Articol webPR

Cum anihileaza inteligenta artificiala tentativele de spionaj cibernetic

de     webPR.ro
Marţi, 27 septembrie 2016, 10:53 Economie | IT

Dragos Gavrilut
Foto: BitDefender
Amenintarile avansate persistente (APT) reprezinta cel mai grav risc de securitate la adresa securitatii companiilor, paralizand afaceri si distrugand cariere in domeniul IT prin brese de securitate costisitoare ce provoaca pagube majore. Amenintarile APT ocolesc sistemele de securitate traditionale si fura informatii confidentiale fara sa lase urme.


"Ne confruntam cu astfel de dusmani de ani de zile, uneori fara sa ne dam seama impotriva cui luptam de fapt. S-a intamplat recent cu proiectul Sauron, una dintre cele mai sofisticate amenintari cibernetice dezvoltate tocmai ca sa sustraga date din calculatoarele a 30 de organizatii folosind instrumente nedescoperite pana atunci -guverne, companii de telecomunicatii, institutii financiare si de cercetare", spune Dragos Gavrilut, antimalware research manager la Bitdefender si lector la Universitatea "Alexandru Ioan Cuza" din Iasi.

Gavrilut spune ca Bitdefender detecteaza de mai bine de sapte ani componente imprevizibile din codul periculos care compune aceste amenintari, cu ajutorul algoritmilor de inteligenta artificiala integrati in solutiile de securitate. Dat fiind ca sistemele trebuie sa analizeze mii de fisiere in fiecare zi, este uneori dificil sa intuiasca magnitudinea unei amenintari.

Mai multi algoritmi, mai multa acuratete

Amenintarile avansate persistente difera fata de alte tipuri de virusi prin faptul ca sunt construite de atacatori profesionisti cu scopul de a evita detectia de catre solutiile de securitate ce protejeaza infrastructurile vizate de atac. Asadar, pentru a asigura rate mai mari de detectie, producatorii de solutii de securitate opteaza pentru corelarea rezultatelor din algoritmi multipli. Spre deosebire de folosirea unei singure tehnologii, aceasta strategie este eficienta in contracararea APT-urilor, intrucat ingreuneaza incercarile amenintarilor tintite de a evita detectia.

Bitdefender a antrenat algoritmi de ani buni, printre care Perceptrons, Neural Networks, Centroids, Binary Decision Tree si Deep Learning. Unii sunt specializati in diferite familii de malware, altii in gasirea de mostre noi de fisiere periculoase, insa exista si algoritmi conceputi sa reduca numarul alarmelor false. Ei se completeaza unul pe celalalt pentru a detecta codul periculos, in paralel cu detectia bazata pe semnaturi si alte metode de cercetare traditionale.

"Ne-am dat seama ca o singura tehnologie nu va rezolva toate problemele, dar mai multe, puse la un loc, ar putea rezolva majoritatea situatiilor ce pot aparea. Lucrand impreuna, algoritmii reusesc sa sa obtina o rata de detectie imbunatatita a amenintarilor noi si necunoscute", explica Dragos Gavrilut.


Detectia traficului suspect din retea

Identificarea atacurilor de tip zero-day (amenintari necunoscute si exploatate de atacatori fara restrictii pana la descoperirea acestora) pleaca de la prezumtia ca activitatea pe o statie de lucru dintr-un mediu corporativ ar trebui sa aiba un comportament predictibil. Inteligenta artificiala poate procesa datele de la milioane de surse in fiecare minut si poate stabili un mod de functionare normal, comparandu-l apoi cu felul in care s-a comportat in trecut si identificand anomaliile.

Folosind aceasta tehnologie, tranzactiile, procesele desfasurate pe servere, traficul de internet, logarile la sistem pot fi analizate pentru a gasi modalitati de functionare anormale.

Retele neuronale care filtreaza URL-uri

Software-ul periculos are abilitatea de a se ascunde in multiplele straturi din reteaua unei companii. Una dintre solutiile care pot bloca atacurile avansate persistente este folosirea de filtre URL. Cum un link periculos care vizeaza o victima anume este disponibil doar pentru cateva minute, metoda este eficienta doar daca foloseste cloud-ul pentru a interzice accesul celor din companie pe acel link cat mai repede posibil.

Mai mult, tehnici sofisticate de pacalire a acestor metode de detectie au redus eficienta semnaturilor traditionale si au creat nevoia unor mecanisme mai rapide si mai complexe de blocare a acestora.

Sortarea e-mail-urilor de tip spam

"APT-urile profita de vulnerabilitatile necunoscute de tip zero-day din aplicatiile frecvent folosite. In majoritatea timpului, utilizatorul este indemnat sa viziteze pagini cu continut periculos sau sa deschida un document infectat trimis prin e-mail. De aceea, identificarea e-mail-urilor ce contin fisiere infectate este fundamentala in securitatea cibernetica", mai spune Dragos Gavrilut.

Algoritmii de inteligenta artificiala pot depista daca e-mail-urile sunt sau nu spam pe baza unor reguli pe care le invata din mostre preclasificate. Filtrele folosite pentru analizarea acestor date (adrese IP, subiectul e-mail-ului, continutul mesajului, link-uri inserate, numere de telefon, imagini, fisiere atasate, diverse alte "amprente" specifice) interactioneaza unul cu celalalt pentru a acoperi anumite scenarii si variante din valuri de spam deja detectate.

Identificare de fisiere periculoase

Uneori, programul periculos ajunge pe un dispozitiv printr-un un fisier de tip JavaScript inserat intr-un PDF.  In acest fel, codul poate fi executat pe computere evitand metodele de protectie existente. JavaScript creeaza un cadru perfect pentru a livra amenintari avansate persistente, fiind un limbaj polimorfic (doua fisiere pot avea aceleasi functionalitati, dar pot arata foarte diferit).

Inteligenta artificiala reduce semnificativ volumele de munca ale analistilor de malware, iar tehnologia din spatele acestor algoritmi se adapteaza constant la evolutia vectorilor de atac. Cu toate acestea, inteligenta artificiala nu va inlocui specialistii in securitate cibernetica prea curand, rolul lor fiind esential in asigurarea unei detectii cat mai apropiate de 100%.

















[P] JYSK Romania plateste 15 lei / zi pentru tichetele de masa ale angajatilor sai

JYSK Romania, parte a grupului scandinav JYSK Nordic, unul dintre cei mai mari retaileri de mobilier si decoratiuni interioare din Europa, a majorat, incepand cu data de 1 decembrie 2016, valoarea tichetelor de masa acordate angajatilor sai. Astfel, valoarea nominala a unui tichet de masa a ajuns la 15 lei, suma maxima prevazuta de lege.
4688 vizualizari
  • 0 (4 voturi)    
    Niste mici scapari (Marţi, 27 septembrie 2016, 16:32)

    IronMonkey [utilizator]

    Un APT nu este numai un malware care exploateaza zero days, ci un intreg ecosistem separabil pe niste faze extreme de clare, instalarea prin zero days (in cazuri rare, sofisticate) sau prin vulnerabilitati cunoscute dar neremediate (multumita existentei administratorilor puturosi sau directorilor IT habarnisti) fiind doar una din ele. Spre deosebire de alte malware-uri coordonate prin C&C, un APT este caracterizat in mare parte de miscari laterale, multe din ele fiind effectuate cu credentiale compromise si aceasta nu exploateaza nici un zero-day (pass-the-hash sau golden ticket sunt arhicunoscute si greu de rezolvat fara migrare la Windows 2012 Active Directory si Windows 10 Credential Guard). Office Macro este de asemenea un limbaj polimorfic extreme de periculos (vezi ultimele campanii Locky) si mult mai usor de exploatat decat JavaScript.
    Pe cand o solutie de tip sandbox / deep learning/PERF monitoring pt ROP si ROPless de la Bit Defender? Anul asta la BlackHat s-a vorbit f mult si de evasion folosind Microsoft COM, code injection folosind kernel sau system hooks pt long jump trampolines, banuiesc ca va fi un topic hot pt anul acesta.
  • -1 (3 voturi)    
    #antisec (Marţi, 27 septembrie 2016, 23:17)

    duckz [utilizator]

    "Un APT nu este numai un malware care exploateaza zero days, ci un intreg ecosistem separabil pe niste faze extreme de clare, instalarea prin zero days (in cazuri rare, sofisticate) sau prin vulnerabilitati cunoscute dar neremediate (multumita existentei administratorilor puturosi sau directorilor IT habarnisti) fiind doar una din ele. Spre deosebire de alte malware-uri coordonate prin C&C, un APT este caracterizat in mare parte de miscari laterale, multe din ele fiind effectuate cu credentiale compromise si aceasta nu exploateaza nici un zero-day (pass-the-hash sau golden ticket sunt arhicunoscute si greu de rezolvat fara migrare la Windows 2012 Active Directory si Windows 10 Credential Guard). Office Macro este de asemenea un limbaj polimorfic extreme de periculos (vezi ultimele campanii Locky) si mult mai usor de exploatat decat JavaScript.
    Pe cand o solutie de tip sandbox / deep learning/PERF monitoring pt ROP si ROPless de la Bit Defender? Anul asta la BlackHat s-a vorbit f mult si de evasion folosind Microsoft COM, code injection folosind kernel sau system hooks pt long jump trampolines, banuiesc ca va fi un topic hot pt anul acesta. "

    > `anul asta la Blackhat` , blabla

    > ne intoarcem dupa 7 ani de pauza. ne vedem la locurile stiute. revista m.u.1.4 va fi re-editata.
    the real APT.
    • 0 (2 voturi)    
      ? (Miercuri, 28 septembrie 2016, 14:26)

      IronMonkey [utilizator] i-a raspuns lui duckz

      Era un fel de amenintare sau cum?


Abonare la comentarii cu RSS





ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Miercuri