Nuovo set di dati di allerta potenzia il rilevamento degli attacchi multi-step
Un nuovo set di dati migliora l'analisi degli attacchi informatici complessi per una rilevazione migliore.
― 7 leggere min
Indice
Nel mondo della cyber sicurezza, gli attacchi a sistemi e reti stanno diventando sempre più complessi e sofisticati. Per proteggersi da queste minacce, le organizzazioni si affidano ai sistemi di rilevamento delle intrusioni (IDS) che monitorano le loro reti per segni di attività malevole. Tuttavia, questi sistemi possono spesso generare un sacco di allerta, molte delle quali sono falsi allarmi. Questo crea un carico di lavoro per i team di sicurezza che devono setacciare innumerevoli allerta per trovare le vere minacce.
Per aiutare a risolvere questo problema, i ricercatori hanno creato un nuovo set di dati di allerta volto a migliorare l'analisi degli attacchi multi-step. Gli attacchi multi-step sono quelli che attraversano diverse fasi, ciascuna delle quali può lasciare segni rilevabili nel sistema. Raccogliendo e analizzando allerta rilevanti da diversi IDS, questo nuovo set di dati mira a fornire informazioni su come si sviluppano questi attacchi e come identificarli più efficacemente.
Il Problema con le Allerta Esistenti
Gli IDS attuali producono spesso un numero elevato di allerta, ma una parte significativa di queste si rivela essere falsi positivi: allerta che indicano un problema che in realtà non esiste. Si stima che a volte fino al 99% delle allerta possa essere falso positivo. Questo causa affaticamento tra gli analisti della sicurezza che sono costretti a valutare ogni allerta singolarmente. Il numero stesso di allerta può anche significare che le minacce reali potrebbero essere trascurate.
Inoltre, le allerta potrebbero non fornire abbastanza contesto per i team di sicurezza per comprendere cosa stia accadendo. Le allerta possono provenire da varie fonti e potrebbero non essere correlate allo stesso problema di fondo. Questo rende difficile mettere insieme il quadro reale di come appare un attacco.
Per affrontare questo, c'è bisogno di set di dati migliori che possano aiutare i ricercatori a esplorare metodi per filtrare e correlare le allerta da diverse fonti. Purtroppo, molti set di dati esistenti sono o troppo vecchi, troppo ristretti nel focus, o non adatti per studiare i modelli di attacco multi-step.
Creazione di un Nuovo Set di Dati di Allerta
Per colmare questa lacuna, è stato sviluppato un nuovo set di dati di allerta e viene reso disponibile ai ricercatori. Questo set di dati include allerta da tre diversi sistemi IDS, che hanno monitorato otto attacchi multi-step simulati, insieme al comportamento normale degli utenti. L'obiettivo è permettere ai ricercatori di capire meglio come funzionano gli attacchi multi-step e come identificarli in modo più efficace.
Questo nuovo set di dati combina allerta provenienti da varie fonti, permettendo un'analisi più ricca. Le allerta includono dettagli provenienti da diversi tipi di sistemi, rendendo possibile per i ricercatori vedere come gli attacchi potrebbero manifestarsi in diverse ambienti.
Comprendere gli Attacchi Multi-Step
Gli attacchi multi-step seguono un modello specifico noto come "cyber kill chain". Questo modello consiste in passaggi sequenziali che gli attaccanti seguono per raggiungere i loro obiettivi, con le fasi successive che spesso comportano rischi più gravi. Gli analisti della sicurezza utilizzano gli IDS per catturare questi modelli nelle fasi iniziali per prevenire ulteriori danni.
I sistemi di rilevamento delle intrusioni includono due tipi principali: basati su firme e basati su anomalie. I sistemi basati su firme cercano modelli noti di comportamento malevolo, mentre i sistemi basati su anomalie si concentrano sull'identificazione di deviazioni insolite dal comportamento normale.
La sfida sta nel fatto che man mano che gli attacchi progrediscono, potrebbero generare più allerta attraverso vari sistemi. Analizzare queste allerta in isolamento è spesso insufficiente, poiché l'attacco reale può estendersi su più macchine o coinvolgere interazioni complesse che sono più difficili da catturare.
Vantaggi del Nuovo Set di Dati
Il nuovo set di dati di allerta è progettato con diversi vantaggi in mente:
Disponibile Pubblicamente: I ricercatori possono accedere facilmente a questo set di dati, rendendo possibile per loro riprodurre esperimenti e convalidare risultati.
Fonti Multiple: Il set di dati raccoglie allerta da vari sistemi IDS che monitorano fonti diverse, offrendo una vista più completa di come si sviluppano gli attacchi.
Contesto Ricco: Includendo allerta sia dalle fasi di attacco che dal comportamento normale, il set di dati consente ai ricercatori di valutare l'efficacia dei metodi di rilevamento in scenari reali.
Elevato Numero di Allerta: Con oltre 2,6 milioni di allerta disponibili, comprese molte false positivi, il set di dati offre ampie opportunità per testare diverse metodologie mirate a filtrare e dare priorità alle allerta.
Scenari Diversi: Il set di dati contiene allerta da otto diversi ambienti simulati, ciascuno mostrando variazioni nell'esecuzione degli attacchi, consentendo un’analisi e un confronto più robusti.
Analisi del Set di Dati
I ricercatori possono utilizzare il nuovo set di dati per indagare vari aspetti dell'analisi degli attacchi multi-step. Un modo per analizzare i dati è attraverso tecniche di filtraggio e prioritizzazione delle allerta, che possono aiutare a ridurre il numero di allerta che i team di sicurezza devono esaminare.
Studiano le allerta nel set di dati, i ricercatori possono identificare quali rilevatori producono allerta più rilevanti e accurate durante una Fase di Attacco. Questo può aiutare a migliorare le prestazioni complessive dei sistemi IDS consentendo loro di concentrarsi sulle allerta che contano davvero.
Un altro area chiave di analisi coinvolge la generazione di meta-allerta. Le meta-allerta sono rappresentazioni riassuntive di più allerta correlate, aiutando i team di sicurezza a comprendere modelli di attacco più ampi senza perdersi nei dettagli delle singole allerta.
Metodi per Migliorare l'Analisi delle Allerta
I ricercatori hanno proposto diversi metodi per analizzare le allerta del nuovo set di dati, due dei quali sono particolarmente notevoli.
Aggregazione delle Allerta
Il primo metodo è l'aggregazione delle allerta, che comporta la raccolta di allerta correlate insieme. L'obiettivo è identificare modelli ricorrenti nelle allerta che riflettono le varie fasi di un attacco multi-step. Creando meta-allerta da questi gruppi, i team di sicurezza possono avere un quadro più chiaro di ciò che sta accadendo durante un attacco.
Questo processo spesso comporta la misurazione della somiglianza delle allerta basata su vari attributi e poi unendo gruppi di allerta simili. Le meta-allerta risultanti aiutano a ridurre il disordine delle allerta grezze e mettere in evidenza le azioni chiave che si stanno svolgendo durante un attacco.
Estrazione di Grafi di Attacco
Il secondo metodo è noto come estrazione di grafi di attacco. Questo approccio mira a rappresentare visivamente la sequenza di azioni intraprese durante un attacco multi-step. Costruendo un grafo che collega le fasi di un attacco, i ricercatori possono comprendere meglio come gli attaccanti si muovono attraverso i sistemi e quali passi compiono per raggiungere i loro obiettivi.
Questa rappresentazione visiva è preziosa per illustrare modelli di attacco comuni e può aiutare gli analisti a identificare rapidamente gli obiettivi degli attaccanti in base al loro comportamento.
Opportunità Future di Ricerca
La disponibilità di questo nuovo set di dati di allerta apre la porta a numerose opportunità di ricerca. Ad esempio, i ricercatori possono esplorare come migliorare le tecniche di prioritizzazione delle allerta in scenari reali dove potrebbero non essere disponibili etichette di verità di base.
Inoltre, c'è potenziale per combinare metodi esistenti per l'aggregazione delle allerta e l'estrazione di grafi di attacco per sviluppare approcci più completi. Sfruttando i punti di forza di entrambe le tecniche, potrebbe essere possibile ottenere approfondimenti più dettagliati su come si sviluppano gli attacchi.
C'è anche spazio per esplorare come più attaccanti possano impegnarsi simultaneamente in fasi di attacco sovrapposte, aggiungendo complessità all'analisi. Questo potrebbe portare a set di dati più sfidanti che richiedono metodi avanzati per una rilevazione efficace degli attacchi multi-step.
Conclusione
Il nuovo set di dati di allerta rappresenta un'importante avanzamento nel campo della ricerca sulla cyber sicurezza. Fornendo una risorsa che consente lo studio degli attacchi multi-step con una ricchezza di allerta e contesto dettagliato, ha il potenziale di aprire la strada a metodi di rilevamento migliorati.
Le intuizioni derivate da questo set di dati possono portare a decisioni migliori da parte dei team di sicurezza, migliorando infine la postura di sicurezza complessiva delle organizzazioni. Mentre le minacce informatiche continuano a evolversi, avere accesso a set di dati robusti e tecniche di analisi innovative sarà cruciale per rimanere sempre un passo avanti agli attaccanti.
Titolo: Introducing a New Alert Data Set for Multi-Step Attack Analysis
Estratto: Intrusion detection systems (IDS) reinforce cyber defense by autonomously monitoring various data sources for traces of attacks. However, IDSs are also infamous for frequently raising false positives and alerts that are difficult to interpret without context. This results in high workloads on security operators who need to manually verify all reported alerts, often leading to fatigue and incorrect decisions. To generate more meaningful alerts and alleviate these issues, the research domain focused on multi-step attack analysis proposes approaches for filtering, clustering, and correlating IDS alerts, as well as generation of attack graphs. Unfortunately, existing data sets are outdated, unreliable, narrowly focused, or only suitable for IDS evaluation. Since hardly any suitable benchmark data sets are publicly available, researchers often resort to private data sets that prevent reproducibility of evaluations. We therefore generate a new alert data set that we publish alongside this paper. The data set contains alerts from three distinct IDSs monitoring eight executions of a multi-step attack as well as simulations of normal user behavior. To illustrate the potential of our data set, we experiment with alert prioritization as well as two open-source tools for meta-alert generation and attack graph extraction.
Autori: Max Landauer, Florian Skopik, Markus Wurzenberger
Ultimo aggiornamento: 2023-08-24 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2308.12627
Fonte PDF: https://arxiv.org/pdf/2308.12627
Licenza: https://creativecommons.org/licenses/by-nc-sa/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://zenodo.org/record/8263181
- https://github.com/ait-aecid/alert-data-set
- https://cp.tc/
- https://defcon.org/
- https://honeynet.onofri.org/scans/index.html
- https://zenodo.org/record/5789064
- https://wazuh.com/
- https://suricata.io/
- https://github.com/ait-aecid/logdata-anomaly-miner
- https://github.com/ait-aecid/aecid-alert-aggregation
- https://github.com/tudelft-cda-lab/SAGE