Wiecie, że gdyby nie sztuczna inteligencja, to nasze liczby sięgające nawet setek tysięcy zatrzymanych prób phishingu byłyby chyba niemożliwe do osiągnięcia? Przy liczbach nowych domen „odbijających” się codziennie od naszych serwerów DNS nasi „cyfrowi pracownicy” są nieocenioną pomocą.
W okularach widać lepiej
Pracuję już w naszym „cybersec” tak długo, że pamiętam początki naszego Security Operations Center. Gdy 11 lat temu (!) uruchomiliśmy monitoring zagrożeń w trybie 24/7/365 nagle okazało się, że czyhających w niej zagrożeń jest wyjątkowo dużo. Oczywiście nie chodzi o to, że przestępcy zaczęli Was atakować w ramach „uczczenia” startu SOC. Po prostu, niczym krótkowidz założywszy okulary, zaczęliśmy nagle dużo więcej widzieć!
„Zaprzęgnięcie” do pracy sztucznej inteligencji i uczenia maszynowego było kolejnym, oczywistym etapem rozwoju. Wiem, zabrzmiało to jak straszna oficjałka :) Ale naprawdę liczba generowanych codziennie witryn/domen phishingowych jest olbrzymia. Tak bardzo, że nawet zatrudnienie wyłącznie do tego stu osób nie pozwoliłoby na „przerobienie” nawet 10 procent ruchu. O jakich liczbach mówimy?
Dziennie na części ruchu serwera DNS, z którego korzysta nasze rozwiązanie, obserwujemy 8-10 mld zdarzeń związanych z DNS, wstępnie agregowanych do 70 mln.
W kolejnym kroku robi się z tego 6 mln unikalnych domen, a ostatecznie 2-3 mln takich, których wcześniej na naszym serwerze nie widzieliśmy. Do tego dochodzi jeszcze blisko 25 mln informacji o nowych certyfikatach dla stron https. To – po korelacji z innymi danymi – też może być istotną informacją. Sami przyznacie, że to poziom niewyobrażalny do analizy przez człowieka.
Ostatecznie na koniec dnia do „ręcznej” weryfikacji trafia ok. 100-150 domen. Czyli między 0,00014 a 0,00021% zagregowanych domen. Bez wsparcia maszynowego – nie do przesiania.
Jak my to robimy?
Tutaj w zasadzie muszę, niczym Naczelnik Mieczysław z „Kilera”, rzec:
„Wiem... Ale nie powiem!”.
Tzn. trochę powiem :), ale szczegóły naszego autorskiego rozwiązania są poufne. Poza tym sam nie jestem wystarczająco mądry, by zrozumieć je na tyle, bym potrafił wytłumaczyć je Wam :) Generalnie nasze sondy obserwujące ruch na jednym z serwerów DNS Orange Polska dokładnie przyglądają się wszystkim wpadającym nań zapytaniom. Czy dana domena pojawia się po raz pierwszy, kiedy została zarejestrowana, gdzie, pod jaki adres IP się odwołuje. Wreszcie – last, but not least – jaką ma nazwę. Zbierając te wszystkie dane sztuczna inteligencja przydziela każdej domenie punktację. Jeśli punkty przekraczają ustalony poziom – domena spada z „sitka” na kolejny etap analizy.
Dodatkowo, gdy strona dotrze już do analizy przez człowieka („przesianymi” witrynami phishingowymi zajmuję się np. ja), finalna decyzja – czy mamy do czynienia z wynikiem prawdziwie, czy fałszywie pozytywnym – wpływa na to, jak algorytmy będą traktować kolejne podobne witryny. Pojęcie uczenia maszynowego nie jest li tylko buzzwordem. Nasze rozwiązanie uczy się i z czasem staje się coraz dokładniejsze.
W sumie, korzystając z AI i innych źródeł, tygodniowo blokujemy 2-2,5 tysiąca domen.
Szybsi - pomaga sztuczna inteligencja
Pewnie macie na końcu języka pytanie: „Czy zdarzają się pomyłki?”. Oczywiście, że tak, nawet Skynet się mylił (oj, skojarzenia to przekleństwo ;) ). Zdarza się to jednak naprawdę rzadko. To dlatego, że algorytm blokuje tylko witryny, które w sposób absolutnie oczywisty są phishingowe/malware’owe (np. na bazie ich wyglądu). To około połowa zablokowanych stron. W przypadku jakichkolwiek wątpliwości ostateczną decyzję podejmuje człowiek. Czy to jeden z naszych dzielnych operatorów SOC na I linii, czy też III linia, czyli wyżej podpisany albo któryś z moich kolegów. Co ciekawe, trafiają się oszuści z wyjątkowym tupetem! Potrafią, pisząc z adresu w domenie @protonmail.com, zażądać odblokowania konkretnej strony. Jeden nawet w ciągu kilku dni z tego samego adresu poprosił o zdjęcie blokady z trzech, bezdyskusyjnie phishingowych. Czasami w przypadku dużych wątpliwości uruchamiamy nawet „inteligencję białkową” :) i wtedy dzwonię do firmy, która wydaje się być właścicielem witryny, by potwierdzić, czy to aby na pewno nie ich.
Gdyby jednak nie wsparcie naszego działającego w mgnieniu oka cyfrowego przyjaciela, na pewno nie byłoby tak łatwo. Nie byłoby mowy o zablokowaniu phishingowej witryny kilkanaście minut po jej powstaniu! Albo uniemożliwieniu (dzięki informacji o wystawieniu certyfikatu) wejścia na strony z SMSowych phishingów czasem nawet zanim wiadomość dotrze do pierwszej ofiary. Pozostaje tylko mieć nadzieję, że nie ma takich ambicji jak filmowy Skynet ;)
Zdjęcie z www.vpnsrus.com na licencji CC BY 2.0
Komentarze
Kusicie tym flexem ;p Promocje nawet fajne.
Odpowiedz