Как обнаружить постороннее внедрение в компьютерную систему, если злоумышленник использовал oday-уязвимость? В условиях малой эффективности антивирусов, системы безопасности используют разные аналитические методы. Теперь в арсенале подобных спецсредств появился ещё один — отслеживание аномалий в энергопотреблении. Основатели компании Power Fingerprinting считают, что технику «энерго-фингерпринтинга» (PFP) можно использовать для обнаружения постороннего вторжения.
Преимуществом технологии является её универсальность. Теоретически, она работает на любой аппаратной и программной платформе, независимо от ОС, типа устройства и т.д. Но самое главное, что таким способом можно выявлять 0day-атаки, которые невозможно обнаружить на более высоком уровне анализа. Можно обнаружить троянов в прошивке аппаратного обеспечения, руткиты и другие аномалии.
На иллюстрации внизу чёрным цветом отмечен график энергопотребления системы, который взят за образец. Красным цветом — график реального энергопотребления. Если в определённый момент времени реальный график отклоняется от образцовых значений, это сигнал об опасности: ресурсы вычислительной системы начали использоваться иначе, что говорит о появлении некоего нового системного процесса.
Способ весьма многообещающий. Аномалии на таком низком уровне злоумышленник не сумеет замаскировать. Подобный механизм подходит, например, для мобильных устройств или SCADA-контроллеров, где можно установить устойчивые шаблоны в энергопотреблении. Для персональных компьютеров такой способ вряд ли приемлем.
Более наглядно техника PFP показана в демонстрационном видеоролике, на примере атаки с эскалацией привилегий на устройстве под ОС Android.
Компания Power Fingerprinting сейчас осуществляет полевые испытания разработанной системы обнаружения вторжений на ряде объектов SCADA. Коммерческая версия продукта должна выйти в конце 2013 года.
