211service.com
Försvara bärbara datorer från zombieattacker
Forskare vid Intel har utvecklat laptop-baserad säkerhetsmjukvara som anpassar sig till hur en individ använder Internet, vilket ger ett mer dynamiskt och personligt tillvägagångssätt för att upptäcka skadlig aktivitet. Programvaran riktar sig till företag som delar ut bärbara datorer och mobila enheter till anställda, eftersom IT-avdelningar vanligtvis installerar samma säkerhetsprogramvara som passar alla på all sin hårdvara. Den homogena säkerhetsstrategin är snabb och enkel, säger Nina Taft , forskare vid Intel Research Berkeley , men eftersom standardprogramvara inte tar hänsyn till olika människors mönster för datoranvändning, kan den ge falska positiva resultat och helt missa vissa attacker.
En anledning till att säkerhetsintrången är så omfattande är att de flesta av våra maskiner ser likadana ut, säger Taft. De har samma operativsystem, samma applikationer, samma protokoll och samma trösklar för internettrafik i säkerhetsinställningarna, säger hon. När en hacker bryter sig in i en maskin kan han bryta sig in i dem alla ... Vi försöker injicera mångfald i datorer.
Den typ av säkerhetsprogramvara som används av de flesta IT-avdelningar har en komponent som tittar på internettrafik som kommer in och ut från en dator. När trafiken överskrider en förinställd tröskel, föreslår programvaran att datorn är infekterad. Den kan till exempel ha rekryterats som en del av ett botnät, där den fjärrstyrs av en skadlig dator som instruerar den att kommunicera med andra infekterade maskiner. (Mycket skräppost skickas från botnät.) Vissa människor skickar dock vanligt ut stora mängder information, vilket kan utlösa säkerhetslarmet, medan andra som håller sig långt under tröskeln omedvetet kan hysa skadlig aktivitet.
Som en del av ett projekt kallat Proteus har Intel-forskare utvecklat flera algoritmer som kan göra mer nyanserade bedömningar. En algoritm använder vanliga statistiska och maskininlärningstekniker för att övervaka en persons internetanvändning och skapa individualiserade trafiktrösklar. En andra algoritm mäter hur människors internetanvändning förändras under dagen. Taft har upptäckt att människors vanor skiljer sig markant när de använder företagets bärbara datorer för att logga in på andra nätverk än företagets. Nittio procent av människor har ett helt annat beteende när de är på jobbet än när de är hemma, säger hon. Att knyta olika trafiktrösklar till olika platsprofiler kan förbättra säkerhetsprogramvarans förmåga att upptäcka komprometterade maskiner.
Jag tror att den grundläggande takeawayen är att om du kan vara riktigt exakt i att fånga användarbeteende kan du göra angriparnas arbete mycket svårare, säger Taft. För att framgångsrikt kunna infektera en maskin som upprätthåller ett antal olika användningsprofiler, skulle en illvillig hackare behöva veta när var och en ansökte och vad dess trafiktröskel var. Du begränsar utbudet av möjligheter de har för att lyckas, säger Taft.
En tredje uppsättning Proteus-algoritmer använder samma beteendeprinciper för att undersöka kommunikation mellan bärbara datorer och andra maskiner på Internet. Botnät koordineras av en central värd som varje infekterad maskin kommunicerar med. Ett sätt att upptäcka botnät är att avlyssna denna kommunikation. Vi utvecklade algoritmer som kontrollerar den här ringande aktiviteten med viss regelbundenhet, säger Taft. Infekterade maskiner ringer vanligtvis hem med 6-, 12- eller 24-timmarsintervall. Tafts team har visat att genom att lyssna efter periodiska samtal till samma plats kan programvaran avgöra om en maskin har rekryterats av någon av tre olika botnät, inklusive Storm, ett genomgripande nätverk som kontrollerar hundratusentals, och möjligen miljoner, maskiner över hela världen.
Taft säger att tanken på att använda beteendedata för att göra säkerhetsprogramvaran mer exakt inte är ny, men att dess tillämpning för det mesta har varit begränsad till routrar som övervakar nätverksaktivitet. Proteus är det första sådana systemet designat för bärbara datorer.
Taft är ännu inte säker på hur den slutliga versionen av Proteus kommer att påverka prestandan för enheten den körs på. Till en början, när programvaran bara övervakar beteenden, kommer den att köras konstant i bakgrunden, säger hon. Efter det har den en mycket lägre aktivitetsnivå. En möjlighet kan vara att koppla Proteus till en dators kretsar. Intel är intresserade av att få så mycket [säkerhet] i hårdvara som möjligt, säger Taft. Det är en bra användning av [bearbetning] kärnor, och när saker är i hårdvara är de svårare att manipulera.
Nick Feamster , en professor i datavetenskap vid Georgia Institute of Technology, säger att det beteendemässiga förhållningssättet till säkerhet inte har tillämpats på bärbara datorer tidigare eftersom det inte fanns ett automatiserat sätt att utveckla personliga regler. Men beteendemässigt botnätsskydd är väldigt väl lämpat för maskininlärning, säger han.
Hittills har forskarna testat systemet med 350 personer och är mitt uppe i diskussioner med Intels IT-avdelning för att göra en bredare distribution. I slutändan kommer Proteus dock inte att räcka för att hålla alla datorer säkra hela tiden, enligt Taft. Det finns så många olika sätt att bryta sig in, säger hon. Man kommer att behöva många säkerhetskontroller på en dator.