211service.com
Defender las computadoras portátiles de los ataques de zombis
Los investigadores de Intel han desarrollado un software de seguridad para portátiles que se ajusta a la forma en que una persona usa Internet, proporcionando un enfoque más dinámico y personalizado para detectar actividades maliciosas. El software está dirigido a corporaciones que distribuyen computadoras portátiles y dispositivos móviles a los empleados, ya que los departamentos de TI generalmente instalan el mismo software de seguridad único para todos en todo su hardware. El enfoque de seguridad homogéneo es rápido y fácil, dice Nina Taft , investigador en Intel Research Berkeley , pero debido a que el software estándar no tiene en cuenta los patrones de uso de la computadora de diferentes personas, puede producir falsos positivos y perder por completo algunos ataques.
Una de las razones por las que las violaciones de seguridad son tan frecuentes es que la mayoría de nuestras máquinas tienen el mismo aspecto, dice Taft. Tienen los mismos sistemas operativos, las mismas aplicaciones, los mismos protocolos y los mismos umbrales de tráfico de Internet en la configuración de seguridad, dice. Cuando un pirata informático irrumpe en una máquina, puede ingresar a todas ... Estamos tratando de inyectar diversidad en las computadoras.
El tipo de software de seguridad implementado por la mayoría de los departamentos de TI tiene un componente que analiza el tráfico de Internet que entra y sale de una computadora. Cuando el tráfico excede un umbral preestablecido, el software sugiere que la computadora está infectada. Por ejemplo, podría haber sido reclutado como parte de una red de bots, en la que está controlado de forma remota por una computadora malintencionada que le indica que se comunique con otras máquinas infectadas. (Se envía mucho spam desde botnets). Algunas personas, sin embargo, envían habitualmente grandes cantidades de información, lo que puede activar la alarma de seguridad, mientras que otras que se mantienen muy por debajo del umbral pueden albergar sin saberlo actividades maliciosas.
Como parte de un proyecto llamado Proteus, los investigadores de Intel han desarrollado varios algoritmos que pueden hacer juicios más matizados. Un algoritmo utiliza técnicas estándar de aprendizaje automático y estadísticas para monitorear el uso de Internet de una persona y crear umbrales de tráfico individualizados. Un segundo algoritmo mide cómo cambia el uso de Internet por parte de las personas a lo largo del día. Taft ha descubierto que los hábitos de las personas son significativamente diferentes cuando utilizan las computadoras portátiles de la empresa para iniciar sesión en redes distintas a las de la empresa. El noventa por ciento de las personas tienen un comportamiento bastante diferente cuando están en el trabajo que cuando están en casa, dice. La vinculación de diferentes umbrales de tráfico a diferentes perfiles de ubicación podría mejorar la capacidad del software de seguridad para detectar máquinas comprometidas.
Creo que la conclusión básica es que si puedes ser realmente preciso al capturar el comportamiento del usuario, puedes hacer que el trabajo de los atacantes sea mucho más difícil, dice Taft. Para infectar con éxito una máquina que mantenía varios perfiles de uso diferentes, un pirata informático malintencionado necesitaría saber cuándo se aplicaba cada uno y cuál era su umbral de tráfico. Limitas el rango de posibilidades que tienen para tener éxito, dice Taft.
Un tercer conjunto de algoritmos de Proteus utiliza los mismos principios de comportamiento para examinar la comunicación entre computadoras portátiles y otras máquinas en Internet. Las botnets están coordinadas por un host central con el que se comunica cada máquina infectada. Una forma de detectar botnets es escuchar estas comunicaciones. Desarrollamos algoritmos que verifican esta actividad de llamada a casa con cierta regularidad, dice Taft. Las máquinas infectadas suelen llamar a casa a intervalos de 6, 12 o 24 horas. El equipo de Taft ha demostrado que al escuchar llamadas periódicas a la misma ubicación, el software puede determinar si una máquina ha sido reclutada por cualquiera de las tres redes de bots diferentes, incluida Storm, una red generalizada que controla cientos de miles, y posiblemente millones, de máquinas. Mundial.
Taft dice que la idea de usar datos de comportamiento para hacer que el software de seguridad sea más preciso no es nueva, pero que en su mayor parte su aplicación se ha limitado a enrutadores que monitorean la actividad de la red. Proteus es el primer sistema de este tipo diseñado para portátiles.
Taft aún no está seguro de cómo afectará la versión final de Proteus al rendimiento del dispositivo en el que se ejecuta. Inicialmente, cuando el software solo está monitoreando el comportamiento, se ejecutará constantemente en segundo plano, dice. Después de eso, tiene un nivel de actividad mucho menor. Una posibilidad podría ser conectar Proteus a los circuitos de una computadora. Intel está interesado en conseguir tanta [seguridad] en el hardware como sea posible, dice Taft. Es un buen uso de los núcleos [de procesamiento], y cuando las cosas están en hardware, son más difíciles de manipular.
Nick Feamster , profesor de ciencias de la computación en el Instituto de Tecnología de Georgia, dice que el enfoque conductual de la seguridad no se ha aplicado a las computadoras portátiles en el pasado porque no existía una forma automatizada de desarrollar reglas personalizadas. Pero la protección de redes de bots conductuales es muy adecuada para el aprendizaje automático, dice.
Hasta ahora, los investigadores han probado el sistema con 350 personas y están en medio de conversaciones con el departamento de TI de Intel para realizar una implementación más amplia. Sin embargo, al final, Proteus no será suficiente para mantener seguras todas las computadoras todo el tiempo, según Taft. Hay tantas formas diferentes de entrar, dice. Se necesitarán muchos controles de seguridad en una computadora.