Inovacija

Inovativne metodologije otkrivanja prijetnji u sigurnosti e-pošte

Inovativne metodologije otkrivanja prijetnji u sigurnosti e-pošte


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Sigurnosni sistemi se oslanjaju na kontinuirano ažurirane potpise prijetnji u borbi protiv neprestano razvijajućih prijetnji. Ažuriranja baze podataka implementiraju se svako toliko, tako da su novi napadi ispravno identificirani i blokirani.

Zbog toga se zaštitarske firme brinu da se informacije o najnovijim prijetnjama prikupljaju i analiziraju odmah kako bi se spriječili veći problemi. U sigurnosti e-pošte prevladava ideja da je možete nadvladati ako to znate. Ne možete slijepo reagirati na napade.

Stvari će se možda morati promijeniti čim nedavno objavljena studija sigurnosne firme BitDam otkrije opasnosti suočavanja s nepoznatim napadima. Sigurnosni sustavi mogu biti dobri u prikupljanju informacija o najnovijim prijetnjama (za ažuriranje baza podataka s potpisima i mogućnosti otkrivanja), ali njihova odbrana je izrazito neadekvatna kada se prvi put susretnu sa zlonamjernim softverom koji nema odgovarajući potpis prijetnje u svojoj bazi podataka.

Istraživanje nepoznatog

BitDam-ova studija sigurnosti e-pošte ukazuje na slabosti vodećih poslovnih e-mail platformi u rješavanju nepoznatih prijetnji ili onih s kojima se susreću prvi put. Moderni sistemi su prilično efikasni u blokiranju već identificiranih napada. Međutim, najvažnije je pitanje kako se bave novim metodologijama napada ili njihovim varijantama.

Proces studije može se sažeti kako slijedi:

  1. Istraživači su prikupili uzorke malvera,
  2. Potvrđeno da su zaista štetne ili zlonamjerne,
  3. Izmijenio provjereni zlonamjeran softver,
  4. Poslao verifikovani malware za ciljanje računa e-pošte,
  5. Pratio je performanse sigurnosnih sistema e-pošte koji štite ciljane račune e-pošte i
  6. Prikupljeni i analizirani praćeni podaci.

Provjereni zlonamjerni softver koji je uspio proći kroz sigurnosne sisteme e-pošte ponovno se šalje sa smanjenom učestalošću tijekom trajanja studije. U prva četiri sata datoteke sa malware-om šalju se svakih 30 minuta. Sljedećih 20 sati učestalost ponovnog slanja smanjuje se na svaka 2 sata. Učestalost se dalje smanjuje na svakih 6 sati u narednih sedam dana i na kraju prestaje nakon sedmog dana. To je učinjeno radi simulacije

Studija se u početku fokusirala na Microsoftov Office365 ATP i Googleov G Suite. To je kontinuirana studija, a plan je na kraju uključiti Proofpoint i druge glavne sisteme zaštite e-pošte.

Pa kako je BitDam nabavio hiljade ‘nepoznatog’ zlonamjernog softvera?

Ovo je sigurno važno pitanje. BitDam je za studiju koristio hiljade provjerenih zlonamjernih programa. Ako ima pristup ovom mnoštvu nepoznatih zlonamjernih programa, razumno je da sigurnosna zajednica posumnja u firmu. Međutim, BitDam zapravo nije nabavio hiljade malvera koji još nisu registrirani u bazama podataka prijetnji Microsofta i Googlea. Morali su biti kreativni i snalažljivi da bi nastavili sa proučavanjem.

Izvor prijetnji koje bi Office365 i G Suite smatrali nepoznatima jedan je od kritičnih izazova u izradi studije. BitDam nema obilne izvore prijetnji koje još nisu prepoznali glavni sigurnosni sistemi. Rješenje: modificiranje prijetnji kako bi se učinile da su nove i nepoznate.

Promjena nedavnih, ali poznatih prijetnji u nepoznate, omogućena je pomoću dvije metode. Prvo je bilo promjenom hasha datoteka koje sadrže malware uz uvođenje benignih podataka. Druga metoda zahtijevala je izmjenu statičkog potpisa makronaredbe dodavanjem komentara koji se sastoje od slučajnih riječi i pretvaranjem koda svake funkcije makronaredbe u niz base64.

Drugim riječima, nepoznate prijetnje korištene za testove su varijante postojećih nedavnih. Korištenjem ovih varijanti riješena su dva glavna problema za istraživače: problem pričvršćivanja zaraženih datoteka na testne e-adrese i izravno filtriranje zlonamjernog softvera (jer su oni već u bazi podataka Office365 i G Suite). Microsoft i Googleove usluge e-pošte automatski provjeravaju datoteke koje su priložene uz e-poštu na isti način na koji skeniraju privitke koji pokušavaju ući u sandučiće.

Cijeli ovaj proces istraživačima je predstavio sljedeće trenutke eureke:

  • Sistemi e-pošte imaju tendenciju da pogrešno identificiraju varijante postojećih prijetnji čak i ako su na originalnim prijetnjama već registrirani njihovi potpisi.
  • Lako je proizvesti varijante malvera koji se sigurnosnim sistemima čine nepoznatima. Uz pomoć umjetne inteligencije mogu se generirati bezbrojne inačice zlonamjernog softvera i koristiti za više napada.

To objašnjava zašto su BitDam-ovi istraživači morali napraviti korak 3 u gore spomenutom procesu. Izmjena je neophodna da bi se došle do održivih nepoznatih prijetnji i omogućilo pričvršćivanje datoteka opterećenih zlonamjernim softverom u testnim e-porukama.

Problem visoke otkrivenosti propusnih stopa i TTD-a

Nakon rješavanja problema pričvršćivanja datoteka sa malware-om i trenutnog otkrivanja od strane Office365 i G Suite, istraživači su nastavili s testovima i suočili se sa zabrinjavajućim rezultatima.

Nakon nekoliko tjedana provođenja testova, Office365 je pokazao prosječnu stopu promašaja prvog susreta od 23%. Stopa promašaja bila je najviša u prvoj sedmici (31%). G Suite se pokazao još lošijim, zabilježivši prosječnu stopu promašaja prvog susreta od 35,5%. Baš kao i Office365, zabilježio je najvišu stopu u prvih tjedan dana sa zapanjujućih 45%.

Alarmantno je i vrijeme za otkrivanje (TTD) brojeva. Office365 je imao prosječni TTD od 48 sati nakon prvog susreta. Za G Suite to je 26,4 sata.

Da pojasnimo, stopa propusta prvog susreta odnosi se na stopu kojom sigurnosni sistemi e-pošte nisu uspjeli otkriti provjereni zlonamjerni softver koji im je poslan. S druge strane, TTD se odnosi na vrijeme potrebno sigurnosnim sistemima da otkriju zlonamjerni softver nakon što im je prvi put predstavljen.

Neuspjesi otkrivanja stvaraju slabe točke koje omogućavaju prodor prijetnji. S dugim TTD rizici se pogoršavaju. TTD od 48 sati znači da su računi e-pošte ranjivi u periodu od dva dana. Sigurnosni sistem samo saznaje da je prijetnja koju je ranije mogao proći trebala biti blokirana. Do tada su korisnici e-pošte možda već preuzeli priložene datoteke ili kliknuli na štetne veze.

Koristeći prevladavajući pristup otkrivanja prijetnji, bilo bi neophodno da sigurnosni sistemi ažuriraju svoje baze podataka s potpisom prijetnje u trenutku kada je objavljena. To je jednostavno nemoguće.

Identifikacija nije jedino rješenje

Poznavanje nepoznatog nije jedini način za rješavanje problema novih i tek identificiranih napada. Napokon, gotovo je nemoguće identificirati prijetnje i ažurirati baze podataka s potpisima prijetnji u trenutku kada su objavljene.

Kao takav, BitDam predlaže preispitivanje načina na koji funkcionira otkrivanje prijetnji. Umjesto da se u velikoj mjeri oslanjaju na ažurirane podatke (na temelju podataka) za identificiranje napada, ideja je usvojiti pristup zasnovan na modelu.

BitDam je razvio ATP rješenje koje koristi mehanizam za otkrivanje prijetnji. Predstavlja pristup otkrivanja koji ne zahtijeva informacije o napadima kako bi se utvrdilo je li nešto štetno i treba li ga blokirati. Fokusira se na način na koji aplikacije komuniciraju s datotekama.

Modeli „čistih“ tokova izvršenja su stvoreni da imaju mjerilo kako aplikacije rade kada rade sa sigurnim, nepatvorenim ili benignim datotekama. Ako ATP motor promatra tijekove izvršavanja koji odstupaju od načina na koji se odvijaju čisti protoci, logična odluka bila bi blokiranje sumnjive datoteke.

BitDamov mehanizam za otkrivanje prijetnji na temelju modela bio je vrlo učinkovit, o čemu svjedoči i način na koji je otkrio prijetnje koje su propustili Office365 i G Suite pri prvom susretu. To pokazuje da nije neophodno znati nepoznato da bi se pravilno procijenilo kao zlonamjerno ili štetno.

U zakljucku

Biti nepoznat čini prijetnje rizičnijim i zastrašujućim. Srećom, rješenje ne mora uvijek biti suprotno od nepoznatog. BitDam je predstavio pristup otkrivanja prijetnji zasnovan na modelu koji je dokazan u testovima kao vrlo efikasan. Može čak smanjiti TTD na nulu. Međutim, ova metoda nije usmjerena na zamjenu strategija vođenih podacima. Može povećati efikasnost trenutnih sigurnosnih sistema e-pošte, ali vjerojatno će mu trebati ažurirane informacije o prijetnjama kako bi se riješila mogućnost prekomjernog lažnog pozitivnog stanja ako postane preagresivna.


Pogledajte video: Okultno poreklo delovanja Dejvida Ajka (Jun 2022).


Komentari:

  1. Yozshugor

    Curious, is there an analogue?

  2. Kolby

    Yes you the talented person

  3. Devland

    Mislim da nije u pravu. Siguran sam. Predlažem da razgovaram o tome. Pišite mi u premijeru.

  4. Hanford

    Ja sam konačan, izvinjavam se, ali ne dolazi mi blizu. Ko još može pomoći?



Napišite poruku