211service.com
Laptops vor Zombie-Angriffen schützen
Forscher von Intel haben eine Laptop-basierte Sicherheitssoftware entwickelt, die sich an die Art und Weise anpasst, wie eine Person das Internet nutzt, und einen dynamischeren und personalisierteren Ansatz zur Erkennung bösartiger Aktivitäten bietet. Die Software richtet sich an Unternehmen, die Laptops und Mobilgeräte an ihre Mitarbeiter weitergeben, da IT-Abteilungen in der Regel dieselbe einheitliche Sicherheitssoftware auf ihrer gesamten Hardware installieren. Der homogene Sicherheitsansatz ist schnell und einfach, sagt Nina Taft , ein Forscher bei Intel Research Berkeley , aber da Standardsoftware die Computernutzungsmuster verschiedener Personen nicht berücksichtigt, kann sie falsch positive Ergebnisse liefern und einige Angriffe völlig übersehen.
Ein Grund dafür, dass Sicherheitsverletzungen so weit verbreitet sind, ist, dass die meisten unserer Maschinen gleich aussehen, sagt Taft. Sie haben dieselben Betriebssysteme, dieselben Anwendungen, dieselben Protokolle und dieselben Schwellenwerte für den Internetverkehr in den Sicherheitseinstellungen, sagt sie. Wenn ein Hacker in eine Maschine einbricht, kann er in alle einbrechen … Wir versuchen, Vielfalt in Computer zu bringen.
Die von den meisten IT-Abteilungen eingesetzte Art von Sicherheitssoftware enthält eine Komponente, die den ein- und ausgehenden Internetverkehr eines Computers untersucht. Wenn der Datenverkehr einen voreingestellten Schwellenwert überschreitet, schlägt die Software vor, dass der Computer infiziert ist. Es könnte beispielsweise als Teil eines Botnetzes rekrutiert worden sein, in dem es von einem bösartigen Computer ferngesteuert wird, der ihn anweist, mit anderen infizierten Computern zu kommunizieren. (Viel Spam wird von Botnets gesendet.) Manche Leute versenden jedoch gewohnheitsmäßig große Mengen an Informationen, die den Sicherheitsalarm auslösen können, während andere, die weit unter der Schwelle bleiben, unwissentlich bösartige Aktivitäten beherbergen können.
Im Rahmen eines Projekts namens Proteus haben Intel-Forscher mehrere Algorithmen entwickelt, die differenziertere Urteile fällen können. Ein Algorithmus verwendet standardmäßige statistische und maschinelle Lernverfahren, um die Internetnutzung einer Person zu überwachen und individuelle Schwellenwerte für den Datenverkehr zu erstellen. Ein zweiter Algorithmus misst, wie sich die Internetnutzung der Menschen im Tagesverlauf verändert. Taft hat herausgefunden, dass sich die Gewohnheiten der Menschen deutlich unterscheiden, wenn sie sich mit Firmen-Laptops in andere Netzwerke als die des Unternehmens einloggen. Neunzig Prozent der Menschen verhalten sich bei der Arbeit ganz anders als zu Hause, sagt sie. Die Verknüpfung verschiedener Schwellenwerte für den Datenverkehr mit verschiedenen Standortprofilen könnte die Fähigkeit der Sicherheitssoftware verbessern, kompromittierte Maschinen zu erkennen.
Ich denke, die grundlegende Erkenntnis ist, dass Sie den Angreifern die Arbeit erheblich erschweren können, wenn Sie das Benutzerverhalten wirklich genau erfassen können, sagt Taft. Um eine Maschine, die eine Reihe von verschiedenen Nutzungsprofilen unterhält, erfolgreich zu infizieren, müsste ein böswilliger Hacker wissen, wann jedes einzelne angewendet wurde und wie hoch der Schwellenwert für den Datenverkehr war. Sie begrenzen die Möglichkeiten, die ihnen für den Erfolg zur Verfügung stehen, sagt Taft.
Ein dritter Satz von Proteus-Algorithmen verwendet dieselben Verhaltensprinzipien, um die Kommunikation zwischen Laptops und anderen Computern im Internet zu untersuchen. Botnets werden von einem zentralen Host koordiniert, mit dem jeder infizierte Computer kommuniziert. Eine Möglichkeit, Botnets zu erkennen, besteht darin, diese Kommunikation abzuhören. Wir haben Algorithmen entwickelt, die regelmäßig nach dieser Call-Home-Aktivität suchen, sagt Taft. Infizierte Maschinen rufen normalerweise in 6-, 12- oder 24-Stunden-Intervallen zu Hause an. Das Team von Taft hat gezeigt, dass die Software durch das Abhören regelmäßiger Anrufe am selben Standort feststellen kann, ob eine Maschine von einem von drei verschiedenen Botnets rekrutiert wurde, darunter Storm, ein allgegenwärtiges Netzwerk, das Hunderttausende und möglicherweise Millionen von Maschinen kontrolliert weltweit.
Taft sagt, dass die Idee, Verhaltensdaten zu verwenden, um Sicherheitssoftware genauer zu machen, nicht neu ist, aber dass ihre Anwendung größtenteils auf Router beschränkt war, die die Netzwerkaktivität überwachen. Proteus ist das erste derartige System, das für Laptops entwickelt wurde.
Taft ist sich noch nicht sicher, wie sich die endgültige Version von Proteus auf die Leistung des Geräts auswirkt, auf dem es läuft. Wenn die Software zunächst nur das Verhalten überwacht, läuft sie ständig im Hintergrund, sagt sie. Danach hat es ein viel geringeres Aktivitätsniveau. Eine Möglichkeit könnte darin bestehen, Proteus fest mit der Schaltung eines Computers zu verdrahten. Intel ist daran interessiert, so viel [Sicherheit] wie möglich in die Hardware zu integrieren, sagt Taft. Es ist eine gute Verwendung von [Verarbeitungs-]Kernen, und wenn sich Dinge in der Hardware befinden, sind sie schwieriger zu manipulieren.
Nick Feamster , Professor für Informatik am Georgia Institute of Technology, sagt, dass der verhaltensbasierte Sicherheitsansatz in der Vergangenheit nicht auf Laptops angewendet wurde, weil es keine automatisierte Möglichkeit gab, personalisierte Regeln zu entwickeln. Aber der verhaltensbasierte Botnet-Schutz eignet sich sehr gut für maschinelles Lernen, sagt er.
Bisher haben die Forscher das System mit 350 Personen getestet und befinden sich mitten in Gesprächen mit der IT-Abteilung von Intel über eine breitere Bereitstellung. Laut Taft wird Proteus am Ende jedoch nicht ausreichen, um alle Computer jederzeit sicher zu halten. Es gibt so viele verschiedene Möglichkeiten, einzubrechen, sagt sie. Man wird viele Sicherheitsüberprüfungen auf einem Computer benötigen.