La fuerza bruta y la magnitud de los ataques de Internet actuales ejercen una gran presión sobre los métodos clásicos de detección de intrusos. Además, estos métodos no están preparados para el número cada vez mayor de dispositivos conectados: la escalabilidad es un problema importante. El investigador de doctorado Rick Hofstede, del instituto CTIT de la Universidad de Twente, propone otra forma de monitorear el tráfico de Internet, rastreando los ataques que realmente tienen un efecto y no todos los demás. El software de código abierto que desarrolló, ya está siendo probado y utilizado por varias organizaciones en elHofstede defiende su tesis doctoral el 29 de junio.
Intentando audazmente un número masivo de nombre de usuario y contraseña hasta que tenga esa combinación única: ese es un ejemplo de un ataque de Internet de 'fuerza bruta'. Una vez que ha obtenido acceso a la computadora del usuario, puede, a su vez, usarse paradifundir contenido ilegal o realizar un ataque DDoS. Sin saberlo, los usuarios se convierten en atacantes de esta manera. Este tipo de ataques tienen lugar a través de aplicaciones web que son relativamente vulnerables, como WordPress o Joomla, pero también usan Secure Shell SSH que permiteinicio de sesión remoto en un dispositivo. Verifique el contenido de los datos que ingresan, analice el tráfico de red y los archivos de registro en cada computadora: ese es el enfoque clásico.
basado en flujo
Según Rick Hofstede, esto implica analizar una gran cantidad de datos que nunca tendrán efecto. Dentro de una red de organizaciones más grandes, con probablemente decenas de miles de computadoras, teléfonos inteligentes y tabletas conectadas, pronto será imposible verificar cadaHofstede, por lo tanto, elige un enfoque 'basado en el flujo': observa el flujo de datos desde un nivel superior y detecta patrones. Al igual que puede reconocer los correos publicitarios sin verificar realmente el contenido de los folletos. La principal ventaja es que este método de detección puedetener lugar en un lugar central, como un enrutador que se encarga del tráfico. Incluso si la cantidad de dispositivos conectados a este enrutador está creciendo rápidamente, y eso sin duda sucederá con la introducción de 5G e Internet de las cosas, la detección puede serse amplía fácilmente. Al acercarse a los ataques que tienen efecto, es decir, que conducen a un "compromiso" y requieren acción, Hofstede reduce aún más su análisis. Múltiples ataques del mismo remitente can también ser reconocido de esta manera.
Hofstede no solo probó su metodología dentro del laboratorio, sino que puso a disposición su software 'SSHCure' de código abierto, para equipos de respuesta ante emergencias informáticas de varias organizaciones. Su método demuestra ser efectivo y disminuye el número de incidentes, con precisiones de detecciónhasta el 100%, según la aplicación real y el tipo de red, por ejemplo. En el futuro, los enrutadores más potentes podrán realizar la detección por sí mismos, sin la necesidad de equipos adicionales, espera Hofstede.
Fuente de la historia :
Materiales proporcionado por Universidad de Twente . Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :