Руководители IT-департаментов должны перестать фокусироваться на системах
обнаружения и предотвращения вторжений, сосредоточившись вместо этого на тех
компьютерах сети, которые уже скомпрометированы киберпреступниками. Именно такой
совет дал профессор Нью-Йоркского университета, предложивший инновационный
подход к обнаружению зараженных машин во внутренних сетях.

Назир Мемон, профессор Политехнического института при Нью-Йоркском
университете, разработал

сетевую систему обнаружения инфицированных компьютеров
в больших сетях. В
ходе своего выступления на конференции Cyber Infrastructure Protection
Conference он подчеркнул, что при создании системы команда разработчиков
исходила из того, что зараженные компьютеры уже находятся внутри сети.

Система под названием INFER спроектирована для того, чтобы
обнаруживать целенаправленные скрытые атаки, которые иностранные государства или
киберпреступники предпринимают против корпоративных или правительственных сетей.
Такие медленно развивающиеся атаки трудно обнаружить средствами традиционных
антивирусов, файерволов и систем предотвращения вторжений, поскольку они
сконцентрированы на противодействии известным вредоносным приложениям,
пытающимся попасть во внутреннюю сеть.

Система INFER, напротив, концентрируется на тех опасных программах, которые
уже попали в сеть, и использует средства обнаружения, расположенные за роутерами
и свитчами для пассивного мониторинга трафика и обобщения полученных
результатов. INFER имеет встроенный механизм обработки данных, позволяющий
анализировать информацию и искать зараженные машины. Консоль INFER позволяет
высвечивать Top 10 хостов, которые кажутся инфицированными с наибольшей степенью
вероятности.

INFER не ищет известные приложения или способы атаки, не использует сигнатуры
и шаблоны поведения – она обнаруживает компьютеры, демонстрирующие признаки того
что они заражены, причем не важно, чем именно. Среди таких признаков –
замедление работы, частые перезагрузки, переподключения DNS, а также
использование хоста в качестве ретранслятора или прокси.

Политехнический институт использовал INFER на протяжении двух лет для
отслеживания поведения трех тысяч компьютеров внутренней сети. По словам Мемона,
ботнеты выявлялись каждый день, после чего исследователи уведомляли IT-персонал
об их наличии. Профессор и его студенты создали компанию Vivic, целью которой
является коммерциализация разработки. Первым платным клиентом стала
Исследовательская лаборатория армии США, которая планирует применять INFER для
своей программы мониторинга сети под названием Interrogator.

Оставить мнение