這一新型工具並非試圖基於主題行或URL來檢測社會工程攻擊,而是通過對文本進行語義分析以確定惡意意圖。
社會工程是一個非常普遍卻鮮有解決方案的威脅類型。現在,兩位研究人員正試圖通過一種新型工具來降低攻擊者的成功率,該工具旨在利用自然語言處理(NLP)來檢測問題和命令,並確定它們是否為惡意的。
這兩位研究人員分別是,來自加州大學歐文分校的教授Ian Harris,以及Lootcore公司首席顧問Marcel Carlsson。他們在經過多年的共同研究和討論後,決定付諸行動打擊社會工程攻擊。
他們認為,社會工程攻擊成功率如此之高的原因在於,它一直是任何信息安全衝突中最薄弱的環節。人類具備善良的天性,面對尋求幫助的人他們通常願意提供幫助。當然,惡意行為者可以利用或操縱這種善意來讓你提供信息,進而實施惡意行為。
目前可以說,除了電子郵件網絡釣魚檢測之外,在阻止社會工程攻擊的迅速崛起和成功方面幾乎沒有取得任何進展。對於防禦者而言,防禦這種類型的攻擊變得越來越難;另一方面,攻擊者卻越來越善於學習目標,發送看似合法的電子郵件,並能夠整合外部技術以使其網絡釣魚活動變得更為強大。
許多公司認為,新技術就是解決這一切的答案,並開始盲目地追求如何防止攻擊,而不是如何檢測和響應攻擊行為。目前,許多關於社會工程檢測的研究都是依賴於“將與電子郵件相關的元數據分析作為攻擊向量”,包括標題信息和嵌入式鏈接等。
Carlsson和Harris兩位研究人員則決定採用不同的方法,專注於消息中的自然語言文本。他們沒有嘗試基於主題行或URL來檢測社會工程攻擊,而是構建了一個工具來對文本進行語義分析以確定其是否為惡意的。
此外,Harris的研究還集中於硬件設計和測試上,他正在使用自然語言處理來設計硬件組件,因為他意識到這種方式對於防禦社會工程攻擊具有一定的作用。經過一段時間的研究和測試後,Harris發現,理解社會工程攻擊最好的方法其實是理解句子,理解文本本身。
通過關注文本本身,這種策略可用於檢測以非電子郵件攻擊媒介為主的社會工程攻擊,包括短信應用程序和聊天平臺等。藉助語音識別工具,它還可用於掃描通過電話或親自進行的攻擊。
運行原理
想要確保社會工程攻擊成功,威脅行為者要麼必須提出一個答案非常私密的問題,要麼必須命令目標執行一個非法操作。而兩位研究人員的方法就是能夠檢測電子郵件中的問題或命令。它會對請求私密數據的問題,和/或請求執行安全操作的私人命令進行標註。
在將問題歸類為“私密”( private)的過程中,他們的工具不需要知道問題的答案,而是可以通過語句中使用的主要動詞和賓語來對其整體含義進行評估。例如,“發送金錢”的命令就可以總結為動詞+對象(賓語)——“發送+金錢”的形式。
將電子郵件中檢測到的“動詞+賓語”組合,與已知的用於描述禁止動作的“動賓”黑名單進行比較,就可以得出命令是否為惡意的。Harris和Carlsson還隨機選擇了一些網絡釣魚電子郵件,進行識別訓練,同時,他們還考慮到了每個單詞的同義詞,以最大限度避免出現誤歸類的情況。
在解釋為什麼“動賓”組合對需要通過網絡釣魚電子郵件中獲取黑名單時,研究人員表示,開展此類工作的部分困難就是獲取示例攻擊。為了確保檢測精準度,研究人員已經使用了
超過187,000個網絡釣魚和非網絡釣魚電子郵件來測試他們的方法。展望未來,該團隊計劃將他們的桌面工具擴展到電子郵件和聊天客戶端,以掃描社會工程攻擊。他們還希望能夠擴大自己的技術,以完善對高度個性化攻擊的檢測。
網絡釣魚電子郵件通常是採用“廣撒網”的方式,其文本內容對每個人都是通用的,不具備針對性和個人化特徵。而真正個性化且危害更深的攻擊,可能是某人正在通過電話來交談關於你的事情,電話那頭的威脅行為者可以根據具體談話內容調整自己的對話內容。這種攻擊顯然更難以檢測和識別。
據悉,這兩位研究人員將在2018黑帽大會(Black Hat 2018)上演示他們用於檢測社會工程攻擊的方法,併發布該工具,以便與會者可以對該工具進行測試。
閱讀更多 安全牛 的文章
