Microsoft utiliza el aprendizaje automático para predecir …



Los investigadores construyen un modelo para atribuir ataques a grupos específicos basándose en tácticas, técnicas y procedimientos, y luego calculan su próximo movimiento.

Microsoft está desarrollando formas de usar el aprendizaje automático para convertir los enfoques específicos de los atacantes para comprometer sistemas específicos en modelos de comportamiento que se pueden usar para automatizar la atribución de ataques a actores específicos y predecir los próximos pasos de ataque más probables.

En un web site de investigación publicado a principios de este mes, el gigante del application afirmó que ha utilizado los datos recopilados sobre los actores de amenazas a través de sus productos de seguridad en la nube y de punto remaining para entrenar un modelo grande y probabilístico de aprendizaje automático que puede asociar una serie de tácticas, técnicas y procedimientos ( TTP), las señales que los defensores pueden obtener de un ciberataque en curso, con un grupo específico. El modelo también puede revertir la asociación: una vez que un ataque se atribuye a un grupo específico, el sistema de aprendizaje automático puede usar su conocimiento para predecir el próximo paso de ataque más probable que observarán los defensores.

El enfoque de aprendizaje automático podría conducir a tiempos de respuesta más rápidos a las amenazas activas, una mejor atribución de los ataques y más contexto sobre los ataques en curso, dice Tanmay Ganacharya, director de socios de investigación de seguridad de Microsoft.

«Es fundamental detectar un ataque lo antes posible, determinar el alcance del compromiso y predecir cómo progresará», dice. «La forma en que avanza un ataque depende de los objetivos del atacante y del conjunto de tácticas, técnicas y procedimientos que utilizan (y nos enfocamos) en asociar rápidamente los comportamientos y características observados a los actores de amenazas y proporcionar información importante para responder a los ataques».

En la entrada del web site de principios de abril, Microsoft describió la investigación sobre aprendizaje automático e inteligencia de amenazas que utiliza TTP del marco MITRE ATT & CK, la cadena de ataque y el conjunto de datos masivo de billones de señales de seguridad diarias de sus 400.000 clientes para modelar actores de amenazas. Así como los defensores usan los libros de jugadas para responder a los ataques y no olvidar pasos importantes en el calor del momento, los atacantes suelen tener una forma estándar de realizar ataques. El enfoque de aprendizaje automático intenta modelar su comportamiento.

Las empresas se encuentran en las primeras etapas del proceso de adopción del aprendizaje automático para el procesamiento y el enriquecimiento de la inteligencia sobre amenazas. Si bien alrededor del 70% de las empresas están utilizando el aprendizaje automático con inteligencia de amenazas de alguna manera, el 54% de esas empresas actualmente no están satisfechas con la tecnología, según el Instituto SANS «Encuesta de inteligencia sobre amenazas cibernéticas de SANS 2021. «

Proporcionar información útil mediante el aprendizaje automático podría ayudar, afirmó el equipo de investigación de Microsoft 365 Defender en su website.

«Todavía estamos en las primeras etapas para darnos cuenta del valor de este enfoque, sin embargo, ya hemos tenido mucho éxito, especialmente en la detección e información a los clientes sobre los ataques operados por humanos, que son algunas de las amenazas más prevalentes e impactantes en la actualidad», agregó. escribió la empresa.

Para permitir su investigación, la empresa take in datos de su computer software y servicios antimalware Microsoft Defender para crear colecciones de TTP. Usando esas señales, los investigadores de la compañía implementaron un modelo de purple bayesiana, que en ciberseguridad se asocia más comúnmente con motores anti-spam, porque es «muy adecuado para manejar los desafíos de nuestro problema específico, incluida la alta dimensionalidad, las interdependencias entre TTP y datos faltantes o inciertos «, dijeron.

El teorema de Bayes puede calcular la probabilidad, dados ciertos TTP y patrones históricos, de que un determinado grupo esté detrás de los ataques.

«Los datos masivos pueden proporcionar conocimientos que los humanos no pueden a través del aprendizaje supervisado», dice Ganacharya. «En este caso, los TTP se utilizan como variables en un modelo de purple bayesiana, que es una herramienta estadística compleja que se utiliza para correlacionar alertas de varios sistemas de detección y (predecir) futuras etapas de ataque. Estos conocimientos ayudan a los analistas en la atribución cuando un actor específico está presente, lo que permite investigaciones focalizadas «.

El uso del modelo de probabilidad también brinda a los analistas herramientas adicionales para predecir la próxima acción potencial de un atacante. Si se observan ciertos TTP, por ejemplo, la transferencia de herramientas y la desactivación de herramientas de seguridad del marco MITRE ATT & CK, el modelo predecirá los ataques que probablemente verá el defensor a continuación.

Además, el modelo se puede actualizar fácilmente con nueva información a medida que los atacantes cambian sus enfoques para comprometer los objetivos, dijo la compañía.

Sin embargo, persisten los desafíos. El modelo requiere buenos datos sobre los actores de amenazas y sus TTP específicos para crear el modelo. Se requieren expertos humanos para evaluar los datos y, actualmente, interpretar los resultados del modelo para los clientes.

«Si los datos de entrenamiento no representan los comportamientos verdaderos, el modelo puede hacer predicciones deficientes», dice Ganacharya. «Esto podría resultar en que las operaciones de seguridad tomen acciones incorrectas para detener el ataque, ya sea perdiendo el tiempo de respuesta crítico siguiendo pistas falsas o impactando a los usuarios que no son parte del ataque».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Reading, MIT&#39s Technological know-how Critique, Popular Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic