Phishing stał się jednym z najczęściej wykorzystywanych form ataków hakerskich, a 94 proc. organizacji stało się jego ofiarą. Powszechność phishingu wynika z jego niskiego kosztu realizacji i wysokiej skuteczności – uważają specjaliści Check Point Software, którzy stworzyli rozwiązanie mające ograniczyć jego konsekwencje.
Taktyki phishingowe ewoluowały, obejmując warianty takie jak spear-phishing, whaling czy smishing. Nadal pozostaje głównym narzędziem cyberprzestępców, ponieważ wykorzystuje najbardziej wrażliwy element systemów bezpieczeństwa: psychologię ludzką.
Identyfikacja i indeksowanie każdej marki w internecie – w celu zapobiegania atakom – jest niemożliwym zadaniem. Stąd potrzeba zautomatyzowanych, inteligentnych systemów, które mogą dostosowywać się i skalować wraz z rosnącym ekosystemem cyfrowych marek.
Głównym wyzwaniem w wykrywaniu oszustw związanych z podszywaniem się pod marki jest oznaczanie danych potrzebnych do szkolenia odpowiednich modeli AI. Wymaga to identyfikacji różnych elementów marki i zrozumienia subtelnych różnic między nimi. Jest to pracochłonny i skomplikowany proces, utrudniony przez dynamiczny charakter brandingu.
W zeszłym roku Check Point wprowadził przełomową technologię o nazwie „Brand Spoofing Prevention”, prewencyjny silnik w ramach ThreatCloud AI, zaprojektowany do zapobiegania zarówno globalnym, jak i lokalnym atakom podszywania się pod marki. Technologia ta wykorzystuje zaawansowane technologie, takie jak sztuczna inteligencja, przetwarzanie języka naturalnego (NLP), przetwarzanie obrazów i heurystyki, aby wykrywać i zapobiegać próbom podszywania się pod marki poprzez dopasowywanie URL-i i stron internetowych do ustalonych marek. DeepBrand Clustering jest kolejnym etapem ewolucji Brand Spoofing Prevention, zaprojektowanym, aby nadążyć za rosnącą liczbą stron internetowych i fałszywych stron.
Aby poradzić sobie z etykietowaniem danych, specjaliści AI w Check Poincie zwrócili się ku uczeniu bez nadzoru, automatycznie przypisując cechy stron internetowych do marek. To podejście zmniejsza zależność od interwencji człowieka, oszczędzając czas i minimalizując błędy w identyfikacji elementów marki.
DeepBrand Clustering – Patentowany Silnik AI Skierowany na Skalę
Rozwiązanie rozwija się w dwóch fazach: nauce i oskarżeniu.
Nauka DeepBrand Clustering konstruuje sieć neuronową, korzystając z atrybutów wyodrębnionych z obserwowanych stron internetowych pochodzących z globalnego ruchu obserwowanego przez Check Pointa.
Narzędzie reprezentuje innowacyjny model uczenia bez nadzoru, który łączy moc głębokich sieci neuronowych (DNN) z tradycyjnymi modelami uczenia maszynowego (ML). Poprzez integrację zaawansowanych podejść z dziedzin sztucznej inteligencji i cyberbezpieczeństwa, DeepBrand Clustering osiąga szczytowe wyniki.
Sieć neuronowa trenuje się na nieoznakowanym ruchu, aby automatycznie i bez nadzoru identyfikować marki na podstawie wspólnych cech strony internetowej, takich jak domena, favicon, tytuł i inne.
Aby wytrenować ten model, Check Point zdefiniował „pipeline” składający się z wielu kroków. Obejmuje wyodrębnianie wskaźników marki do automatycznego przypisywania nazw marek do klastrów. Niektóre kroki koncentrują się na zbieraniu wskaźników wizualnych lub tekstowych, podczas gdy inne zajmują się transformacją danych. Dodatkowo, niektóre komponenty tego „pipeline’u” obejmują głębokie sieci neuronowe (DNN) szkolone za pomocą zaawansowanych technik augmentacji opartych na wiedzy domenowej z podejść cyberbezpieczeństwa.
Gdy dane zostaną zebrane i znormalizowane, wynikiem całego procesu jest wytrenowany model (gotowy do inferencji) z wieloma odrębnymi klastrami i przypisanymi nazwami marek, który organizuje strony internetowe w klastry związane z konkretnymi markami, a każdy klaster jest odpowiednio oznaczony. Te klastry, szczególnie te najbardziej wyraźne, są wykorzystywane do analizy ruchu w czasie rzeczywistym i identyfikacji obecności marki.
Ilustracja jak DeepBrand Clustering konstruuje sieć neuronową, korzystając z atrybutów wyodrębnionych z obserwowanych stron internetowych
Podczas fazy oskarżenia proces inferencji określa, czy badana strona internetowa należy do któregokolwiek z ustalonych klastrów. Jeśli tak, silnik ocenia, czy aktywność oznacza potencjalną złośliwą próbę podszywania się pod markę.
Ta technika stanowi znaczący krok naprzód w technologii ochrony marki. Cały system jest opatentowany, co podkreśla jego nowatorskie podejście i zaawansowane możliwości, jakie wnosi do wyzwania wykrywania podszywania się pod marki.
W ciągu kilku godzin od uruchomienia fazy nauki DeepBrand Clustering zindeksował ponad 4000 odrębnych marek. W ciągu ostatnich 30 dni 75% zindeksowanych marek (3700) było obserwowanych w ruchu Check Pointa. Spośród obserwowanych marek ponad 200 z nich było wykorzystywanych w ponad 4000 złośliwych ataków. W ten sposób narzędzie Check Pointa wykryło 975 przypadków dotyczących 101 lokalnych marek.