Hasta ahora, evaluar el alcance y el impacto de los ataques a la red o al sistema informático ha sido en gran medida un proceso manual que consume mucho tiempo. Un nuevo sistema de software desarrollado por investigadores de ciberseguridad en el Instituto de Tecnología de Georgia automatizará en gran medida ese proceso, permitiendo a los investigadoresseñale de manera rápida y precisa cómo los intrusos ingresaron a la red, qué datos tomaron y qué sistemas informáticos se vieron comprometidos.
Conocido como Investigación de ataque refinable RAIN, el sistema proporcionará a los investigadores forenses un registro detallado de una intrusión, incluso si los atacantes intentaron cubrir sus huellas. El sistema proporciona múltiples niveles de detalle, facilitando búsquedas automáticas a través de la informaciónnivel para identificar los eventos específicos para los que se reproducen y analizan datos más detallados.
"Puede regresar y averiguar qué salió mal en su sistema, no solo en el punto en que se dio cuenta de que algo anda mal, sino lo suficientemente atrás como para descubrir cómo el atacante ingresó al sistema y qué se ha hecho", dijo Wenke Lee, codirector del Instituto de Seguridad y Privacidad de la Información de Georgia Tech.
La investigación, respaldada en gran parte por la Agencia de Proyectos de Investigación Avanzada de Defensa DARPA y también por la Fundación Nacional de Ciencias y la Oficina de Investigación Naval, se informará el 31 de octubre en la Conferencia ACM 2017 sobre Seguridad de Computadoras y Comunicaciones CCS.
Las técnicas forenses existentes pueden proporcionar información detallada sobre el estado actual de las computadoras y las redes; a partir de esa información, los investigadores pueden intentar inferir cómo se desarrollaron los ataques. Los registros digitales mantenidos por los sistemas proporcionan cierta información sobre los ataques, pero debido a las preocupaciones sobre los datosproblemas de almacenamiento, generalmente no registran suficiente detalle. Otros programas proporcionan instantáneas a tiempo, pero esas instantáneas pueden perder detalles importantes de un ataque.
El sistema RAIN monitorea continuamente un sistema y registra eventos que reconoce como potencialmente interesantes. Esa capacidad de registrar selectivamente información que probablemente sea útil más adelante permite una compensación entre una sobrecarga realista, en términos de rendimiento del sistema y almacenamiento de datos,y niveles de detalle útiles. El sistema "elimina eficazmente los procesos no relacionados y determina la causalidad del ataque con tasas insignificantes de falsos positivos", escribieron los autores en su documento de conferencia.
Además de su selectividad en la grabación de eventos, RAIN crea una capacidad de revisión multinivel que es tosca al principio, luego más detallada cuando se identifican eventos específicos de interés. Momento de las actividades - las entradas, el entorno y las acciones resultantes -- también están sincronizados para ayudar a los investigadores a comprender una secuencia compleja de actividades.
"Durante la repetición de un evento, utilizamos herramientas de instrumentación dinámica binaria para hacer la extracción de la información apropiada", dijo Taesoo Kim, profesor asistente en la Facultad de Ciencias de la Computación de Georgia Tech y uno de los coautores del artículo ".Organizamos la información de forma jerárquica, y para cada nivel aplicamos un tipo diferente de análisis automatizado. En la capa más profunda, podemos decir qué sucedió en el nivel de bytes ".
El enfoque jerárquico permite aún más flexibilidad en cómo se realiza el análisis después de un ataque.
"Estos análisis detallados, que pueden ser extremadamente útiles al investigar un ataque, serían demasiado costosos de realizar en un sistema desplegado; pero nuestro enfoque jerárquico nos permite ejecutar estos análisis fuera de línea, y solo cuando sea necesario".dijo Alessandro Orso, presidente asociado de la Facultad de Ciencias de la Computación de Georgia Tech y otro coautor.
Incluso con la selectividad de RAIN, almacenar la información relevante requiere una capacidad significativa, pero el advenimiento del almacenamiento económico hace que sea práctico, dijo Kim. Por ejemplo, una computadora de escritorio promedio podría generar cuatro gigabytes de datos del sistema por día, menos de dos terabytes por díaaño. Esa cantidad de almacenamiento ahora se puede comprar por tan solo $ 50 por año.
"Creo que estamos entrando en un rango asequible de costo de almacenamiento", dijo Kim.
Evaluar el daño causado por los intrusos ahora a menudo lleva semanas o meses. Más allá de acelerar ese proceso, RAIN podría ayudar a los operadores de redes informáticas militares o comerciales de alto valor a mejorar continuamente su seguridad al proporcionar un nivel de visibilidad que es imposible hoy en día, Leedijo.
explicó que "cuando se implementa esto, las organizaciones pueden tener total transparencia o visibilidad sobre lo que salió mal", explicó. "Los operadores de cualquier red que albergue datos importantes querrían tener algo como esto para reemplazar un proceso manual con muchotécnica más precisa y automatizada "
El equipo de investigación está en el tercer año de un proyecto de cuatro años financiado por DARPA. Se están realizando mejoras adicionales al sistema con el objetivo de llevarlo a la industria.
"Esto probablemente se convertiría en un sistema independiente que hace el registro y la interfaz para que otros sistemas de seguridad entiendan lo que sucedió", explicó Lee. "Este podría ser el primer producto que realmente registra la información necesaria para reconstruir o reproducir, yanalizar los eventos que ocurrieron en un sistema informático, por primera vez permitiendo el análisis forense automatizado "
Además de los ya mencionados, el equipo de investigación incluyó a Yang Ji, Sangho Lee, Evan Downing, Weiren Wang y Mattia Fazzini, todos de Georgia Tech.
Esta investigación fue respaldada por NSF bajo los premios CNS-0831300, CNS-1017265, DGE-1500084, CCF-1548856, CNS-1563848, SFS-1565523, CRI-1629851, CNS-1704701, CCF-0541080 y CCR-0205422; por la ONR a través de las subvenciones N000140911042 y N000141512162, y por DARPA TC a través de las subvenciones FA8650-15-C-7556 y HR0011-16-C-0059, NRF BSRP / MOE 2017R1A6A3A03002506. Cualquier opinión, hallazgo y conclusión o recomendación expresada eneste material es de los autores y no refleja necesariamente los puntos de vista de las agencias patrocinadoras.
Fuente de la historia :
Materiales proporcionados por Instituto de Tecnología de Georgia . Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :