Как нейросети помогают защищать аккаунты от угона

Защита персональной информации и аккаунтов пользователей от мошенничества и угона — это проблема, возраст которой уже превышает несколько десятилетий. И эта проблема становится все более сложной по мере того, как мошенники приобретают новые навыки для создания инструментов и технологий. Даже начинающие преступники могут применять подобные способы  для взлома учетных записей и данных, не написав ни единой строки кода.

Обнаружение аномалий поведения пользователей и угон аккаунтов с помощью технологий машинного обучения

Недавно VentureBeat представил подробный пример того, как ChatGPT может за несколько секунд сгенерировать пример кода для фишинговой кампании по электронной почте, а также предоставить заманчивое, грамматически правильное электронное письмо, которое можно использовать для запуска этой кампании.

Даже технологические гиганты уязвимы для подобных атак. В конце 2022 года фишинговая кампания, получившая название «Мета-фиш», успешно обошла алгоритмы безопасности электронной почты и собрала достаточно пользовательской информации, чтобы провести массированную атаку с целью перехвата контроля над множеством учетных записей пользователей Facebook и Twitter.

Ни одна компания — будь то в сфере высоких технологий или другой отрасли — не может ожидать, что конечные пользователи и клиенты на 100% смогут проявить здравомыслие и избежать таких ловушек, созданных с использованием методов социальной инженерии.

Тем не менее, можно с уверенностью сказать, что, при наличии правильных технологий и релевантного опыта, компании-провайдеры услуг могут оставаться на шаг впереди и эффективно отслеживать сложные методы атак. Атаки захвата учетных записей (account takeover attack, ATO) можно обнаружить и предотвратить с помощью машинного обучения, которое считается наиболее эффективным подходом, который провайдеры услуг могут использовать для борьбы с развивающейся проблемой ATO.

Использование машинного обучения для предотвращения АТО

В этой статье будут рассмотрены различные аспекты использования машинного обучения (МО) для предотвращения захвата учетных записей. Мы определим проблемы, рассмотрим преимущества машинного обучения перед эвристикой и моделями, основанными на правилах, а также приведем реальный примера, демонстрирующий эффективность МО.

Что такое захват аккаунта?

Злоумышленники, стремящиеся обойти системы защиты и получить доступ к учетным записям пользователей, могут использовать передовые технологии и уязвимости программного обеспечения как по отдельности, так и вместе.
Этот доступ дает преступникам возможность выполнять различные вредоносные действия, такие как перевод денег, кража информации о кредитных картах. Эти действия, обычно сопровождающиеся финансовыми потерями для пользователей, могут привести к катастрофическому ущербу как для бизнеса, так и для его клиентов.

Лучший и самый сильный вариант для решения этой проблемы — это имеющаяся у нас информация и контекст об общих шаблонах использования приложения и конкретных шаблонах поведения его отдельных пользователей. Вооружившись этой информацией, мы можем обнаружить аномалии в том, как конкретные пользователи взаимодействуют со приложением или сервисом, что чаще всего проявляется в отклонениях от известных закономерностей или истории.

Обнаружить аномалии в поведении конкретного пользователя сегодня сложнее, чем когда-либо прежде. Сегодня пользователи имеют более высокую вариативность в своем поведении, и поэтому необходимо более надежное решение для обнаружения угнанных учетных записей. Нужно учитывать полную историю профиля пользователя, принимая во внимание как его обычную личность, так и поведение — именно здесь машинное обучение (МО) вступает в игру.

Сегодня системы отслеживания захвата учетных записей часто полагаются на методы обнаружения на основе правил, которые, в свою очередь:

  • Применяются ко всем пользователям в качестве общих правил.
  • Созданы человеком и требуют дорогостоящего и трудоемкого обслуживания и исследований.
  • Склонны к высокому уровню ложноположительных результатов, которые ошибочно помечают настоящих пользователей, и ложноотрицательных результатов, которые наносят такой же или даже больший ущерб, поскольку предоставляют мошенникам доступ к учетной записи.

Машинное обучение или технология обнаружения на основе правил

Так почему же стратегия, основанная на машинном обучении, превосходит другие методы обнаружения захвата учетных записей? Ответ кроется базовых особенностях, которые одновременно являются и преимуществами..

  1. Надежность. Алгоритмы МО способны обнаруживать сложные связи между различными точками данных, чтобы находить сложные аномальные закономерности, которые люди, создающие эвристические правила, могут не обнаружить сами. Таким образом, алгоритмы машинного обучения достаточно надежны, чтобы противостоять изменениям в распределении и новым векторам атак.
  2. Адаптация. Модели машинного обучения могут использовать актуальные данные для быстрой адаптации к изменениям векторов атак и клиентского трафика, в то время как люди часто полагаются на предвзятые представления, которые могут не оставаться верными с течением времени.
  3. Эффективность. Чем больше трафика получает система обнаружения мошенничества, тем больше ей приходится обновлять свои правила, что требует большего количества аналитиков для исследования этих правил. Для сравнения, машинное обучение не требует какой-либо дополнительной поддержки для анализа дополнительных событий.
  4. Точность. Чем больше данных передается в алгоритм, тем умнее и точнее он становится.
    Меньше ложных обнаружений. Поскольку алгоритм изучает поведенческие профили каждого пользователя, он менее подвержен ложным обнаружениям, которые могут возникнуть, когда глобальные правила применяются к уникальным отдельным пользователям.

Как мы представляем поведение и свойства пользователя

Чтобы создать модель, сначала ее необходимо снабдить данными, с помощью которых модель будет «обучаться», то есть данными об активности пользователей. В процессе конструирования признаков сырые данные о поведении пользователя, известные как особенности, преобразуются для оптимизации алгоритма и обеспечения более справедливого и точного результата при обнаружении попыток захвата учетных записей.

Ниже приведены некоторые примеры функций, которые используются в механизме машинного обучения службы обнаружения и реагирования атак, направленных на захват управления аккаунтом пользователя:

  1. Функции отслеживания активности, включая обычные часы активности пользователя, информацию о том, каким образом пользователь взаимодействует с сервисом(веб-браузер, подключение к удаленному рабочему столу и т. д.), шаблоны использования (какие функции вызываются) во время взаимодействия с приложением и многое другое.
  2. Географические функции, которые относятся к местоположению пользователя, включая место его подключения, часовой пояс и частоту использования сервиса из этого местоположения.
  3. Сетевые функции, связанные с доступом к сети, такие как репутация сети, использование VPN, браузеров Tor и хостинговых ASN, предыдущие сеансы активности с текущего IP-адреса и многое другое.
  4. Функции устройства, которые фиксируют цифровые отпечатки (fingerprints) и репутацию доверенных устройства для обнаружения использования подозрительного “железа”.
  5. Поведенческие биометрические функции, которые считывают и сохраняют уникальные шаблоны взаимодействия пользователя с устройством, такие как скорость и углы движения мыши или скорость набора текста, по сравнению с предыдущей активностью пользователя в приложении.

Все эти и многие другие параметры измеряются с течением времени для создания профиля пользователя для каждого аккаунта в сервисе. Эти профили затем используются механизмом управления рисками, чтобы определить, попадает ли действие, выполненное учетной записью пользователя, в границы допустимого или нет.

Обучение модели обнаружения и наблюдение за результатами

Процесс оптимизации модели с учетом поставленной задачи известен как «обучение» модели. Этап обучения включает в себя постепенное изменение параметров модели для достижения максимальных результатов. На каждом этапе в модель подаются данные с целью изменить эти параметры, пока модель не будет настроена.

После завершения этапа обучения модель оптимизируется на обычных пользовательских данных, и теперь модель необходимо протестировать, проверить работу обученного алгоритма. В этих тестах используются соответствующие случаи атак, связанные как с известным вредоносным поведением, обнаруженным в средах наших клиентов, так и с искусственно созданными образцами, известными как синтетические данные.

Примеры использования

Теперь давайте продемонстрируем возможности модели обнаружения атак АТО на примере реального использования.

В данном случае речь идет о клиенте крупного американского банка, который обычно подключается из определенного места (Коннектикут, США), но также подключается из нескольких других стран, включая Канаду. У этого же человека есть два известных устройства: мобильное устройство и компьютер. У пользователя есть несколько связанных с ним IP-адресов, он обычно подключается с 10:00 до 21:00 и редко использует VPN-соединения. Кроме того, он обычно использует браузер Chrome и отображает определенные движения мыши в определенном диапазоне.

Эта модель поведения была внезапно нарушена, когда система обнаружения получила событие от этого пользователя с IP-адреса в Тайване с неизвестным устройством, новым типом браузера (Edge) и более медленными и менее разнообразными движениями мыши по сравнению с обычными моделями поведения пользователя. Время подключения отличалось от обычного времени входа пользователя, а устройство содержало свойства (новые языки и шрифты), которых не было на его предыдущих устройствах. Когда это событие было обнаружено моделью, она присвоило событию тикет “Внимание” и рекомендовало специалистам банка обратить пристальное внимание на происходящие действия.

Объяснимость модели в машинном обучении

Алгоритмы машинного обучения часто называют алгоритмами «черного ящика», поскольку многие из этих алгоритмов явно не обосновывают свои вердикты. Для современных систем обнаружения рисков и мошенничества это неприемлемо. Чтобы преодолеть этот разрыв, расширилась область объяснимости моделей (или объяснимого ИИ), включая использование значений SHAP (SHapley Additive exPlanations), которые обеспечивают конкретный метод объяснения того, как различные факторы способствуют предсказаниям данной модели. Используя значения SHAP, мы можем получить не только вердикт, но и перечислить особенности, повлиявшие на вердикт, и порядок их важности.

Значения SHAP показывают, какой вклад вносит каждый признак в прогнозируемое значение цели с учетом всех других признаков в данной строке.

Потребность в инновациях в условиях нового ландшафта угроз

Помните: злоумышленники будут становиться все более изощренными по мере того, как они будут использовать достижения в области технологий, которые происходят каждый день. По мере появления новых тактик и методов обхода защиты статические наборы правил быстро устаревают, требуя более гибкого подхода к обнаружению, который постоянно обновляется для адаптации к обнаружению и анализу меняющихся моделей атак. Алгоритмы машинного обучения имеют решающее значение для эффективного обнаружения аномалий среди пользователей и обеспечивают надежное и масштабируемое решение для обнаружения, позволяющее справиться с современными проблемами захвата учетных записей.