Gli hacker e i malware sono un passo avanti rispetto agli esperti di cybersecurity e ogni volta che viene rilasciata la tecnologia sul mercato, le vulnerabilità verranno rapidamente scoperte e sfruttate.
Quanto può essere efficace la tecnologia di machine learning in particolare nella difesa contro SQL Injection Attacks (SQLi)? È l'approccio corretto al problema?
La tecnologia di apprendimento automatico è sicuramente migliore rispetto ai sistemi basati su firma. Per il tuo esempio sugli attacchi SQLi, le firme potrebbero cercare specifici comandi / stringhe all'interno del payload HTTP come mezzo di rilevamento. L'approccio basato su ML può, invece, definire il comportamento come processo generato sul server db o operazioni di sola lettura non desiderate ecc. Ecc. Se c'è un nuovo attacco SQLi che sfugge alla firma (la stringa non corrisponde) ma il comportamento consequenziale rimane lo stesso (processo generato o operazioni di sola lettura indesiderate), quindi l'approccio ML uscirà volando.
Detto questo, l'approccio basato su ML può solo rilevare un comportamento per cui è stato addestrato. Nell'esempio precedente, se l'attacco SQLi risulta in un nuovo tunnel inverso aperto a un altro host, ma non abbiamo addestrato il modello per questo comportamento, quindi l'approccio ML non avrà esito positivo.
(Rispondi alla domanda precedente su come i sistemi di firma differiscono dai sistemi basati su ML)
Sì. Le verifiche della firma riguardano solo una vulnerabilità specifica e più vulnerabilità. L'apprendimento automatico, tuttavia, si concentra sul comportamento dell'attacco che non significa necessariamente come è stato gestito l'exploit, ma piuttosto sull'attività di infezione ecc.
A parte: lo sviluppo di sistemi di sicurezza basati su ML è il mio lavoro diurno.
Leggi altre domande sui tag sql-injection machine-learning firewalls vulnerability