يفتح ExtraHop 16 مليون صف من بيانات مجال التهديد
متخصص في الكشف عن الشبكات السحابية الأصلية والاستجابة لها (NDR). اكستراهوب تأمل الشركة في منح الباحثين والمدافعين في مجال الأمن القليل من المساعدة الإضافية عندما يتعلق الأمر بالدفاع ضد البرامج الضارة وعمليات الروبوتات، من خلال إتاحة نطاق الصف بأكمله المكون من 16 مليونًا والذي تم إنشاؤه بواسطة مجموعة بيانات الخوارزمية (DGA) للجمهور على GitHub.
ما يسمى المديريات العامة هي برامج تستخدم إنشاء خوارزميات للتوصل إلى عدد كبير من أسماء النطاقات الجديدة التي يمكن للجهات الفاعلة في مجال التهديد استخدامها لتوصيل البرامج الضارة بسرعة وكفاءة دون رفض إدراج خوادمها في القائمة من خلال إجراءات مكافحة الأمن، أو إزالتها من قبل المدافعين. بشكل أساسي، فهي تمنح الجهات التهديدية القدرة على تبديل النطاقات بسرعة أثناء تقدم الهجوم.
كانت DGAs موجودة منذ بعض الوقت. كانت إحدى حالات الاستخدام الأولى واسعة النطاق هي توزيع ملف دودة الكونفيكر منذ ما يقرب من 15 عاما. أدى هذا الحادث، الذي نشأ في أوكرانيا، إلى تعطيل أنظمة القطاع العام في المملكة المتحدة، بما في ذلك أنظمة مجلس العموم، ووزارة الدفاع، ومجلس مدينة مانشستر، ومؤسسة مستشفيات شيفيلد التعليمية التابعة لهيئة الخدمات الصحية الوطنية.
على الرغم من أن DGAs قد تمت تجربتها واختبارها، إلا أن فائدتها لمجرمي الإنترنت لم تتضاءل خلال العقد ونصف العقد الماضيين، وفقًا لمدير علوم البيانات في ExtraHop، تود كيمرلينج.
وقال: “من خلال منح الجهات الفاعلة التهديدية القدرة على العمل دون أن يتم اكتشافها وزيادة طفيفة في هذه الأنواع من الهجمات، تعتبر DGAs بشكل متزايد تهديدًا كبيرًا للشركات اليوم”.
حتى الآن، كان اكتشاف DGAs والتخفيف من آثارها مهمة صعبة بالنسبة للمدافعين – تتضمن العملية المعتادة تحليل الخوارزمية التي تستخدمها البرامج الضارة ومراقبة طلبات DNS، قبل تنفيذ تقنيات لتحديد أسماء النطاقات الضارة وحظرها.
تقول ExtraHop إنها ستكون قادرة على جعل هذه العملية أقل إيلامًا بكثير من خلال إنشاء مجموعة البيانات الخاصة بها – والتي تم تجميعها في الأصل كعنصر من عناصر مؤسستها تكشف عن منصة NDR – متاحة لأي شخص للاطلاع عليها، وإذا رغب في ذلك، دمجها في نماذج مصنفات التعلم الآلي (ML) الخاصة به لتحديد DGAs بسرعة أكبر وإيقاف الهجمات التي تتيحها.
تدعي المنظمة أن منتج Reveal(X) يمكنه بالفعل القيام بذلك بدقة تزيد عن 98%، وعلى هذا النحو، فإنها تأمل أنه من خلال إتاحة بياناتها على نطاق أوسع بموجب ترخيص مفتوح المصدر، ستتمكن فرق الأمان من تحديد الأنشطة الضارة على شبكاتهم قبل أن تصبح مشكلة خطيرة.
بدأت الشركة في البداية بتجميع مجموعة البيانات بعد أن أصبحت غير راضية عن أداء نماذج تعريف DGA السابقة. وقد جربت فرقها عدة طرق مختلفة لتحسين هذه النماذج قبل التوصل إلى طريقة أبسط من المتوقع لإجراء هندسة الميزات – عملية استخراج الميزات من البيانات الأولية – التي أدت إلى تحسين دقة المخرجات بشكل كبير. تم توضيح هذه العملية بمزيد من التفاصيل الفنية على مدونة ExtraHop.
“عندما بدأنا في تطوير نموذج للكشف عن DGAs، أصبح من الواضح أن هناك نقصًا في مجموعات البيانات العامة التي يمكن لفرق الأمن الوصول إليها مع مجموعة واسعة النطاق من الموارد. ومن خلال مجموعة البيانات هذه، نحن نسد هذه الفجوة، مما يتيح لأي فريق أمني الوصول إلى البيانات المحورية اللازمة للكشف عن DGAs بسرعة.