Un sistema de código abierto detecta nuevas variedades de ciberataques

Los ciberataques se han convertido en un riesgo importante para las empresas y otras organizaciones. Para evitar el robo de datos, el sabotaje y la extorsión, muchas empresas y agencias gubernamentales están recurriendo a sistemas de gestión de eventos e información de seguridad (SIEM), que utilizan reglas de detección, también conocidas como firmas, para identificar ataques cibernéticos.

Sin embargo, los investigadores del Instituto Fraunhofer de Comunicación, Procesamiento de Información y Ergonomía FKIE realizaron pruebas exhaustivas y concluyeron que a los atacantes les resulta fácil evadir muchas firmas como estas. AMIDES, un nuevo sistema de código abierto de Fraunhofer FKIE, está diseñado para ayudar a remediar la situación. Utiliza IA para identificar ataques que las firmas tradicionales pasan por alto.

La amenaza de ciberataques y espionaje industrial seguirá aumentando en 2024. Según un estudio de la asociación digital Bitkom, 8 de cada 10 empresas en Alemania han sido víctimas de robo de datos y ataques similares. Los daños causados ​​por las intrusiones en la red ascienden a miles de millones de euros.

Pero el problema es que la naturaleza de los ataques y los métodos utilizados para llevarlos a cabo cambian constantemente, y los atacantes a menudo solo hacen cambios menores para evadir la detección. El resultado final es que el robo y la manipulación a menudo pasan desapercibidos hasta que ya es demasiado tarde.

El sistema de código abierto detecta la evasión de firmas mediante la detección adaptativa de uso indebido

Hasta ahora, la detección de ataques cibernéticos a las organizaciones se ha basado principalmente en firmas escritas por expertos en seguridad a partir de ataques conocidos. Estas firmas son la pieza central de un sistema SIEM. Sin embargo, los investigadores del Fraunhofer FKIE de Bonn han descubierto que a los atacantes les resulta fácil eludir muchas firmas de este tipo.

Aunque se pueden utilizar métodos de un área relacionada llamada detección de anomalías como alternativa para identificar ataques a pesar de las evasiones de firmas, este enfoque frecuentemente produce una gran cantidad de falsas alarmas; tantas, de hecho, que ni siquiera todas pueden investigarse.

Para resolver este problema, los investigadores de Fraunhofer FKIE se propusieron lograr un equilibrio práctico, desarrollando un sistema que se basa en el aprendizaje automático para identificar ataques que son similares a firmas existentes, pero que no coinciden exactamente con ellas. Su solución, el Sistema Adaptativo de Detección de Uso Indebido (AMIDES), utiliza aprendizaje automático supervisado para identificar posibles evasiones de reglas y, al mismo tiempo, minimizar las falsas alarmas.

El disponible gratuitamente software de código abierto está dirigido principalmente a organizaciones más grandes que ya cuentan con sistemas y estructuras centrales de monitoreo de seguridad y ahora buscan mejorarlos.

«Las firmas son la forma más importante de detectar ciberataques en redes empresariales, pero no son una panacea», afirma Rafael Uetz, investigador de Fraunhofer FKIE y jefe del grupo de investigación de Detección y Análisis de Intrusiones.

«A menudo se puede llevar a cabo una actividad maliciosa sin ser detectada modificando ligeramente el ataque. Los adversarios utilizan varias técnicas para disfrazar lo que están haciendo y evadir la detección, como insertar caracteres ficticios en las líneas de comando. El atacante escribe su comando específicamente para que la firma no encontrarlo», dice, explicando las tácticas empleadas por los ciberdelincuentes.

Aquí es donde entra en juego AMIDES: el software extrae funciones de eventos relacionados con la seguridad, como la línea de comando de programas recién iniciados. Luego se utiliza el aprendizaje automático para identificar líneas de comando que son similares a las que coinciden con las reglas de detección pero que no coinciden exactamente. AMIDES daría la alarma en este caso.

Los autores llaman a este enfoque detección adaptativa de uso indebido porque se adapta al entorno objetivo al recibir primero capacitación sobre cómo se comporta normalmente el entorno para que pueda distinguir correctamente los ataques potenciales de los eventos inofensivos.

La detección adaptativa de uso indebido permite la atribución de reglas

Junto con la opción de iniciar advertencias de posible evasión, el nuevo enfoque también ofrece una función que los investigadores llaman atribución de reglas. Cuando se activa una regla convencional para detectar un uso indebido, un analista puede simplemente mostrar la regla para descubrir qué ha sucedido, ya que las reglas normalmente contienen un título significativo y una descripción además de las firmas.

Pero muchos sistemas basados ​​en el aprendizaje automático carecen de esta ventaja y, en cambio, simplemente generan una advertencia sin más contexto. Dado que la detección adaptativa de uso indebido aprende de las reglas de detección de SIEM, la información sobre qué funciones están contenidas en qué reglas está disponible durante la capacitación, lo que permite a AMIDES evaluar qué reglas es probable que se hayan evadido.

AMIDES ya ha sido evaluado mediante pruebas exhaustivas utilizando datos del mundo real de una agencia gubernamental alemana. Uetz comenta: «Estas pruebas demostraron que nuestra solución tiene el potencial de mejorar significativamente la detección de intrusiones en la red».

Con su nivel predeterminado de sensibilidad, AMIDES logró identificar el 70% de los intentos de evasión, sin generar falsas alarmas. En lo que respecta a la velocidad, las mediciones muestran que el sistema es lo suficientemente rápido para funcionar en vivo, incluso en redes empresariales muy grandes.