Difendere i laptop dagli attacchi di zombi

I ricercatori di Intel hanno sviluppato un software di sicurezza basato su laptop che si adatta al modo in cui un individuo utilizza Internet, fornendo un approccio più dinamico e personalizzato per rilevare attività dannose. Il software è rivolto alle aziende che distribuiscono laptop e dispositivi mobili ai dipendenti, poiché i reparti IT di solito installano lo stesso software di sicurezza valido per tutti su tutto il loro hardware. L'approccio omogeneo alla sicurezza è rapido e semplice, afferma Nina Taft , ricercatore presso Intel Research Berkeley , ma poiché il software standard non tiene conto dei diversi modelli di utilizzo del computer da parte delle persone, può produrre falsi positivi e perdere completamente alcuni attacchi.





Uno dei motivi per cui le violazioni della sicurezza sono così dilaganti è che la maggior parte delle nostre macchine ha lo stesso aspetto, afferma Taft. Hanno gli stessi sistemi operativi, le stesse applicazioni, gli stessi protocolli e le stesse soglie di traffico Internet nelle impostazioni di sicurezza, afferma. Quando un hacker irrompe in una macchina, può irrompere in tutte... Stiamo cercando di iniettare diversità nei computer.

Il tipo di software di sicurezza distribuito dalla maggior parte dei reparti IT ha un componente che esamina il traffico Internet in entrata e in uscita da un computer. Quando il traffico supera una soglia preimpostata, il software suggerisce che il computer è infetto. Potrebbe, ad esempio, essere stato reclutato come parte di una botnet, in cui è controllato in remoto da un computer dannoso che gli ordina di comunicare con altre macchine infette. (Molto spam viene inviato dalle botnet.) Alcune persone, tuttavia, inviano abitualmente grandi quantità di informazioni, che possono attivare l'allarme di sicurezza, mentre altre che rimangono ben al di sotto della soglia possono inconsapevolmente ospitare attività dannose.

Nell'ambito di un progetto chiamato Proteus, i ricercatori Intel hanno sviluppato diversi algoritmi in grado di formulare giudizi più sfumati. Un algoritmo utilizza tecniche statistiche e di apprendimento automatico standard per monitorare l'utilizzo di Internet da parte di una persona e creare soglie di traffico personalizzate. Un secondo algoritmo misura come cambia l'uso di Internet delle persone nel corso della giornata. Taft ha scoperto che le abitudini delle persone sono significativamente diverse quando utilizzano i laptop aziendali per accedere a reti diverse da quella aziendale. Il novanta percento delle persone ha un comportamento abbastanza diverso quando è al lavoro rispetto a quando è a casa, dice. L'associazione di diverse soglie di traffico a diversi profili di posizione potrebbe migliorare la capacità del software di sicurezza di rilevare le macchine compromesse.



Penso che il punto fondamentale sia che se puoi essere davvero preciso nel catturare il comportamento degli utenti, puoi rendere il lavoro degli aggressori molto più difficile, dice Taft. Per infettare con successo una macchina che ha mantenuto un numero di profili di utilizzo diversi, un hacker malintenzionato avrebbe bisogno di sapere quando ciascuno di essi è stato applicato e qual era la sua soglia di traffico. Limiti la gamma di possibilità che hanno per avere successo, dice Taft.

Un terzo set di algoritmi Proteus utilizza gli stessi principi comportamentali per esaminare la comunicazione tra laptop e altre macchine su Internet. Le botnet sono coordinate da un host centrale con cui comunica ogni macchina infetta. Un modo per rilevare le botnet è intercettare queste comunicazioni. Abbiamo sviluppato algoritmi che verificano questa attività di chiamata a casa con una certa regolarità, afferma Taft. Le macchine infette di solito chiamano a casa a intervalli di 6, 12 o 24 ore. Il team di Taft ha dimostrato che ascoltando le chiamate periodiche alla stessa posizione, il software può determinare se una macchina è stata reclutata da una qualsiasi delle tre diverse botnet, tra cui Storm, una rete pervasiva che controlla centinaia di migliaia, e forse milioni, di macchine In tutto il mondo.

Taft afferma che l'idea di utilizzare i dati comportamentali per rendere il software di sicurezza più accurato non è nuova, ma che per la maggior parte la sua applicazione è stata limitata ai router che monitorano l'attività di rete. Proteus è il primo sistema del genere progettato per laptop.



Taft non è ancora sicuro di come la versione finale di Proteus influenzerà le prestazioni del dispositivo su cui viene eseguito. Inizialmente, quando il software sta solo monitorando il comportamento, verrà eseguito costantemente in background, afferma. Successivamente, ha un livello di attività molto più basso. Una possibilità potrebbe essere quella di cablare Proteus nei circuiti di un computer. Intel è interessata a ottenere la massima [sicurezza] possibile nell'hardware, afferma Taft. È un buon uso dei core [di elaborazione] e quando le cose sono nell'hardware, sono più difficili da manomettere.

Nick Feamster , professore di informatica presso il Georgia Institute of Technology, afferma che l'approccio comportamentale alla sicurezza non è stato applicato ai laptop in passato perché non esisteva un modo automatizzato per sviluppare regole personalizzate. Ma la protezione comportamentale delle botnet è molto adatta per l'apprendimento automatico, afferma.

Finora, i ricercatori hanno testato il sistema con 350 persone e sono nel mezzo di discussioni con il dipartimento IT di Intel per una distribuzione più ampia. Alla fine, tuttavia, secondo Taft, Proteus non sarà sufficiente per mantenere tutti i computer sempre al sicuro. Ci sono tanti modi diversi per entrare, dice. Uno avrà bisogno di molti controlli di sicurezza su un computer.

nascondere