Upptäcker phishingattacker med maskininlärning

Palo Alto Networks, en av de största leverantörerna av IT-säkerhet för företag, berättar nu om sitt arbete med maskininlärning för att upptäcka nya intrång – innan kunderna drabbas.

Företaget har den senaste tiden använt marskininlärningsbaserade verktyg för att upptäcka och blockera nya hot.

Maskininlärningen fungerar genom att verktyget får fritt analysera stora mängder data som innehåller information om domäner. Verktyget identifierar sedan skadliga domäner som kan vara delaktiga i större kampanjer för att åstadkomma intrång. Domänerna kan identifieras så fort de blir aktiva och det går att undersöka betydligt fler domäner än vanligt med den här metoden.

Fördelarna med metoden visade sig tydligt i fråga om en phishingkampanj som den nyligen applicerades på. Palo Alto Networks maskininlärningsverktyg hittade genast 333 aktiva domäner som deltog i intrångsförsöken. Av dessa var bara 87 allmänt kända som farliga under den första dagens attacker, och även efter två veckor så var det bara 247 av de 333 domänerna som blockerades av den bästa listan över blockerade webbplatser, och bara 93 ingick i den bästa databasen över domäner med malware.

Palo Alto Networks kunde alltså öka skyddet mot denna phishingkampanj rejält med hjälp av maskininlärning. Företagets kunder var därmed skyddade inom en dag från kampanjens början. Detta är viktigt eftersom många intrång idag ser ut på detta sätt, det vill säga att de använder många domäner samtidigt och under en kort tid. Domänerna låtsas ofta handla om något annat, och under sommaren som gick var exempelvis fotbolls-VM ett populärt tema. Ofta heter de något som påminner om en verklig sajt men med en felstavning.

Denna typ av domännamn är ganska enkla att se igenom men eftersom det ofta skapas flera hundra domäner är det ändå svårt att hitta alla innan de börjar orsaka problem. Ofta har dock domänerna gemensamma egenskaper, attribut som bildar mönster som kan hittas av maskininlärningsbaserade verktyg. Det som då avslöjas är kluster av domäner som hänger ihop.

De senaste två månaderna har Palo Alto Networks upptäckt 15 olika kampanjer som omfattar mer än 1 000 aktiva domäner. Företaget hittar domänerna i genomsnitt nästan tre dygn före malwaredatabaser.