Nowe metody analizy ruchu w sieci sposobem na cyberataki

OpenDNS, firma przejęta przez Cisco w sierpniu 2015 r., zaprezentowała nową technologię analizy ruchu w sieci, ktora ma pozwalić na skuteczniejszą walkę z cyberzagrożeniami .

OpenDNS opracowała dwa nowe modele detekcji zagrożeń

Pierwszy model to SPRank (Spike Rank), który w systemie zabezpieczania sieci działa podobnie jak sonar służący do detekcji specyficznych dźwięków — umożliwia wyizolowanie z tła sygnałów świadczących o wrogim ataku.

Analizując zmiany we wzorcach ruchu sieciowego wywoływane przez inicjację ataków, naukowcy z OpenDNS odkryli, że są one bardzo podobne do wzorców, którymi zajmują się takie firmy jak Pandora i Shazam w badaniach odtwarzania dźwięku mających na celu ulepszenie systemów odsłuchu muzyki. Wówczas postanowili do analizy ruchu sieciowego zastosować techniki podobne do wykorzystywanych przez systemy internetowych stacji radiowych lub aplikacje do wyszukiwania muzyki w internecie.

W ten sposób powstał SPRank — mechanizm automatycznej analizy „dźwięków sieci”, który jest w stanie szybko wykrywać wzorce szkodliwego ruchu efektywnie analizując ponad pół terabajta danych, czyli tyle ile jest przetwarzane przez OpenDNS na godzinę.

Jak twierdzi OpenDNS ten model analizy okazał się wyjątkowo dokładny i skuteczny w wykrywaniu cyberataków. W każdej godzinie identyfikuje kilkaset nowych zarażonych przez szkodliwe oprogramowanie domen, z których ponad jedna trzecia nie została wcześniej wykryta przez żaden ze znanych skanerów antywirusowych lub innych systemów zabezpieczania sieci.

Drugi model to Predictive IP Space Monitoring, który umożliwia wykrycie ataków zanim zostaną uruchomione. Wykorzystuje on informacje o zainfekowanych domenach dostarczone przez SPRank jako punkt wyjścia do dalszej analizy opartej na ośmiu głównych wzorcach zachowań cyberprzestępców, budujących infrastrukturę wykorzystywaną później do szkodliwej aktywności. Wzorce te dotyczą na przykład sposobu w jaki pojawiają się w sieci i hostują złośliwą zawartość serwery służące do wrogich działań. Analiza tych informacji pozwala na określenie, które zainfekowane domeny będą w przyszłości źródłem nowych ataków.

Jak wynika z przeprowadzonych testów, nowa technologia pozwala na efektywne identyfikowanie w ciągu każdej godziny ponad 300 nowych domen, które potencjalnie mogą być w przyszłości źródłem wrogiej aktywności i zablokowanie ich zanim jeszcze zostaną użyte.