Microsoft разрабатывает новую модель машинного обучения для обнаружения атак типа password spray
Последние нескольких недель Microsoft значительно повысила усилия и приоритет обеспечению цифровой безопасности в рамках проведения месяца осведомленности о кибербезопасности (NCSAM) в октябре.
В рамках его проведения было объявлено о новых инициативах в области информационной безопасности, в рамках которых был представлен центр по развитию политик «нулевого доверия» (zero trust) и Adversarial ML Threat Matrix – одна из успешнейших инициатив от майкрософт. AMTX – полноценный фреймворк ориентированный на аналитиков в области кибербезопасности, который схож по структуре ATT&CK, знакомый целевой аудитории.
Помимо всего прочего корпорация начала успешно бороться с вредоносным ботнетом Trickbot.
Вчера же представители Microsoft заявили, что разработали новый алгоритм на основе машинного обучения, который обнаруживает атаки password spray со значительно улучшенной производительностью, чем более ранняя версия.
Password spray – это относительно грубая и распространенная форма кибератаки, в которой злоумышленник атакует через тысячи IP-адресов. Чаще всего данный тип кибератаки производится с помощью ботнетов с использованием наиболее часто используемых паролей, и абсолютно не пытается использовать множество паролей против конкретного пользователя.
Безусловно, данный тип кибератаки отличается тем, что вероятность успеха атакующего для каждой учетной записи довольно минимальна, однако, это также означает, что атаку очень трудно обнаружить, поскольку она распространяется с неравномерной последовательностью, что пользователь может отклонить пару неудачных попыток входа в систему для каждой учётной записи как часть обычного паттерна авторизации в системе. Таким образом, данная атака может быть обнаружена только в некоторых случаях, если вы заметили, что один хэш не работает в нескольких учетных записях.
Microsoft в более ранней версии представляла алгоритм в виде эвристического механизма. Теперь же в Microsoft сильнее озаботились информационной безопасностью и улучшила этот механизм, обучив новый алгоритм на базе машинного обучения, который использует в виде переменных, подаваемых на вход модели такие показатели, как репутация IP, свойства входа и другие отклонения учетной записи для идентифицикации момента когда клиент подвергается атаке типа Password Spray.
Microsoft утверждает, что её новая модель имеет двухкратное увеличение числа «отлавливаемых» по сравнению с эвристическим алгоритмом. Сам же новый алгоритм имеет точность на уровне 98%.
Новый алгоритм в ближайшем будущем будет доступен клиентам Azure AD Identity Protection, которые смогут использовать его на портале и в API-интерфейсах для защиты данных.
