Cisco: Atacurile informatice pot fi detectate înainte să se producă

18 decembrie 2015, 10:40 de Bogdan Biszok

Ultima modificare în 18 decembrie 2015, 10:52

OpenDNS, lider de piață în soluții de securitate de tip cloud, parte a Cisco începând cu luna august a acestui an, a identificat două soluții pe care le-a transformat în două modele de analiză pentru detectarea și prevenirea atacurilor informatice, aplicând tehnologia undelor de sunet la traficul de date din rețele.

Primul dintre ele, Spike Rank (SPRank) – acționează ca un sonar, fiind capabil să detecteze „undele de sunet” ale atacurilor informatice. Analizând felul în care pattern-urile de trafic de date ale unei rețele se schimbă atunci când sunt ținta unor atacuri informatice, cercetătorii OpenDNS au descoperit că acestea se aseamănă mult cu undele de sunet pe care programe precum Pandora și Shazam le analizează zi de zi pentru a îmbunătății algoritmul de recunoaștere a pieselor muzicale. Astfel, echipa de cercetare a administrat traficului de rețea tehnici de analiză a datelor similare cu cele folosite de aceste aplicații.

SPRank poate „auzi” cu rapiditate pattern-urile dăunătoare în traficul de date, prin analiza automatizată a undelor de sunet. OpenDNS procesează în fiecare oră un volum de date de peste jumătate de terabyte. Rezultatele cercetărilor arată că acest model poate detecta cu acuratețe pattern-uri de atacuri informatice, identificând sute de domenii compromise pe oră, dintre care o treime ar fi fost imposibil de detectat prin orice altă scanare antivirus sau anti malware.

„Domenii precum Google sau Yahoo! vor avea „unde de sunet” similare, pentru că au un trafic de date constant. În același timp domenii folosite în lansarea atacurilor informatice vor fi active doar o perioadă limitată de timp și deci au pattern-uri mai rapide și mai scurte”, explică Thomas Mathew, cercetător OpenDNS. „Continuând analogia, aceste atacuri seamănă cu niște bip-uri scurte sau țârâituri. Imaginați-vă că un astfel de sunet apare doar pentru o secundă și apoi dispare. SPRank poate identifica aceste sunetele și pattern-uri foarte repede”.

Al doilea model, Predictive IP Space Monitoring, anticipează atacurile înainte ca acestea să aibă loc. Folosind domeniile compromise indentificate de SPRank ca indicii inițiale, acesta analizează opt moduri prin care infractorii își pun în funcțiune infrastructura tehnologică pentru a determina care domenii ar putea fi țintele unor viitoare atacuri. Modelul nu se concentrează pe tehnicile particulare fiecărui infractor, ci pune accent pe unele caracteristici specifice, neschimbate, și identifică pattern-urile care preced atacurilor informatice. Soluția identifică în fiecare oră peste 300 de domenii noi care ar putea găzdui atacuri de tip malware și le blochează înainte ca acestea să fie folosite în atacuri informatice.