Najnowsze

Hakera namierzą, zanim zacznie działać

Connected Security / 1 lutego 2016

Przyszłość cyberzabezpieczeń to rozwiązania, które nie tylko będą w stanie reagować na atak hakerski, ale go przewidywać. Nadchodzi era predykcyjnej cyberochrony.

Zespół badaczy z OpenDNS, firmy przejętej niedawno przez Cisco, opracował tzw. „sonar bezpieczeństwa”, który umożliwia wyprzedzające wykrywanie zagrożeń przy wykorzystaniu analizy wzorców ruchu sieciowego opartej na… teorii dźwięku. Chodzi o dwa nowe modele detekcji, pozwalające na przewidywanie propagacji złośliwego kodu na podstawie analizy wykorzystującej wzorce typowego ruchu w sieci.

Pierwszy model to SPRank (Spike Rank), który w systemie zabezpieczania sieci działa podobnie jak sonar służący do namierzania specyficznych dźwięków — umożliwia wyizolowanie z tła sygnałów świadczących o wrogim ataku. Analizując zmiany we wzorcach ruchu sieciowego wywoływane przez inicjację ataków, naukowcy z OpenDNS odkryli, że są one bardzo podobne do wzorców, którymi zajmują się takie firmy jak Pandora i Shazam w badaniach odtwarzania dźwięku mających na celu ulepszenie systemów odsłuchu muzyki. Wówczas postanowili do analizy ruchu sieciowego zastosować techniki podobne do wykorzystywanych przez systemy internetowych stacji radiowych lub aplikacje do wyszukiwania muzyki w internecie.

W ten sposób powstał SPRank – mechanizm automatycznej analizy „dźwięków sieci”, który jest w stanie szybko wykrywać wzorce szkodliwego ruchu efektywnie analizując ponad pół terabajta danych, czyli tyle ile jest przetwarzane przez OpenDNS na godzinę. Ten model analizy okazał się wyjątkowo dokładny i skuteczny w wykrywaniu cyberataków. W każdej godzinie identyfikuje kilkaset nowych zarażonych przez szkodliwe oprogramowanie domen, z których ponad jedna trzecia nie została wcześniej wykryta przez żaden ze znanych skanerów antywirusowych lub innych systemów zabezpieczania sieci.

„Modele opisujące fale dźwiękowe to rozwinięta i bogata gałąź matematyki” – mówi Thomas Mathew, jeden z naukowców pracujących w OpenDNS. „Z naszych analiz wynika, że domeny takie jak Google i Yahoo! generują bardzo podobne wzorce „fal dźwiękowych”, bo związany z nimi ruch sieciowy jest regularny. Natomiast domeny wykorzystywane podczas ataków wykazują wysoką aktywność tylko przez względnie krótki czas – związane z nimi wzorce ruchu mają formę krótkich i szybkich pików transmisji. Kontynuując porównanie do teorii dźwięku, generowany przez nie ruch wygląda jak zakłócenia zniekształcające muzykę – mają charakter krótkich, wysokich dźwięków, świergotania. Wyobraźmy sobie dźwięki, które pojawiają się przez sekundę, a później znikają. SPRank potrafi wykryć takie wzorce ruchu w sieci i bardzo szybko je zidentyfikować”.

Drugi model to Predictive IP Space Monitoring, który umożliwia wykrycie ataków zanim zostaną uruchomione. Wykorzystuje on informacje o zainfekowanych domenach dostarczone przez SPRank jako punkt wyjścia do dalszej analizy opartej na ośmiu głównych wzorcach zachowań cyberprzestępców, budujących infrastrukturę wykorzystywaną później do szkodliwej aktywności. Wzorce te dotyczą na przykład sposobu w jaki pojawiają się w sieci i hostują złośliwą zawartość serwery służące do wrogich działań. Analiza tych informacji pozwala na określenie, które zainfekowane domeny będą w przyszłości źródłem nowych ataków.

Dzięki skoncentrowaniu się na niezmiennych parametrach charakterystyki ruchu w sieci, modele te nie są zależne od szczegółowych, zmieniających się mechanizmów i technik wykorzystywanych przez cyberprzestępców przygotowujących infrastrukturę wykorzystywaną do szkodliwej działalności.

Jak wynika z przeprowadzonych testów, nowa technologia pozwala na efektywne identyfikowanie w ciągu każdej godziny ponad 300 nowych domen, które potencjalnie mogą być w przyszłości źródłem wrogiej aktywności… i zablokowanie ich zanim jeszcze zostaną użyte.






Maciej Pobocha
Od ponad 10 lat związany z mediami. Fan nowych technologii. Lubi zaskakiwać i być zaskakiwany informacjami dotyczącymi niekonwencjonalnych rozwiązań – niezależnie od branży, jakiej dotyczą.




Poprzedni wpis

Samochody connected to dobry biznes. W Ameryce

Następny wpis

Space marketing – łączenie tradycyjnego handlu ze światem online





Zobacz także



This site is using the Seo Wizard plugin by http://seo.uk.net/

PLIKI COOKIES: Stosujemy pliki cookies, aby ułatwić korzystanie z serwisu. Szczegóły znajdziesz w Polityce Cookies. Więcej

Strona korzysta z plików cookie w celu realizacji usług zgodnie z Polityką Prywatności. Możesz określić warunki przechowywania lub dostępu do cookie w Twojej przeglądarce lub konfiguracji usługi.

Zamknij