211service.com
Laptops verdedigen tegen zombieaanvallen
Onderzoekers van Intel hebben op laptops gebaseerde beveiligingssoftware ontwikkeld die zich aanpast aan de manier waarop een persoon internet gebruikt, waardoor een meer dynamische en persoonlijke benadering wordt geboden voor het detecteren van kwaadaardige activiteiten. De software is bedoeld voor bedrijven die laptops en mobiele apparaten uitdelen aan werknemers, aangezien IT-afdelingen meestal dezelfde standaardbeveiligingssoftware op al hun hardware installeren. De homogene beveiligingsaanpak is snel en eenvoudig, zegt Nina Taft , een onderzoeker bij Intel Research Berkeley , maar omdat standaardsoftware geen rekening houdt met de patronen van computergebruik van verschillende mensen, kan het valse positieven produceren en sommige aanvallen volledig missen.
Een van de redenen waarom inbreuken op de beveiliging zo wijdverbreid zijn, is dat de meeste van onze machines er hetzelfde uitzien, zegt Taft. Ze hebben dezelfde besturingssystemen, dezelfde applicaties, dezelfde protocollen en dezelfde drempels voor internetverkeer in de beveiligingsinstellingen, zegt ze. Wanneer een hacker in één machine inbreekt, kan hij in alle machines inbreken... We proberen diversiteit in computers te injecteren.
Het type beveiligingssoftware dat door de meeste IT-afdelingen wordt gebruikt, heeft een onderdeel dat kijkt naar internetverkeer dat in en uit een computer komt. Wanneer het verkeer een vooraf ingestelde drempel overschrijdt, suggereert de software dat de computer is geïnfecteerd. Het kan bijvoorbeeld zijn gerekruteerd als onderdeel van een botnet, waarin het op afstand wordt bestuurd door een kwaadwillende computer die het opdracht geeft om te communiceren met andere geïnfecteerde machines. (Veel spam wordt verzonden vanaf botnets.) Sommige mensen verzenden echter gewoonlijk grote hoeveelheden informatie, die het beveiligingsalarm kunnen activeren, terwijl anderen die ver onder de drempel blijven, onbewust schadelijke activiteiten kunnen herbergen.
Als onderdeel van een project genaamd Proteus hebben Intel-onderzoekers verschillende algoritmen ontwikkeld die genuanceerder kunnen oordelen. Eén algoritme maakt gebruik van standaard statistische en machine learning-technieken om het internetgebruik van een persoon te controleren en individuele verkeersdrempels te creëren. Een tweede algoritme meet hoe het internetgebruik van mensen gedurende de dag verandert. Taft heeft ontdekt dat de gewoonten van mensen aanzienlijk verschillen wanneer ze bedrijfslaptops gebruiken om in te loggen op andere netwerken dan die van het bedrijf. Negentig procent van de mensen gedraagt zich op het werk heel anders dan thuis, zegt ze. Het koppelen van verschillende verkeersdrempels aan verschillende locatieprofielen zou het vermogen van beveiligingssoftware om gecompromitteerde machines te detecteren, kunnen verbeteren.
Ik denk dat de belangrijkste conclusie is dat als je heel precies kunt zijn in het vastleggen van gebruikersgedrag, je het werk van de aanvallers veel moeilijker kunt maken, zegt Taft. Om een machine met een aantal verschillende gebruiksprofielen met succes te kunnen infecteren, zou een kwaadwillende hacker moeten weten wanneer elke machine werd toegepast en wat de verkeersdrempel was. Je beperkt het scala aan mogelijkheden die ze hebben om te slagen, zegt Taft.
Een derde set Proteus-algoritmen gebruikt dezelfde gedragsprincipes om de communicatie tussen laptops en andere machines op internet te onderzoeken. Botnets worden gecoördineerd door een centrale host waarmee elke geïnfecteerde machine communiceert. Een manier om botnets te detecteren, is door deze communicatie af te luisteren. We hebben algoritmen ontwikkeld die met enige regelmaat controleren op deze thuisbelactiviteit, zegt Taft. Geïnfecteerde machines bellen meestal met tussenpozen van 6, 12 of 24 uur. Het team van Taft heeft aangetoond dat door te luisteren naar periodieke oproepen naar dezelfde locatie, de software kan bepalen of een machine is gerekruteerd door een van de drie verschillende botnets, waaronder Storm, een alomtegenwoordig netwerk dat honderdduizenden en mogelijk miljoenen machines bestuurt wereldwijd.
Taft zegt dat het idee om gedragsgegevens te gebruiken om beveiligingssoftware nauwkeuriger te maken niet nieuw is, maar dat de toepassing ervan grotendeels is beperkt tot routers die netwerkactiviteit bewaken. Proteus is het eerste systeem dat is ontworpen voor laptops.
Taft weet nog niet zeker hoe de definitieve versie van Proteus de prestaties van het apparaat waarop het draait, zal beïnvloeden. In eerste instantie, wanneer de software alleen het gedrag in de gaten houdt, zal het constant op de achtergrond draaien, zegt ze. Daarna heeft het een veel lager niveau van activiteit. Een mogelijkheid zou kunnen zijn om Proteus vast te zetten in het circuit van een computer. Intel is geïnteresseerd om zoveel mogelijk [beveiliging] in hardware te krijgen, zegt Taft. Het is een goed gebruik van [verwerkings]-kernen, en als dingen in hardware zitten, is het moeilijker om ermee te knoeien.
Nick Feamster , een professor in computerwetenschappen aan het Georgia Institute of Technology, zegt dat de gedragsmatige benadering van beveiliging in het verleden niet is toegepast op laptops omdat er geen geautomatiseerde manier was om gepersonaliseerde regels te ontwikkelen. Maar gedragsbotnetbescherming is zeer geschikt voor machine learning, zegt hij.
Tot nu toe hebben de onderzoekers het systeem getest met 350 mensen en zijn ze in gesprek met de IT-afdeling van Intel om een bredere implementatie te doen. Uiteindelijk zal Proteus echter niet genoeg zijn om alle computers altijd veilig te houden, aldus Taft. Er zijn zoveel verschillende manieren om in te breken, zegt ze. Men zal veel veiligheidscontroles op een computer nodig hebben.