראים כי חברות רבות נפלו קורבן לגניבת נתונים ולתקיפות דומות, מה שגרם לנזק כספי משמעותי. האופי הדינמי של איומי הסייבר האלה, שבהם התוקפים לעתים קרובות משנים את הטקטיקות שלהם כדי להתחמק מגילוי, מקשה יותר ויותר על מערכות ה-SIEM המסורתיות לספק הגנה נאותה.
AMIDES מתגבר על אתגר זה על ידי התמקדות בזיהוי "שימוש לרעה אדפטיבי" (adaptive misuse detection). המערכת מאומנת ללמוד התנהגות נורמלית בסביבת הארגון, המאפשרת לה לזהות סטיות שעלולות להצביע על תקיפה. לדוגמה, המערכת בוחנת את שורות הפקודה המשמשות את תוכנות כאשר הן מופעלות. אם שורות הפקודה הללו מראות וריאציות קלות מאלה הקיימות בחתימות תקיפה מוכרות, AMIDES מקפיצה אזהרה, גם אם התקיפה אינה מתאימה באופן מושלם לחתימה מוגדרת מראש. זה מאפשר למערכת לזהות סוגים חדשים של תקיפות שהיו אמורות להתחמק מגילוי.
על פי TechXplore, המערכת מציגה גם את הקונספט של "ייחוס כללים" (rule attribution), תכונה שמשפרת את הבהירות של התראות. שלא כמו מערכות רבות של למידת מכונה, שפשוט מקפיצות אזהרות ללא הקשר, AMIDES מאפשרת לאנליסטים לעקוב אחר איומים שזוהו בחזרה לכללי זיהוי ספציפיים, ומספקת תובנות חשובות לגבי אופי התקיפה.
AMIDES כבר נבדק עם נתונים מהעולם האמיתי של סוכנות ממשלתית גרמנית והראה שיעור הצלחה מרשים של 70% באיתור ניסיונות התחמקות, עם כמות מינימלית של פולס-פוזיטיבים. מהירותו ויעילותו הופכים אותו למתאים לרשתות ארגוניות גדולות, המבטיחות שארגונים יוכלו לנטר על המערכות שלהם בזמן אמת מבלי להתפשר על הביצועים.
AMIDES, הזמינה כתוכנת קוד פתוח, מיועדת לארגונים גדולים יותר עם תשתית אבטחה מבוססת, המבקשת לשפר את המערכות הקיימות שלהם. על ידי שילוב בינה מלאכותית עם ההיבטים הטובים ביותר של גילוי מבוסס כללים מסורתי, AMIDES מייצג קפיצה משמעותית קדימה במאבק נגד איומי סייבר חמקמקים.
