Innovatsioon

Uuendatud ohutuvastamise metoodika e-posti turvalisuses

Uuendatud ohutuvastamise metoodika e-posti turvalisuses


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Turvasüsteemid toetuvad pidevalt arenevatele ohtudele võitlemisel pidevalt uuenevatele ohuallkirjadele. Andmebaasi värskendusi rakendatakse nii sageli, nii et uued rünnakud tuvastatakse õigesti ja blokeeritakse.

Seetõttu hoolitsevad turvafirmad, et suuremate probleemide vältimiseks kogutakse ja analüüsitakse viivitamatult teavet viimaste ohtude kohta. E-posti turvalisuse valdav mõte on see, et kui te seda teate, võite selle võita. Rünnakutele ei saa pimesi vastata.

Asjad võivad peagi muutuda, kuna turvafirma BitDam hiljuti avaldatud uuring paljastab tundmatute rünnakutega toimetuleku ohud. Turvasüsteemid võivad küll hästi koguda teavet viimaste ohtude kohta (nende allkirjade andmebaaside ja tuvastamisvõimaluste värskendamiseks), kuid nende kaitsefunktsioonid on eriti ebapiisavad, kui nad esimest korda kohtuvad pahatahtliku tarkvaraga, mille andmebaasis vastavat ohuallkirja pole.

Tundmatu uurimine

BitDami e-posti turbeuuring uurib juhtivate ettevõtte e-posti platvormide nõrkusi tundmatute või esmakordselt kokku puutuvate ohtude käsitlemisel. Kaasaegsed süsteemid on juba tuvastatud rünnakute tõkestamisel olnud üsna tõhusad. Tähtsam küsimus on aga see, kuidas nad saavad hakkama uute rünnakumetoodikate või nende variantidega.

Uuringu protsessi võib kokku võtta järgmiselt:

  1. Teadlased kogusid pahavara proove,
  2. Veendunud, et need on tõepoolest kahjulikud või pahatahtlikud,
  3. Muudetud kontrollitud pahatahtlikku tarkvara,
  4. Saatis kinnitatud pahavara e-posti kontode sihtimiseks,
  5. Jälgis sihitud e-posti kontosid kaitsvate e-posti turvasüsteemide toimimist ja
  6. Kogutud ja analüüsitud jälgitavad andmed.

Kontrollitud pahavara, mis suutis e-posti turvasüsteeme läbida, saadetakse uuringu kestel järjest väheneva sagedusega. Esimese nelja tunni jooksul saadetakse pahavara abil seotud failid uuesti iga 30 minuti järel. Järgmise 20 tunni jooksul vähendatakse uuesti saatmise sagedust üks kord iga 2 tunni järel. Sagedust vähendatakse järgmise seitsme päeva jooksul veel üks kord iga 6 tunni järel ja see peatub lõpuks pärast seitsmendat päeva. Seda tehakse simuleerimiseks

Uuring keskendus algselt Microsofti Office365 ATP-le ja Google'i G Suite'ile. See on jätkuv uuring ja plaan on lõpuks kaasata Proofpoint ja muud suuremad e-posti turvasüsteemid.

Niisiis, kuidas sai BitDam tuhandeid pahatahtlikku pahavara?

See on kindlasti oluline küsimus. BitDam kasutas uuringu jaoks tuhandeid kontrollitud pahavara. Kui tal on juurdepääs sellele paljudele tundmatutele pahavara, on turvakogukonnal mõistlik ettevõtet kahtlustada. Kuid BitDam ei saanud tegelikult tuhandeid pahavara, mis pole veel Microsofti ja Google'i ohuandmebaasides registreeritud. Uuringu jätkamiseks pidid nad olema loovad ja leidlikud.

Ohtu hankimine, mida peetakse Office365 ja G Suite jaoks tundmatuks, on uuringu läbiviimisel üks kriitilisi väljakutseid. BitDamil pole ohtralt ohuallikaid, mida suuremad turvasüsteemid pole veel tuvastanud. Lahendus: ähvarduste muutmine, et need ilmuksid uute ja tundmatutena.

Hiljuti tuntud, kuid teadaolevate ohtude muutmine tundmatuteks võimaldati kahe meetodi abil. Esimene oli pahavara sisaldavate failide räsi muutmine, lisades neile healoomulised andmed. Teine meetod eeldas makro staatilise allkirja muutmist, lisades juhuslikest sõnadest koosnevad kommentaarid ja teisendades iga makrofunktsiooni koodi base64 stringiks.

Teisisõnu, testides kasutatud tundmatud ohud on olemasolevate hiljutiste variantide variandid. Nende variantide kasutamine lahendas teadlaste jaoks kaks peamist probleemi: nakatunud failide lisamise testmeilidele ja pahavara otsese filtreerimise (kuna need on juba Office365 ja G Suite andmebaasis). Microsofti ja Google'i e-teenused kontrollivad meilidele lisatud faile automaatselt samamoodi nagu nad skannivad manuseid, mis üritavad postkastidesse siseneda.

Kogu see protsess esitas teadlastele järgmised eureka hetked:

  • E-posti süsteemid tuvastavad olemasolevate ohtude variante valesti, isegi kui algsete ohtude allkirjad on juba registreeritud.
  • Turvasüsteemidele tundmatuna tunduvaid pahavara variante on lihtne toota. Tehisintellekti abil saab luua hulgaliselt pahavara variante ja neid kasutada rohkemate rünnakute jaoks.

See seletab, miks BitDami teadlased pidid ülalnimetatud protsessis tegema 3. etapi. Muudatus on vajalik, et leida elujõulisi tundmatuid ohte ja võimaldada katsemeilides manustada pahavara koormatud faile.

Suure tuvastusega missikiiruste ja TTD probleem

Pärast pahavaraga seotud failide lisamise probleemide lahendamist ning Office365 ja G Suite viivitamatut tuvastamist jätkasid teadlased testide tegemist ja jäid murettekitavate tulemustega silmitsi.

Pärast mitu nädalat testide tegemist näitas Office365, et esimese kokkupuute keskmine määr oli 23%. Ebaõnnestunute määr oli esimesel nädalal kõrgeim (31%). G Suite toimis veelgi halvemini, registreerides esimese kokkupuute keskmiselt 35,5%. Nii nagu Office365, registreeris see ka esimese nädala kõrgeima määra, uimastamise 45% juures.

Murettekitav on ka aeg (TTD) numbrite tuvastamiseks. Office365-l oli pärast esimest kohtumist keskmine TTD 48 tundi. G Suite'i jaoks on see 26,4 tundi.

Selgituseks viitab esimese kokkupuute ebaõnnestumise määr kiirusele, mille võrra e-posti turvasüsteemid ei suutnud tuvastada neile saadetud kontrollitud pahavara. TTD viitab seevastu ajale, mis turvasüsteemidel kulub pahavara avastamiseks pärast nende esmakordset tutvustamist.

Tuvastustõrked loovad nõrgad kohad, mis võimaldavad ähvardustel tungida. Pikkade TTD-de korral riskid suurenevad. 48-tunnine TTD tähendab, et e-posti kontod on kaheks päevaks haavatavad. Turvasüsteem saab ainult teada, et oht, mille see lubas varem ületada, oleks pidanud olema blokeeritud. Selleks ajaks võivad e-posti kasutajad manustatud failid juba alla laadinud või kahjulikele linkidele klõpsanud.

Kasutades valitsevat ohutuvastuse lähenemisviisi, oleks vaja, et turvasüsteemid värskendaksid oma andmebaase ohu allkirjaga just selle vabastamise hetkel. See on lihtsalt võimatu.

Identifitseerimine pole ainus lahendus

Tundmatu tundmine pole ainus viis uute ja veel tuvastamata rünnakute probleemiga tegelemiseks. Lõppude lõpuks on peaaegu võimatu tuvastada ohte ja uuendada ohuallkirja andmebaase nende vabastamise hetkel.

Sellisena soovitab BitDam läbi mõelda, kuidas ohu tuvastamine toimib. Selle asemel, et rünnakute tuvastamisel tugineda suuresti ajakohastatud andmetele (andmepõhistele), on mõte kasutada mudelipõhist lähenemist.

BitDam on välja töötanud ATP-lahenduse, mis kasutab ohu-agnostilist mootorit. See esitab tuvastamise lähenemisviisi, mis ei nõua teavet rünnakute kohta, et teha kindlaks, kas midagi on kahjulikku ja tuleks blokeerida. See keskendub rakenduste failidega suhtlemisele.

„Puhaste” täitmisvoogude mudelid on loodud selleks, et saada ülevaade rakenduste toimimisest, kui nad töötavad turvaliste, võltsimata või healoomuliste failidega. Kui ATP-mootor jälgib täitmisvooge, mis erinevad sellest, kuidas puhtad voolud toimuvad, oleks loogiline otsus kahtlane fail blokeerida.

BitDami mudelipõhine ohtude tuvastamise mootor on olnud väga tõhus, mida tõendab ka see, kuidas ta tuvastas esimesel kohtumisel Office365 ja G Suite'i kasutamata jäänud ohud. See näitab, et tundmatut pole vaja teada, et seda õigesti pahatahtlikuks või kahjulikuks hinnata.

Kokkuvõtteks

Tundmatu olemine muudab ähvardused riskantsemaks ja jubedamaks. Õnneks ei pea lahendus alati olema vastupidine tundmatule. BitDam on kasutusele võtnud mudelipõhise ohutuvastuse lähenemisviisi, mis on testides osutunud väga tõhusaks. See võib isegi vähendada TTD nulli. See meetod pole siiski suunatud andmepõhiste strateegiate asendamisele. See võib suurendada praeguste e-posti turvasüsteemide tõhusust, kuid tõenäoliselt vajab see ajakohastatud ohuteavet, et lahendada ülemäärase valepositiivsuse võimalus, kui see muutub liiga agressiivseks.


Vaata videot: Calling All Cars: Missing Messenger. Body, Body, Whos Got the Body. All That Glitters (Mai 2022).