人間が操作するランサムウェアに対する AI 主導の適応型保護

news

人間が操作するランサムウェア攻撃では、攻撃者は予測可能な方法を使用してデバイスに侵入しますが、最終的にはネットワーク内を移動するためにキーボードを使用する操作に依存します。人間が操作するランサムウェアのような複雑な攻撃に対する既存のクラウド提供の自動保護を強化するために、デバイスからクエリが実行されると、デバイスが危険にさらされているかどうかをインテリジェントに予測し、より積極的なブロックを自動的に発行するクラウドベースの機械学習システムを開発しました。デバイスを保護するための判定を行い、攻撃者の次のステップを阻止します。

システムが行うデータ駆動型の決定は、広範な調査と実験に基づいており、顧客体験に影響を与えることなくブロック効果を最大化します。適応型保護は AI 主導であるため、デバイスに与えられるリスク スコアは、個々の指標だけでなく、システムが攻撃が差し迫っているか進行中であるかを判断するために使用する幅広いパターンと機能に依存します。この機能は、人間が操作するランサムウェアとの戦いに適しています。攻撃者が未知のファイルや無害なファイル、または正当なファイルやプロセスを使用した場合でも、システムはファイルやプロセスの起動を阻止できるからです。

顧客環境では、AI 主導の適応型保護機能は、アクセスを許可するバイナリを停止することで、人間がネットワークに侵入するのを防ぐのに特に成功しました。修復の優先度が低いと考えられる指標を考慮することで、適応型保護は攻撃チェーンを早い段階で阻止し、攻撃の全体的な影響を大幅に軽減しました。脅威は、Cridex であることが判明しました。Cridex は、認証情報の盗難やデータの流出に一般的に使用されるバンキング型トロイの木馬であり、人間が操作するランサムウェアを含む多くのサイバー攻撃の重要な要素でもあります。

クラウド保護を有効にしているエンドポイント向け Microsoft Defender のお客様は、デバイス (サーバーを除く) でこの改善の利点を既に得ています。追加の手順は必要ありません。クラウドによる保護はデフォルトでオンになっていますが、オンのままであることを確認して確認することをお勧めします。このバックエンドの機能強化により、人為的な攻撃やその他の巧妙な脅威がネットワーク内で進行するのを防ぎ、インシデント対応者が攻撃が発生したときに分析して修復するための時間を増やすことができます。 Microsoft は、引き続きデータ サイエンス技術を使用して、Microsoft 365 Defender で使用される機械学習アルゴリズムを強化および開発します。

アダプティブ プロテクションの実際の動作を確認する

マイクロソフトでは、データ サイエンティストが高度な AI 技術の研究とプロトタイピングを常に行っており、ランサムウェア攻撃者と戦っています。これらの攻撃に対して有効であることが証明されている機能の 1 つは、最近企業のお客様向けにリリースされた新しい AI 駆動の適応型保護です。

ウイルス対策を介してデバイスからクエリが実行されたときに、適応型保護がどのように機能するかを示す図

図 1. AI 主導の適応型保護のしくみ。デバイス リスク スコアリングは設計上リアルタイムで行われるため、遅延は発生しません。

適応型保護機能は、既存の堅牢なクラウド保護に加えて機能し、さまざまな次世代テクノロジーを通じて脅威から防御します。管理者が手動でクラウド保護レベルを調整する必要がある既存のクラウド保護レベル機能と比較して、適応型保護はよりスマートで高速です。デバイスによってクエリが実行されると、リアルタイムの機械学習予測に基づいて、クラウド配信のブロック判定の積極性を自動的に上げたり下げたりできるため、デバイスをプロアクティブに保護できます。

システムが特定のファイルをブロックした場合、AI 主導の適応型保護が動作していることがわかります。デバイスでこのファイルが発生する前に、システム コード インジェクションやタスク スケジューリングなどの疑わしい動作がデバイスで観察されていました。これらの信号は、特に AI 主導の適応型保護のインテリジェントなクラウド分類子によってすべて考慮され、デバイスが「危険にさらされている」と予測されると、クラウドのブロックの積極性が即座に強化されました。攻撃性が高まったため、Microsoft Defender ウイルス対策はこのファイルを検出してブロックしました。新しいマルウェアを一目で検出してブロックすることは本質的に難しいため、アダプティブ クラウド プロテクション機能がなければ、この顧客のデバイスでこのファイルがブロックされなかった可能性があります。

その後、このファイルは Cridex の亜種であることが判明しました。Cridex は、資格情報の盗難やデータの流出によく使用され、これらの資格情報とデータが後の攻撃でサイバー犯罪者によって使用されることにつながりました。これらの動作は、人間が操作するランサムウェア攻撃の重要な要素でもあり、さらなる影響を防ぐために早期検出が重要です。次のセクションでは、アダプティブ クラウド プロテクションが人間が操作するランサムウェア攻撃から顧客を保護する方法について詳しく説明します。

機械学習を使用して適応型クラウド保護を強化

この機能を意図したとおりに実行するには、2 つのことをうまく実行する必要がありました。 1 つは、デバイスが危険にさらされているかどうかを正確に判断するシステムが必要だったことです。 2 つ目は、システムが前の判定またはスコアに応じて応答し、調整する必要があることです。

デバイスが危険にさらされているかどうかの予測

デバイスが攻撃を受けると、多くの場合、デバイス上のアクティビティは少数の疑わしい兆候として始まります。これらは通常、単独では悪意のある攻撃として表面化することはありません。ただし、これらのシグナルが時間の経過とともに連続して、またはクラスター パターンで見られる場合、AI 主導の保護は、新しいシグナルが到着するたびにデバイスの状態を評価し、それに応じてデバイスのリスク スコアを即座に調整できます。シグナルの例には、以前のマルウェアの遭遇、脅威、行動イベント、およびその他の関連情報が含まれます。

デバイスが実際には危険にさらされているのに危険ではないと誤ってスコア付けされた場合、攻撃者は、たとえば、攻撃者が資格情報を盗み、それらを使用して横方向に移動する場合など、検出テクノロジがキャッチするのがより困難になる可能性のある追加のアクティビティを実行する可能性があります。逆に、危険ではないデバイスが危険にさらされていると誤って判断された場合、カスタマー エクスペリエンスが損なわれます。バランスをとるために、正確なスコアを与え、そのモデルを精力的にテストできるインテリジェントな機械学習モデルを見つける必要がありました。

選択したモデルは、パターン認識 (具体的には、頻繁なアイテムセット マイニング) が統合されたバイナリ分類器です。調査によると、これらの目的では、個々のトークンよりも共起またはパターンがより強力な識別因子であり、共起を使用するとモデルの全体的な堅牢性が向上することが示されています。この目的のために、悪意のあるサンプルに入力機能としてよく現れるパターンを含めました。モデルの精度 (または総予測に対する正しい分類の数) をさらに高めるために、良性のサンプルに存在する頻繁なパターンとの Jaccard 類似度距離が小さいパターンを除外することによって、識別可能なパターンのみが選択されました。

その時点でモデルによって計算されたデバイスのリスク スコアによって、システムの次のステップが決定されます。

クラウド ブロックの積極性を自動的に調整する

特定のデバイスのリスク スコアが特定のしきい値を超えると、クラウド保護は自動的に積極的なブロックに切り替わります。このレベルのブロックは、デバイスが危険にさらされており、悪意を持って使用されている可能性が高い場合、すぐには悪意があると見なされない一部のプロセスまたはファイルもブロックされる可能性があることを意味します。リスク スコアのしきい値とアグレッシブ モードへの切り替えはどちらも、カスタマー エクスペリエンスに影響を与えることなくブロック効果を最大化するための集中的な調査と実験に基づくデータ駆動型の決定です。

さらに、デバイスのリスクはリアルタイムでスコア付けされて更新されるため、デバイスがリスクにさらされていないと見なされた直後に、クラウドは攻撃性を即座に下げます。したがって、この AI 主導の適応型保護機能が不必要な誤検知を引き起こしたり、カスタマー エクスペリエンスを混乱させたりしないようにすることができます。

状況に応じてパーソナライズされた保護を提供

クラウドでのリアルタイムのリスク スコア計算に対するブロッキング メカニズムの応答性により、システムはより適切な情報に基づいて決定を下し、デバイスでコンテキストまたはステートフルなブロッキングが行われます。このレベルの保護のカスタマイズにより、同じファイルや動作であっても、デバイスごとに保護エクスペリエンスが異なります。

たとえば、リスク スコアが低いデバイスではプロセス A を許可できますが、潜在的に危険なデバイスではプロセス A をブロックして警告を発することができます。この「パーソナライゼーション」は、すべてのデバイスが混在するデータセットでトレーニングされた機械学習モデルとは異なり、偽陽性または偽陰性に陥る可能性が低いため、顧客にとって有益です。基本的に、各デバイスはそれに合わせたレベルの保護を受けます。

人間が操作するランサムウェアに対する適応型クラウド機械学習

AI 主導の適応型保護には、幅広いユースケースと大きな潜在的価値があります。人間が操作するランサムウェア防止への適用は、特に成功しています。人間が操作するランサムウェア攻撃チェーンは通常、特定のパターンに従います。悪意のあるファイルを配布するキャンペーンから始まり、認証情報の盗難やデータの流出のためのラテラル ムーブメントなどの手法を使用し、最後にランサムウェア ペイロードを展開およびアクティブ化してデバイス上のファイルを暗号化し、身代金を表示します。ノート。

ただし、攻撃者は環境内の特定の調査結果に反応して調整するため、迅速に行動し、さまざまな代替手段を使用して次のステップに進むことができます。これにより、インシデント対応担当者が攻撃が進行中であるかどうか、および攻撃者を阻止する方法を迅速に判断することが困難になります。ただし、当社の適応型保護は、ファイルが実際に暗号化される前に発生した攻撃者の活動の痕跡を検出できます。これらのデータはすべて機械学習アルゴリズムによって収集され、リスクを評価するための証拠として使用されます。現在のデバイスが危険にさらされているか、危険にさらされているとシステムが判断すると、積極的なクラウド ブロックが即座に開始されます。

正当なプロセスまたはファイルの悪用を検出してブロックする

人間が操作するランサムウェア攻撃のハンズオン キーボード フェーズでは、攻撃者は多くの場合、その後の手順で正当なプロセスまたはファイルを使用します。たとえば、ネットワーク列挙は本質的に無害な動作ですが、侵害されていると判断されたデバイスで観察された場合、攻撃者が偵察活動を実行してターゲットを特定している可能性が高くなります。適応型保護は、危険なデバイスでのネットワーク列挙動作をインテリジェントにブロックして、攻撃チェーンを停止し、さらなる攻撃を防ぐことができます。

ランサムウェア ローダーの検出とブロック

ランサムウェア ローダーとは、ランサムウェア攻撃の初期段階および中間段階で通常使用される一連のツールまたはコモディティ マルウェアを指します。たとえば、Ryuk は、Trickbot のようなバンキング型トロイの木馬の感染を通じて配信されます。 Trickbot の感染が検出されない場合、攻撃者は横方向に移動して重要なアカウントの権限を取得し、破壊的な結果をもたらす可能性があります。

既知のランサムウェア ローダーは非常に簡単に検出できるため、通常、攻撃者はファイルにわずかな変更を加えて、ファイル シグネチャの照合を回避します。次に、ファイルの多くのバージョンを配布して、少なくとも 1 つがブロックされない可能性を高めます。これらのファイルはポリモーフィックな性質のため、従来のマルウェア検出方法では見逃されることがあります。ただし、デバイスの状態をリアルタイムで把握できるアダプティブ クラウド機械学習は、デバイスの状態を見逃す可能性を大幅に減らします。

ランサムウェア ペイロードの停止

仮に、初期段階から中期段階の攻撃活動が検出およびブロックされない攻撃では、最終的なランサムウェア ペイロードに関しては、AI 主導の適応型保護が依然として大きな価値を発揮する可能性があります。デバイスがすでに侵害されている場合、当社の AI 主導の適応型保護システムは、最も積極的なモードに簡単かつ自動的に切り替えて、実際のランサムウェア ペイロードをブロックし、重要なファイルやデータが暗号化されるのを防ぎ、攻撃者が身代金を要求できないようにします。彼ら。

クラウドからのよりスマートで高速な保護

AI 主導の適応型保護により、Microsoft Defender for Endpoint は、デバイスの状態に応じて積極性をリアルタイムで調整し、インシデントが発生したときにセキュリティ オペレーション センターにより多くの時間を割いて、攻撃チェーンを最初から阻止できる可能性があります。この機能の広い範囲と高いブロック品質により、すべての企業のお客様に利益をもたらし、AI を活用した次世代の保護をさらに強化できると考えています。

Microsoft Defender for Endpoint の AI 主導の適応型保護機能は、脅威インテリジェンスをサポートするさまざまな AI レイヤーの 1 つにすぎず、セキュリティ脅威を検出して保護する能力を強化します。脅威データが増えると、 Microsoft 365 Defenderによって分析される信号の品質が向上します。これは、人間が操作するランサムウェアのような費用のかかる攻撃に対するクロスドメイン防御を提供するためです。

 

Ruofan WangKelly Kang
Microsoft 365 Defender 研究チーム

参照: https://www.microsoft.com/en-us/security/blog/2021/11/15/ai-driven-adaptive-protection-against-human-operated-ransomware/

Comments

タイトルとURLをコピーしました