自然語(yǔ)言處理(NLP)助力解決社會(huì)工程攻擊問(wèn)題
這一新型工具并非試圖基于主題行或URL來(lái)檢測(cè)社會(huì)工程攻擊,而是通過(guò)對(duì)文本進(jìn)行語(yǔ)義分析以確定惡意意圖。
社會(huì)工程是一個(gè)非常普遍卻鮮有解決方案的威脅類(lèi)型。現(xiàn)在,兩位研究人員正試圖通過(guò)一種新型工具來(lái)降低攻擊者的成功率,該工具旨在利用自然語(yǔ)言處理(NLP)來(lái)檢測(cè)問(wèn)題和命令,并確定它們是否為惡意的。
這兩位研究人員分別是,來(lái)自加州大學(xué)歐文分校的教授Ian Harris,以及Lootcore公司首席顧問(wèn)Marcel Carlsson。他們?cè)诮?jīng)過(guò)多年的共同研究和討論后,決定付諸行動(dòng)打擊社會(huì)工程攻擊。
他們認(rèn)為,社會(huì)工程攻擊成功率如此之高的原因在于,它一直是任何信息安全沖突中最薄弱的環(huán)節(jié)。人類(lèi)具備善良的天性,面對(duì)尋求幫助的人他們通常愿意提供幫助。當(dāng)然,惡意行為者可以利用或操縱這種善意來(lái)讓你提供信息,進(jìn)而實(shí)施惡意行為。
目前可以說(shuō),除了電子郵件網(wǎng)絡(luò)釣魚(yú)檢測(cè)之外,在阻止社會(huì)工程攻擊的迅速崛起和成功方面幾乎沒(méi)有取得任何進(jìn)展。對(duì)于防御者而言,防御這種類(lèi)型的攻擊變得越來(lái)越難;另一方面,攻擊者卻越來(lái)越善于學(xué)習(xí)目標(biāo),發(fā)送看似合法的電子郵件,并能夠整合外部技術(shù)以使其網(wǎng)絡(luò)釣魚(yú)活動(dòng)變得更為強(qiáng)大。
許多公司認(rèn)為,新技術(shù)就是解決這一切的答案,并開(kāi)始盲目地追求如何防止攻擊,而不是如何檢測(cè)和響應(yīng)攻擊行為。目前,許多關(guān)于社會(huì)工程檢測(cè)的研究都是依賴(lài)于“將與電子郵件相關(guān)的元數(shù)據(jù)分析作為攻擊向量”,包括標(biāo)題信息和嵌入式鏈接等。
Carlsson和Harris兩位研究人員則決定采用不同的方法,專(zhuān)注于消息中的自然語(yǔ)言文本。他們沒(méi)有嘗試基于主題行或URL來(lái)檢測(cè)社會(huì)工程攻擊,而是構(gòu)建了一個(gè)工具來(lái)對(duì)文本進(jìn)行語(yǔ)義分析以確定其是否為惡意的。
此外,Harris的研究還集中于硬件設(shè)計(jì)和測(cè)試上,他正在使用自然語(yǔ)言處理來(lái)設(shè)計(jì)硬件組件,因?yàn)樗庾R(shí)到這種方式對(duì)于防御社會(huì)工程攻擊具有一定的作用。經(jīng)過(guò)一段時(shí)間的研究和測(cè)試后,Harris發(fā)現(xiàn),理解社會(huì)工程攻擊最好的方法其實(shí)是理解句子,理解文本本身。
通過(guò)關(guān)注文本本身,這種策略可用于檢測(cè)以非電子郵件攻擊媒介為主的社會(huì)工程攻擊,包括短信應(yīng)用程序和聊天平臺(tái)等。借助語(yǔ)音識(shí)別工具,它還可用于掃描通過(guò)電話或親自進(jìn)行的攻擊。
運(yùn)行原理
想要確保社會(huì)工程攻擊成功,威脅行為者要么必須提出一個(gè)答案非常私密的問(wèn)題,要么必須命令目標(biāo)執(zhí)行一個(gè)非法操作。而兩位研究人員的方法就是能夠檢測(cè)電子郵件中的問(wèn)題或命令。它會(huì)對(duì)請(qǐng)求私密數(shù)據(jù)的問(wèn)題,和/或請(qǐng)求執(zhí)行安全操作的私人命令進(jìn)行標(biāo)注。
在將問(wèn)題歸類(lèi)為“私密”( private)的過(guò)程中,他們的工具不需要知道問(wèn)題的答案,而是可以通過(guò)語(yǔ)句中使用的主要?jiǎng)釉~和賓語(yǔ)來(lái)對(duì)其整體含義進(jìn)行評(píng)估。例如,“發(fā)送金錢(qián)”的命令就可以總結(jié)為動(dòng)詞+對(duì)象(賓語(yǔ))——“發(fā)送+金錢(qián)”的形式。
將電子郵件中檢測(cè)到的“動(dòng)詞+賓語(yǔ)”組合,與已知的用于描述禁止動(dòng)作的“動(dòng)賓”黑名單進(jìn)行比較,就可以得出命令是否為惡意的。Harris和Carlsson還隨機(jī)選擇了一些網(wǎng)絡(luò)釣魚(yú)電子郵件,進(jìn)行識(shí)別訓(xùn)練,同時(shí),他們還考慮到了每個(gè)單詞的同義詞,以最大限度避免出現(xiàn)誤歸類(lèi)的情況。
在解釋為什么“動(dòng)賓”組合對(duì)需要通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件中獲取黑名單時(shí),研究人員表示,開(kāi)展此類(lèi)工作的部分困難就是獲取示例攻擊。為了確保檢測(cè)精準(zhǔn)度,研究人員已經(jīng)使用了超過(guò)187,000個(gè)網(wǎng)絡(luò)釣魚(yú)和非網(wǎng)絡(luò)釣魚(yú)電子郵件來(lái)測(cè)試他們的方法。
展望未來(lái),該團(tuán)隊(duì)計(jì)劃將他們的桌面工具擴(kuò)展到電子郵件和聊天客戶(hù)端,以掃描社會(huì)工程攻擊。他們還希望能夠擴(kuò)大自己的技術(shù),以完善對(duì)高度個(gè)性化攻擊的檢測(cè)。
網(wǎng)絡(luò)釣魚(yú)電子郵件通常是采用“廣撒網(wǎng)”的方式,其文本內(nèi)容對(duì)每個(gè)人都是通用的,不具備針對(duì)性和個(gè)人化特征。而真正個(gè)性化且危害更深的攻擊,可能是某人正在通過(guò)電話來(lái)交談關(guān)于你的事情,電話那頭的威脅行為者可以根據(jù)具體談話內(nèi)容調(diào)整自己的對(duì)話內(nèi)容。這種攻擊顯然更難以檢測(cè)和識(shí)別。
據(jù)悉,這兩位研究人員將在2018黑帽大會(huì)(Black Hat 2018)上演示他們用于檢測(cè)社會(huì)工程攻擊的方法,并發(fā)布該工具,以便與會(huì)者可以對(duì)該工具進(jìn)行測(cè)試。
【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
