CINDER: przeciw zagrożenim wewnętrznym

Agencja DARPA uruchomiła projekt CINDER związany z wykrywaniem i reagowaniem na zagrożenia wewnętrzne m.in. w sieciach Departamentu Obrony Stanów Zjednoczonych. Ma on umożliwić szybkie wykrywanie kradzieży informacji wojskowych czy rządowych przez osoby dopuszczone do tajemnic służbowych.

Sfrustrowane osoby, dopuszczane do tajemnic służbowych i pracujące w centralach organizacji, są głównym źródłem przestępstw komputerowych. Żeby uzyskać nieograniczony dostęp do systemu w celu jego uszkodzenia lub wyprowadzenia tajnych danych, nie muszą mieć dużej praktyki hakerskiej - ich wiedza o systemie w zupełności do tego wystarczy.

Agencja DARPA (Defense Advanced Research Projects Agency) zakłada, że pierwszym krokiem do stworzenia systemu radzącego sobie z takimi wyzwaniami, jest utworzenie skalowalnej, rozproszonej infrastruktury do bezpiecznego zbierania, przechowywania, udostępniania, przetwarzania i korelowania istotnych danych, pochodzących z heterogenicznych źródeł, w wydłużonym okresie czasu. Kolejnym krokiem jest wykrywanie i ocenianie, czy osoba lub grupa osób wykazują anormalne zachowania w sieci, w tym także złośliwe.

W ramach programu Cyber Insider Threat (CINDER), DARPA ma poszukiwać nowego podejścia, pozwalającego na znacznie szybsze i dokładniejsze wykrywanie zagrożeń stwarzanych przez osoby dopuszczone do tajemnic służbowych. Agencja sformułowała już pewne propozycje identyfikowania nieprzyjaznych działań wewnętrznych, poprzez monitorowanie specyficznych użytkowników i zachowań w sieci.

CINDER zakłada, że większość systemów i sieci jest już penetrowanych przez różnego rodzaju napastników. Są oni często zaangażowani w coś, co ma cechy legalnych działań, podczas gdy rzeczywistym celem jest wroga misja. Tak więc program ten nie skupia się na zapobieganiu włamaniom do systemów, ale poszukiwaniu wrogich misji w różnych punktach ich cyklu życia, z maksymalnie wysoką dyskrecją i unikaniem fałszywych alarmów.

W pierwszym etapie projektu, agencja nie stawia sobie za cel zaprojektowanie nowych sposobów wykrywania indywidualnych osób prowadzących złośliwe działania, ale ma zamiar skupić się na rozpoznaniu objawów i działań w sieci, które organizacje powinny monitorować i analizować, w celu precyzyjnego wykrywania działań złośliwych.

Według DARPA, takie analizy są w bardzo dużym stopniu zależne od kontekstu, w jakim działa dana osoba lub grupa osób, i uwikłanych w to danych. Z tym wyzwaniem wiąże się wykrywanie zwodniczych zachowań. Są one charakterystyczne dla złośliwych intencji, co prowadzi do problemu przypisywania rzeczywistych intencji do obserwowanych zachowań. Nowy system może wykorzystywać do tego techniki śledcze, które mogą być używane do wynajdywania wskazówek, zbierania i oceniania dowodów oraz łączenia ich w sposób dedukcyjny. Wiele ataków jest kombinacją zdarzeń bezpośrednio obserwowalnych i pozwalających na wyciąganie wniosków.

DARPA zamierza pracować nad technikami pozwalającymi na uzyskiwanie informacji o powiązaniach między różnymi działaniami, prawdopodobnymi intencjami takich działań i sugerowanie, co mogą oznaczać powiązania takich działań, oraz dynamicznie przewidywanie zachowań zależnych od kontekstu - zarówno złośliwych, jak i niezłośliwych. W kręgu zainteresowania agencji są także algorytmy (on-line i off-line) wykrywania różnych mechanizmów w miliardach węzłów sieci, jak również silniki hybrydowe, w których następuje wymiana informacji między warstwami dedukcji i wykrywania cech.

Nie po raz pierwszy DARPA zajmuje się "ciemną stronę" sieci komputerowych. Z początkiem br. agencja zapowiedziała Cyber Genome Program, który ma przynieść technologie wspomagające organa śledcze w gromadzeniu, analizowaniu i identyfikowaniu wszystkich artefaktów cyfrowych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200