OpenDNS rozwija mechanizmy predykcyjnej cyberochrony

Zespół badaczy z OpenDNS, firmy przejętej niedawno przez Cisco, opracował tzw. „sonar bezpieczeństwa”, który umożliwia wyprzedzające wykrywanie zagrożeń przy wykorzystaniu analizy wzorców ruchu sieciowego opartej na teorii dźwięku.

Podziel się:

Warszawa, 20 stycznia 2016 r. - OpenDNS, firma przejęta przez Cisco w sierpniu 2015r., będąca wiodącym dostawcą systemów bezpieczeństwa działających w chmurze, zaprezentowała nową technologię analizy ruchu w sieci. Badacze z OpenDNS ujawnili szczegóły badań, które doprowadziły do opracowania dwóch nowych modeli detekcji zagrożeń, pozwalających na przewidywanie propagacji złośliwego kodu, na podstawie analizy wykorzystującej wzorce typowego ruchu w sieci.

Pierwszy model to SPRank (Spike Rank), który w systemie zabezpieczania sieci działa podobnie jak sonar służący do detekcji specyficznych dźwięków — umożliwia wyizolowanie z tła sygnałów świadczących o wrogim ataku.

Analizując zmiany we wzorcach ruchu sieciowego wywoływane przez inicjację ataków, naukowcy z OpenDNS odkryli, że są one bardzo podobne do wzorców, którymi zajmują się takie firmy jak Pandora i Shazam w badaniach odtwarzania dźwięku mających na celu ulepszenie systemów odsłuchu muzyki. Wówczas postanowili do analizy ruchu sieciowego zastosować techniki podobne do wykorzystywanych przez systemy internetowych stacji radiowych lub aplikacje do wyszukiwania muzyki w internecie.

W ten sposób powstał SPRank – mechanizm automatycznej analizy “dźwięków sieci”, który jest w stanie szybko wykrywać wzorce szkodliwego ruchu efektywnie analizując ponad pół terabajta danych, czyli tyle ile jest przetwarzane przez OpenDNS na godzinę.

Ten model analizy okazał się wyjątkowo dokładny i skuteczny w wykrywaniu cyberataków. W każdej godzinie identyfikuje kilkaset nowych zarażonych przez szkodliwe oprogramowanie domen, z których ponad jedna trzecia nie została wcześniej wykryta przez żaden ze znanych skanerów antywirusowych lub innych systemów zabezpieczania sieci.

“Modele opisujące fale dźwiękowe to rozwinięta i bogata gałąź matematyki” mówi Thomas Mathew, jeden z naukowców pracujących w OpenDNS. “Z naszych analiz wynika, że domeny takie jak Google i Yahoo! generują bardzo podobne wzorce “fal dźwiękowych”, bo związany z nimi ruch sieciowy jest regularny. Natomiast domeny wykorzystywane podczas ataków wykazują wysoką aktywność tylko przez względnie krótki czas – związane z nimi wzorce ruchu mają formę krótkich i szybkich pików transmisji. Kontynuując porównanie do teorii dźwięku, generowany przez nie ruch wygląda jak zakłócenia zniekształcające muzykę – mają charakter krótkich, wysokich dźwięków, świergotania. Wyobraźmy sobie dźwięki, które pojawiają się przez sekundę, a później znikają. SPRank potrafi wykryć takie wzorce ruchu w sieci i bardzo szybko je zidentyfikować”.

Drugi model to Predictive IP Space Monitoring, który umożliwia wykrycie ataków zanim zostaną uruchomione. Wykorzystuje on informacje o zainfekowanych domenach dostarczone przez SPRank jako punkt wyjścia do dalszej analizy opartej na ośmiu głównych wzorcach zachowań cyberprzestępców, budujących infrastrukturę wykorzystywaną później do szkodliwej aktywności. Wzorce te dotyczą na przykład sposobu w jaki pojawiają się w sieci i hostują złośliwą zawartość serwery służące do wrogich działań. Analiza tych informacji pozwala na określenie, które zainfekowane domeny będą w przyszłości źródłem nowych ataków.

Dzięki skoncentrowaniu się na niezmiennych parametrach charakterystyki ruchu w sieci, modele te nie są zależne od szczegółowych, zmieniających się mechanizmów i technik wykorzystywanych przez cyberprzestępców przygotowujących infrastrukturę wykorzystywaną do szkodliwej działalności.

Jak wynika z przeprowadzonych testów, nowa technologia pozwala na efektywne identyfikowanie w ciągu każdej godziny ponad 300 nowych domen, które potencjalnie mogą być w przyszłości źródłem wrogiej aktywności… i zablokowanie ich zanim jeszcze zostaną użyte.

Więcej informacji o wynikach zaprezentowanych badań można znaleźć na stronach internetowych:

Informacje o OpenDNS (obecnie część firmy Cisco):
OpenDNS to firma przejęta w sierpniu 2015 roku przez Cisco. Jest ona wiodącym dostawcą usług DNS oraz zabezpieczania systemów sieciowych, które umożliwiają bezpieczne podłączanie do internetu wszelkiego rodzaju urządzeń, w każdym miejscu i o każdej porze. Oferowane przez OpenDNS chmurowe usługi zabezpieczania sieci Umbrella umożliwiają blokowanie zaawansowanych ataków, złośliwego kodu, botnetów, a także zagrożeń związanych z phishingiem niezależnie od wykorzystywanych przez cyberprzestępców portów, protok ołów lub aplikacji. Dzięki wykorzystaniu mechanizmów predykcyjnej inteligencji i samouczenia maszynowego (machine learning), opracowana przez OpenDNS technologia pozwala na automatyzację procesów związanych z zabezpieczaniem sieci przed nowymi pojawiającymi się wciąż zagrożeniami zanim dotkną one użytkowników. OpenDNS umożliwia ochronę wykorzystywanych przez firmy urządzeń komputerowych w skali globalnej bez konieczności instalacji jakichkolwiek systemów sprzętowych lub oprogramowania. Więcej informacji o firmie i jej ofercie można znaleźć na stronie:www.opendns.com.

.:|:.:|:.

O Cisco:

Cisco (NASDAQ: CSCO) jest światowym liderem w dziedzinie rozwiązań sieciowych, zmieniających nasze postrzeganie komunikacji i współpracy międzyludzkiej. Informacje o firmie Cisco można znaleźć na stronie http://www.cisco.com. Cisco i logo Cisco to zastrzeżone znaki towarowe należące do Cisco i/lub jego podmiotów zależnych w U.S. i innych krajach. Pełna lista znaków towarowych Cisco dostępna jest pod adresem: www.cisco.com/go/trademarks. Znaki towarowe firm trzecich są ich własnością. Użycie słowa partner nie oznacza stosunku partnerstwa pomiędzy Cisco i inną firmą.

Kontakt: Łukasz Dąbrowski | MANEJO Public Relations | e-mail: lukasz@manejo.pl | tel.: 795 03 12 02

Pozwól nam pomóc