كيفية تدريب نموذج تعلُّم الآلة على هزيمة APT Cyber ​​Attacks ، الجزء 6: Fuchikoma v3: Dodge ، Counterpunch ، Uppercut!

هذا هو الجزء 6 من سلسلة مقالات متعددة الأجزاء حول كيفية استخدام CyCraft Senior Researcher CK Chen وفريق العمل خطوة بخطوة لبرامج مفتوحة المصدر لتصميم نموذج تعلم آلة صيد التهديدات بنجاح. نقترح البدء من الجولة الأولى: تقديم فوشيكوما.

كيفية تدريب نموذج ML للتغلب على هجمات APT Cyber ​​Attack Round 1: تقديم جولة Fuchikoma الجولة 2: Fuchikoma VS CyAPTEmu: جولة الوزن 3: Fuchikoma v0: تعلم جولة العلوم الحلوة 4: Fuchikoma v1: العثور على الجولة الرائعة في الجولة 5: فوشيكوما v2: جاب ، كروس ، هوك ، إتقان جولة كومبو 1–2–3: فوشيكوما الإصدار 3: دودج ، كاونتر بانش ، أوبيركوت!

استعدادًا للجولة الثانية من تقييمات MITER ATT & CK ، ذهب CK Chen وفريقه إلى تصميم مضاهاة هجوم APT ، الذي أطلقوا عليه CyCraft APT Emulator ، أو CyAPTEmu باختصار. كان هدف CyAPTEmu هو إنشاء سلسلة من الهجمات على أجهزة Windows. بعد ذلك ، تم تصميم دليل على نموذج التعلم الآلي (ML) لتهديد الصيد بالكشف عن التهديدات لكشف هجمات APT والاستجابة لها على وجه التحديد. اسمه فوشيكوما.

فوشيكوما V0: سنوات الطفل

أعطت تجربة الفكر Fuchikoma v0 نظرة ثاقبة للتحديات الرئيسية الأربعة عند تصميم نموذج ML للصيد بالتهديد: وجود إشارة ضعيفة ، مجموعات بيانات غير متوازنة ، عدم وجود ملصقات بيانات عالية الجودة ، وعدم وجود قصة هجوم.

ذهب Fuchikoma v0 VS CyAPTEmu كما هو متوقع.

Weeeeeeeeeeeeeeeeeeeeeee!

ليس جيدًا على الإطلاق.

فوشيكوما v1: دخول الطفولة

حل Fuchikoma v1 التحدي الأول: وجود إشارة ضعيفة. تم إدخال منشئ وحدة تحليل (AU) في خط أنابيب ML ؛ تم تغيير كل حدث إنشاء عملية إلى AU - شجرة عملية صغيرة تربط حدث إنشاء العملية الأصلي بوالده المباشر وثلاثة مستويات من العمليات الفرعية. قام فريق TF-IDF بتحويل خطوط الأوامر لكل حدث في AU واحد ووضعها في Unit2Doc. نظرًا لأن كل حدث يحتوي الآن على معلومات سياقية باعتباره AU ، يمكن لخوارزميات ML بعد ذلك تجميع مجموعات AUs مماثلة في مجموعات ، مما يترك للمحققين لدينا علامات أقل بكثير للقيام بها. بينما أثبتت التكتلات أنها مفيدة ، كانت هناك عيوب.

Fuchikoma v2: شق طريقه من خلال المراهقة والهرمونات والمدرسة الثانوية

حل Fuchikoma v2 التحدي الثاني: مجموعات البيانات غير المتوازنة. في حين أن وحدات AUs المتشابهة لا تزال متجمعة معًا ، فإن مكون الكشف عن الشذوذ يقع على معظم وحدات AUs غير الطبيعية. كما تمت مناقشته في الجزء 3 ، كان 1.1 في المائة فقط من الاتحاد الأفريقي في مجموعة بياناتنا خبيثًا (أو كما يقرأها فوشيكوما ، غير طبيعي). ويمكن بعد ذلك تجميع 98.9 بالمائة المتبقية من وحدات الاتحاد الأفريقي الحميدة معًا. سيحتاج محققونا في القسم 9 عندئذٍ فقط إلى التحقق من المجموعات التي تحتوي على أكثر وحدات AU غير العادية وتصنيفها وفقًا لما يمليه مكون اكتشاف الشذوذ. عن طريق إزالة غالبية AUs من التفتيش ، حل Fuchikoma v2 قضية مجموعات البيانات غير المتوازنة وخفض وقت التحقيق بشكل كبير.

ثم حدث شيء سحري.

يحصل كل مراهق ، حتى Fuchikoma v2 ، على فوز ضئيل من وقت لآخر. استمتع بها ، كيدو!

طرقت Fuchikoma v2 CyAPTEmu!

ومع ذلك ، فإن مباراة الملاكمة لم تنته بعد. كان CyAPTEmu منخفضًا ولكن ليس بالخارج.

Fuchikoma v3: دخول الشباب في سن البلوغ ولكنهم لا يستطيعون تحمل الإيجار في جزء جميل من المدينة

فشل كل من Fuchikoma v1 و Fuchikoma v2 في حل التحديين المتبقيين في تصميم نموذج التعلم الآلي الخاص بمطاردة التهديدات: الحد من صعوبة استرداد العلامات عالية الجودة وإنشاء قصة هجوم.

من أجل حل هذه المشكلات ، أضاف CK Chen وفريقه العديد من المكونات الجديدة إلى خط أنابيب Fuchikoma v3: بناء الرسم البياني ، واكتشاف المجتمع ، ونموذج الموضوع ، ونشر الملصق.

البناء البياني

قبل إرسال أحداث إنشاء العملية إلى AU Builder (تسمى الآن Graph2AU) ، يتم إرسالها أولاً إلى مكون Graph Construct المضاف حديثًا. هنا ، يتم إنشاء جميع أحداث إنشاء العملية على نقطة نهاية واحدة في شجرة عملية ضخمة واحدة.

في الإصدارات اللاحقة من Fuchikoma ، سيتمكن مكون GraphConstruct من دمج عناوين IP وأسماء المضيفين وبالتالي توسيع شجرة العملية لتضمين أحداث العملية عبر نقاط النهاية وربطها معًا ؛ سيشمل المزيد من أنواع الأحداث بخلاف إنشاء عملية قادرة على إظهار الحركة الجانبية ، مثل WMIC.

بناء الرسم البياني لنقطة نهاية واحدة. ديبي ، أنت لا تكسب أي معجبين من الدعم الفني.

أعلاه نرى مثالا على بناء الرسم البياني لنقطة نهاية واحدة. يعيّن Graph Construct كافة العلاقات لجميع أحداث إنشاء العملية لكل نقطة نهاية. بمجرد إنشائها ، يتم إرسال البيانات إلى كل من Graph2AU وكشف المجتمع.

كما تمت مناقشته في الجزء 5 ، يقوم Graph2AU (المعروف سابقًا باسم AU Builder) ببناء وحدات AUs ، والتي يتم إدخالها بعد ذلك في مكونات الكشف عن الشذوذ والتجمعات. يتوسع Fuchikoma v3 الآن على هذا من خلال دمج العقد (أحداث إنشاء عملية نقطة النهاية) في مجموعات عالية الكثافة عبر اكتشاف المجتمع. يقال أن مجموعة العقد لديها كثافة عالية عندما تكون هناك مستويات عالية من الاتصال والتشابه عبر أبعاد متعددة.

كشف المجتمع

يحدد الفحص الدقيق على الرسم البياني أعلاه العملية 0x1374 على أنها السبب الجذري للهجوم لنقطة النهاية هذه.

بعد فحص عملية 0x1374 عن كثب ، يبدو أن المستخدم Debbie ، جعل boo-boo كبيرًا. على الأرجح ، نقرت ديبي على رابط بريد إلكتروني للتصيد الاحتيالي وأطلقت ملفًا تنفيذيًا. أدت هذه العملية التي يمكن التحكم فيها إلى إنشاء سبع عمليات خبيثة تابعة لكل طفل ، ولدت كل منها عملية واحدة إلى خمس عمليات ضارة أخرى.

تتميز مجموعة عمليات "Debbie" (الموضحة باللون الأحمر) بكثافة عالية - فالعُقد (أحداث إنشاء العملية) لها اتصال عالي وتشابه عبر أبعاد متعددة ، مثل WMIC و PSExec.exe. المجموعات ذات الكثافة العالية تسمى المجتمعات.

إن المجتمعات ، مثل Debbie هنا ، ستكون مثالية لـ Fuchikoma للتجمع لأن الأحداث الخبيثة (كما هو موضح في كارثة Debbie) لديها أيضًا اتصال عالي وتشابه. يعد الكشف عن بنية المجتمع التي تعرضها تقنيات الخصومة والقدرة على تتبعها خطوات حاسمة نحو أتمتة عملية التحقق من تنبيهات SOC وبناء قصة هجومنا النهائي. سيؤدي تجميع العديد من الأحداث الخبيثة معًا إلى الحد من عدد المجموعات التي يصنفها محققونا.

يكتشف مكوّن اكتشاف المجتمع الهياكل المجتمعية عبر جميع أحداث إنشاء العملية - وليس فقط الأحداث الخبيثة. الأحداث الحميدة ذات الصلة تظهر أيضًا كثافة عالية. يمكن القيام بذلك عن طريق الاستفادة من خوارزميات ML ، مثل خوارزمية Louvain Modularity. تم إنشاؤها بواسطة البروفيسور بلونديل وآخرون. من جامعة Louvain ، خوارزمية Louvain Modularity هي خوارزمية تجميع هرمية تدمج المجتمعات بشكل متكرر في عقدة واحدة بناءً على نمطيتها - الوحدة التي كانوا جزءًا منها في التكرار السابق. (الوحدة هي نفس المجموعة / المجموعة / المجتمع).

اكتشاف المجتمع بناءً على الطوبولوجيا عبر خوارزمية وحدات Louvain Modularity (صورة من موقع Neo4)

في تكرار اختبار واحد حيث تم إنشاء 6786 حدثًا لإنشاء عملية ، أنتج فوشيكوما 540 مجتمعًا (مجموعات ذات كثافة عالية) ، منها 223 مجتمعًا فقط احتوت على وحدات AU غير طبيعية. بفضل الكشف عن المجتمع الذي يولد مجتمعات ذات كثافة عالية في الاتصال والتشابه ، كان 176 من 223 مجتمعًا أكثر من 50 في المائة ضارًا (غير طبيعي). هذا ترك 317 مجتمعات حميدة مع عدم وجود شذوذ مكتشفة لن تحتاج إلى مزيد من التحقيق.

بدلاً من التحقيق في جميع أحداث العملية البالغ عددها 6786 بشكل فردي ، يحتاج أصدقاء فوتشيكوما في القسم 9 فقط إلى التحقيق في 223 مجتمعًا تم الإبلاغ عنه.

نموذج الموضوع

كما تضمن CK Chen والفريق مكون نموذج الموضوع لإعطاء المحققين بيانات سياقية إضافية لكل مجتمع. ستتلقى كل مجموعة تحليلاً للكلمات الرئيسية وعددًا غير طبيعي لوحدة الاتحاد الأفريقي وتسمية أولية.

تمشيط خوارزمية NLP (معالجة اللغة الطبيعية) فوق نص كل AU داخل مجتمع واحد للحصول على كثافة عالية لأي كلمات رئيسية ضارة معروفة. سيتم بعد ذلك تسمية المجتمع بهذه الكلمات الرئيسية. سيعطي تحليل الكلمات الرئيسية هذا المحققين بيانات سياقية مفيدة في لمحة لكل مجتمع.

أمثلة على الكلمات الرئيسية: 1. cmd.exe ، net command 2. powershell ، تجاوز 3. whoami ، ARP 4. netsh advfirewall ، allprofiles ، nets

ثم يتم حساب العدد الإجمالي لوحدات AUs غير الطبيعية (القيم المتطرفة) لكل مجتمع. إذا تجاوز عدد الاتحاد الإفريقي غير الطبيعي عتبة محددة مسبقًا ، فسيتم إعطاء المجتمع بعد ذلك التسمية الأولية للخبيثة.

في البداية ، إذا كان المجتمع يحتوي على واحد على الأقل من الاتحاد الأفريقي غير الطبيعي ، فسيتم وضع علامة على المجتمع على أنه ضار. ومع ذلك ، كما سنرى ونستكشف لاحقًا باستخدام البيانات ، تم تغيير ذلك إلى المجتمعات التي تم وضع علامة على 50 بالمائة أو أكثر من وحدات AUs غير الطبيعية على أنها ضارة.

مجتمع Debbie ممثلة في نظام البيانات القائم على الرسم البياني ، Neo4j.

قد يبدو أن فوشيكوما قد يفتقد الكثير من النشاط الضار ؛ ومع ذلك ، تذكر أنه من بين 540 مجتمعًا ، كان 223 فقط يحتوي على شذوذ. 176 من 223 مجتمعًا غير طبيعي كانت على الأقل 50 في المائة غير طبيعية. ماذا عن 47 مجتمع مفقود؟ لكل منهم AUs غير طبيعية. هل سيتجاهلهم فوشيكوما ببساطة؟

لا لا على الاطلاق.

نشر التسمية

لا يظهر فوشيكوما أي رحمة. يبدأ البحث عن المفقودين 47 وينتهي هنا. باستخدام بنية الرسم البياني وعدد الاتحاد الأفريقي غير الطبيعي ، يتم وضع علامة على الفور على كل AU لديه علاقة مباشرة (الوالدين والطفل) بمجتمع غير طبيعي (واحد من 176) على أنه مشبوه ويتم منحه تصنيف الشك. لكل علاقة مباشرة ، يجب على الاتحاد الأفريقي أن يكون مجتمعًا غير طبيعي ، يتم زيادة تصنيف شك الاتحاد الإفريقي.

ستظل النتائج الإيجابية الكاذبة تحدث ؛ ومع ذلك ، مع نمذجة الموضوع ونشر الملصق ، سيتمكن المحققون من تحديد أولويات عملية التحقق الخاصة بهم بدءًا من AUs مع أعلى تصنيف للريبة.

مجتمع إيجابي كاذب ممثلة في نظام البيانات القائم على الرسم البياني ، Neo4j.

كان Fuchikoma v3 وحشًا مختلفًا عن سابقه. بعد تنفيذ أربعة مكونات جديدة في خط الأنابيب ، تمكن Fuchikoma v3 من القيام بأكثر من ضربة قاضية CyAPTEmu في حلقة الملاكمة المجازية - أكثر من ذلك بكثير.

تقييم الأداء

كما ذكر في الجزء 2 من هذه السلسلة ، فإن الهدف من CyCraft APT Emulator (CyAPTEmu) هو توليد هجمات على أجهزة Windows في بيئة افتراضية. سيرسل CyAPTEmu موجتين من الهجمات ، يستخدم كل منهما كتاب لعب مختلف تم إنشاؤه مسبقًا. تم استخدام Empire لتشغيل أول كتاب تشغيل ، على غرار APT3. تم استخدام Metasploit لتشغيل كتاب اللعب الثاني ، والذي أطلق عليه CK وفريقه Dogeza.

للحصول على شرح أكثر تفصيلاً للمقاييس المستخدمة في هذه الرسوم البيانية ، يرجى قراءة تحليل تقييم الأداء لـ Fuchikoma v2.

كانت نتائج أداء Fuchikoma v3 ضد CyAPTEmu واعدة.

DBScan مع اكتشاف المجتمع كان أداؤه في البداية أسوأ من عدم اكتشاف المجتمع ؛ ومع ذلك ، بمجرد زيادة الحد الأقصى لعدد AUs غير الطبيعي إلى 50 بالمائة ، كان هناك تحسن ملحوظ مع كل من المعدل السلبي الحقيقي وعلامة F1 وتحسن هامشي في المعدل الإيجابي الحقيقي. ارتفع المعدل السلبي الحقيقي لـ DBScan بمقدار 6.28 ، مع إضافة اكتشاف المجتمع.

كيف كان أداء DBScan ضد Dogeza Playbook؟

نرى مرة أخرى زيادة طفيفة في معدل Dogeza السلبي الحقيقي. قد يبدو الفرق 0.69 هامشيًا ، ولكن نظرًا لأن معظم البيانات حميدة ، فإن هذه الزيادة الهامشية لها تأثير كبير. يعني المعدل السلبي الحقيقي المتزايد انخفاضًا في السلبيات الكاذبة ، والذي يترجم بعد ذلك إلى أن يقضي المحققون وقتًا أقل في التحقق من التنبيهات الكاذبة.

كان هناك أيضًا انخفاض طفيف في كل من المعدل الإيجابي الحقيقي ودرجة F1 مع إدخال اكتشاف المجتمع ؛ ومع ذلك ، من خلال تصنيف المجتمعات بدلاً من الأحداث الفردية ، فإن فوشيكوما يقلل من عبء العمل الذي يقوم به المحققون ، حيث يحتاج المحققون إلى فحص المجتمعات فقط بدلاً من كل حدث فردي.

الاكتشاف المهم هنا هو تحويل عدد عتبة الاتحاد الإفريقي غير الطبيعي. شهدت زيادة الحد الأدنى لعدد AUs غير الطبيعي إلى 50 بالمائة زيادة كبيرة في الدقة في كل من درجة F1 والمعدل الإيجابي الحقيقي. عبر كلا كتابي اللعب ، أدت زيادة عدد عتبات الاتحاد الأفريقي غير الطبيعية إلى تحسين أداء فوشيكوما.

كان لتنفيذ عنصر الكشف المجتمعي نتائج متباينة للغابات المعزولة والعوامل الخارجية المحلية. في حين أن المعدلات الإيجابية الحقيقية زادت بشكل كبير ، فقد انخفضت معدلات السلبية الحقيقية. هذا لا يعني الموت لمحققنا - بعيدًا عنه. هذا يعني أن Fuchikoma v3 يكتشف نشاطًا ضارًا أفضل بكثير من سابقاته ؛ ومع ذلك ، فإنها تخلق أيضًا المزيد من الإيجابيات الكاذبة.

هذا هو السبب وراء انتشار التسمية. على الرغم من وجود زيادة في الإيجابيات الكاذبة ، سيتم إدراج هذه الإيجابيات الكاذبة بترتيب تصنيف الشك ، مما يسمح للمحققين بتحديد أولويات عملية التحقق الخاصة بهم بدءًا من AUs بأعلى تصنيف للريبة.

كان أعظم تقدم في علم الجريمة في القرن العشرين هو جمع وتحليل بصمات الأصابع. قصة الهجوم ، في جوهرها ، هي البصمة الرقمية للهجوم ولكن أكثر من ذلك بكثير.

تسمح قصة الهجوم أيضًا للمحققين بالتعمق في حدث واحد ومراقبة الحركة الجانبية ، وبالتالي ربط جميع بنيات الرسم البياني التي تم إنشاؤها ، ورؤية الصورة الكاملة للنشاط الضار عبر الشبكة بأكملها.

وباختصار ، فإن قصة الهجوم لا تكشف فقط عن تقنيات الخصومة المستخدمة في الهجوم ، بل يمكنها أيضًا إلقاء الضوء على الدوافع الكامنة وراء استخدام هذه الأساليب المعادية. إن القدرة على تحليل مجمل الهجوم يعطي المحققين وجهة نظر واضحة في دوافعهم ويبلغ المحققين بأي روابط مفقودة في سلسلة تقنيات الخصومة المستخدمة. نرى هنا أن المهاجمين حصلوا على وصول أولي من خلال رابط البريد الإلكتروني للتصيد ، وقاموا بحركة جانبية لتصعيد وصولهم ، وفي النهاية قاموا بإعداد أمر وتحكم قابل للتنفيذ.

ديبي ، أنت في يوم عصيب في العمل.

الآن بعد أن مررنا عبر خط الأنابيب الكامل لـ Fuchikoma v3 وراجعنا تقييم الأداء ، دعنا نتحقق مرة أخيرة مع فريق المحققين من النخبة في القسم 9.

القسم 9 ، Ghost in the Shell: SAC 2nd GiG (2002، Production iG)

التحدي الأول: إشارة ضعيفة [تم حلها]

لا تحتوي الأحداث المنفردة بمعزل عن معلومات كافية لتحديد ما إذا كانت تمثل تهديدًا أم لا. يجب أن تكون البيانات سياقية حتى تكون مفيدة لـ Fuchikoma. تم إضافة وحدات التحليل ، التي تحتوي على معلومات عن العمليات الخاصة بالوالدين والوالدين ، إلى خط أنابيب ML ثم تم تجميعها ووضع علامة عليها لاحقًا في خط أنابيب ML. تم إثراء المزيد من البيانات السياقية من خلال بناء الرسم البياني وقصة الهجوم.

وحدة تحليل تتألف من خطوط قيادة موجهة نحو قوات الدفاع الإسرائيلية

في استعارة الملاكمة لدينا ، أصبح فوشيكوما الآن قادرًا على ربط كل ما يراه بكل شيء آخر. لا يرتبط البراز الخشبي الموجود في زاوية CyAPTEmu بالكاميرا التي تومض في الخلفية. يرتبط التأرجح الخلفي لذراع خصمنا بالتأكيد باللكمة التي تسرع الآن بسرعة تجاهنا. مع الدمج الإضافي لتكوين الرسم البياني واكتشاف المجتمع ونموذج الموضوع ونشر الملصق ، أصبح فوتشيكوما الآن قادرًا على رؤية السلسلة السببية للأحداث ذات الصلة وتفكيك تسلسل الهجوم بأكمله في النهاية.

التحدي الثاني: مجموعات البيانات غير المتوازنة [تم الحل]

كما ذكرنا سابقًا ، يمكن أن يشهد يوم العمل النموذجي في بيئة المنظمة مليارات الأحداث المتنوعة. فقط جزء صغير منها (1.1 في المائة في بيانات التدريب) سيكون في الواقع مرتبطًا بهجوم حقيقي. خلّف هذا الخلل الهائل في مجموعات البيانات (العادية مقابل الخبيثة) مشكلتين كبيرتين: (1) وقت وضع العلامات غير الفعال و (2) كمية أقل من البيانات المثالية للأحداث الخبيثة. ومع ذلك ، نظرًا لإعطاء الأولوية للكشف عن الشذوذ ، لم تعد هناك حاجة إلى وضع علامة على مجموعات حميدة (98.9 في المائة من بيانات التدريب) - مما يقلل بشكل كبير من حجم البيانات المطلوبة ليتم تصنيفها والوقت اللازم لتسمية البيانات المذكورة.

Fuchikoma v2: تفوقت DBScan على LOF و IF في كل من APT3 و Dogeza playbook.

كان Fuchikoma v2 قادرًا على التركيز فقط على النشاط غير الطبيعي. ومع ذلك ، ستظل بعض الأنشطة الضارة غير مرئية لأنها مطابقة للنشاط الحميد (مثل "netstat" أو "whoami"). هذا يعني أن بعض النتائج الإيجابية الكاذبة ستظل تحدث.

في استعارة الملاكمة لدينا ، أصبح Fuchikoma الآن قادرًا على رؤية كل اللكمات يتم رميها ، والحصول على ضربات عدة مرات ، وحظرها عندما لا تكون ضرورية. ومع ذلك ، دون علم CyAPTEmu ، فوشيكوما هو سيد الحبل مخدر. لسوء الحظ بالنسبة لـ CyAPTEmu ، لا يرى Fuchikoma فقط جميع اللكمات التي تم إلقاؤها ، ولكنه قادر في نهاية المطاف على تفكيك الهجوم بأكمله ، وتحديد نقاط ضعف CyAPTEmu ، وإحراق نقطة نهاية المباراة.

التحدي الثالث: من الصعب استرداد الملصقات عالية الجودة [تم الحل]

كان استخدام Fuchikoma v3 للكشف عن الشذوذ وتحليل المجتمع لتحليل الأحداث مسبقًا قادرًا على تقليل كمية التسميات المطلوبة بشكل كبير. يحتوي كل حدث (أو في وحدة عرض التحليل الخاصة بـ Fuchikoma) على كمية كبيرة من البيانات السياقية التي يتم رسمها الآن بالكامل في بنية الرسم البياني. في حين أن القوائم السوداء لنموذج الموضوع محدودة ، فإن الشبكة وعدد الأحداث التي يقرأها فوتشيكوما. لا يحتاج Fuchikoma إلى معرفة جميع الهجمات المحتملة ؛ تحتاج فقط إلى رؤية جميع تقنيات الخصومة المستخدمة في الهجوم الحالي ، والتي يمكنها الآن.

مجتمع Debbie ممثلة في نظام البيانات القائم على الرسم البياني ، Neo4j

من حيث تشبيه الملاكمة لدينا ، فوتشيكوما لديه الآن القدرة على عرض الهجوم بأكمله ، وقراءة دوافع CyAPTEmu ، والاستجابة وفقًا لذلك. تمت إزالة الغموض عن كل تقنية ضارة ، مما أدى إلى القضاء على جميع التخمينات.

التحدي الرابع: بلا قصة [تم الحل]

يذكر موردو EDR "اكتشاف السبب الجذري" ولكنه عادةً ما يتعلق بنقطة النهاية وليس السبب الجذري العالمي الحقيقي للشبكة المخترقة. لا يكفي اكتشاف قطعة واحدة من البرامج الضارة بشكل منفصل لفهم كامل للنشاط الضار الذي يحدث على شبكتك من منظور الطب الشرعي. والأسوأ من ذلك ، قد يفوت محللو الأمن شيئًا ما عندما يُعرض عليهم عدد قليل من الأحداث المعزولة.

القدرة على رؤية التقدم الزمني للهجوم أمر بالغ الأهمية للاستجابة والتعافي. هذا يعني أن تكون قادرًا على تتبع حدث إنشاء عملية واحد (ما يتتبعه فوشيكوما) مرة أخرى إلى أصله الأصلي (الوصول الأولي) ، وفي نفس الوقت ، القدرة على تتبع جميع الأحداث الفرعية التي تم إنشاؤها نتيجة لحدث إنشاء العملية الأصلي - شجرة واحدة كبيرة من العمليات الخبيثة تحدد جميع الأساليب العدائية المستخدمة.

بالعودة إلى الحلبة للمرة الأخيرة ، لم يعد Fuchikoma قادرًا على رؤية كل لكمة يتم إلقاؤها فحسب ، بل إنه قادر أيضًا على تفكيك الهجوم بأكمله.

يحدد مدرب فوشيكوما (فريق القسم 9 SOC) السبب الجذري الحقيقي للهجوم ويعطي مقاتلنا أمره النهائي: دودج! ضربة مضادة! زيادة!

CyAPTEMU معطل!

10.

9.

8.

7.

6.

5.

4.

3.

2.

1.

وآخر ذهب ، وآخر ذهب! شخص اخر حارب الرمال!

ضرب!

CyAPTEmu معطل ولن يتم استرداده في أي وقت قريب.

من خلال تطوير Fuchikoma ، تمكن CK Chen وفريقه من إظهار كيف يمكن للتعلم الآلي أن يساعد في البحث عن التهديدات وتقليل عبء عمل المحققين. فوشيكوما ليس فقط دليلاً عمليًا على البحث عن التهديدات لنظام المفاهيم الذي تم إنشاؤه من خلال أدوات مفتوحة المصدر وخوارزميات الرسم البياني والكشف عن الشذوذ ولكنه أيضًا قادر على تحديد الأوامر الخبيثة بدقة.

ما هي الخطوة التالية لـ Fuchikoma؟

Fuchikoma هي نسخة واحدة مبسطة فقط من واحدة من أكثر من 50 طرازات ML معقدة تستخدمها منصة CyCarrier CyCraft لهزيمة APTs في البرية كل يوم.

تستخدم CyCraft "كل فوشيكوما لدينا" في شبكات عملائنا لاكتشاف التهديدات واحتوائها والرد عليها. مع التحليلات الجنائية المستمرة ، تستطيع CyCraft تحديد موقع السبب الجذري لنقطة نهاية واحدة فقط ولكن السبب الجذري العالمي الحقيقي عبر شبكتك بأكملها. تستخدم منصة CyCarrier الخاصة بنا العديد من أدوات الطب الشرعي الآلية لمهمة واحدة بسيطة - لا مزيد من التنبيهات.

بدلاً من ذلك ، تسمح التقارير المنتظمة التي تتضمن بيانات سياقية تفصيلية ونتائج قابلة للتنفيذ لمحللي الأمان لديك بمعرفة ما حدث بكل ثقة وما يحدث وما يجب فعله على شبكتك.

اعلم جيدا. تعرف مع CyCraft.

CyCraft هي شركة الأمن السيبراني الرائدة في تايوان ، وهي الدولة التي تتلقى حكومتها ما يقدر بنحو 30 مليون هجوم سيبراني في الشهر - 60 بالمائة منها من الصين القارية.

CyCraft ، في عامها الثالث فقط ، كانت تتوسع بسرعة عبر آسيا. ليس من المستغرب أن تفوق CyCraft على جميع موردي الأمن السيبراني الآخرين في آسيا في جوائز التميز للأمن السيبراني لعام 2020. كانت CyCraft واحدة من اثنين من موردي الأمن السيبراني من آسيا الذين تم اختيارهم للانضمام إلى الجولة الثانية من تقييمات MITER ATT & CK مقابل محاكاة APT29 الخاصة بهم.

اعتبارًا من عام 2020 ، قامت CyCraft بتأمين الوكالات الحكومية وشركات Fortune Global 500 وأهم البنوك والمؤسسات المالية في آسيا والبنية التحتية الحيوية وشركات الطيران والاتصالات وشركات التكنولوجيا الفائقة والشركات الصغيرة والمتوسطة في العديد من دول آسيا والمحيط الهادي ، بما في ذلك تايوان وسنغافورة واليابان وفيتنام ، وتايلاند. نحن نقوم بتزويد SOCs من خلال خدمات MDR (الملكية المدارة والكشف) الحاصلة على جوائز والملكية الحاصلة على جوائز ، وبرنامج عمليات SOC (مركز العمليات الأمنية) ، و TI (استخبارات التهديدات) ، وفحص Enterprise Health ، والطب الشرعي الآلي ، و IR (الاستجابة للحوادث) .

اقرأ حالة الاستخدام الخاصة بكيفية مساعدة CyCraft Technology لواحدة من أكبر أربع شركات مصنعة لأشباه الموصلات التي تعمل على توفير 95 بالمائة من تكاليف القوى العاملة وتقليل وقت التحقيق في الاستقصاء الجنائي الشرعي الرقمي قبل الاستحواذ بنسبة 99 بالمائة ، مع خفض التكلفة بنسبة 95٪.

لمزيد من المعلومات حول منصتنا ، وكيف نتغلب على APTs في البرية ، أو أحدث أخبار CyCraft للأمان ، تابعنا على Twitter و LinkedIn و Medium وموقعنا على CyCraft.com.

كيفية تدريب نموذج ML للتغلب على هجمات APT Cyber ​​Attack Round 1: تقديم جولة Fuchikoma الجولة 2: Fuchikoma VS CyAPTEmu: جولة الوزن 3: Fuchikoma v0: تعلم جولة العلوم الحلوة 4: Fuchikoma v1: العثور على الجولة الرائعة في الجولة 5: فوشيكوما v2: جاب ، كروس ، هوك ، إتقان جولة كومبو 1–2–3: فوشيكوما الإصدار 3: دودج ، كاونتر بانش ، أوبيركوت!