Według badania „Barometr cyberbezpieczeństwa” przeprowadzonego przez KPMG w roku 2022 aż 33% firm odnotowało wzrost intensywności prób naruszeń bezpieczeństwa – to najwyższy wynik od pięciu lat. 58% organizacji zauważyło przynajmniej jeden incydent naruszenia bezpieczeństwa. Jednym z zagrożeń jest oprogramowanie ransomware, które może zakłócić lub sparaliżować działanie organizacji i jej partnerów biznesowych.
Na rynku dostępne są różne narzędzia wykrywające złośliwe oprogramowanie, ale większość z nich jest nieskuteczna wobec nieznanych zagrożeń, szczególnie tych wykorzystujących nietypowy protokół komunikacyjny. Między cyberprzestępcami a twórcami metod wykrywania złośliwego oprogramowania trwa nieustający wyścig, który wymaga zastosowania niezwykle zaawansowanych rozwiązań.
Scentralizowany model zarządzania zainfekowanymi urządzeniami został zastąpiony bardzo trudną do wykrycia hybrydową strukturą zarządczą, która wykorzystywana jest między innymi w nowoczesnych botnetach – stanowiących na równi z ransomware jedno z największych zagrożeń w cyberprzestrzeni. Złożony sposób zarządzania przejętymi maszynami utrudnia wykrycie złośliwego ruchu sieciowego, a tym samym uniemożliwia skuteczną ochronę sieci teleinformatycznych.
Co to jest BotTROP?
BotTROP to innowacyjne narzędzie stworzone w Wojskowej Akademii Technicznej, które dzięki wykorzystaniu algorytmów sztucznej inteligencji zwiększa bezpieczeństwo sieci teleinformatycznych, a tym samym danych użytkowników, którzy do niej należą. Identyfikuje nie tylko znane zagrożenia, lecz także te dotychczas nierozpoznane. Na potrzeby jednego z eksperymentów testujących skuteczność BotTROP dokonano implementacji botnetu zarządzanego z wykorzystaniem serwisu społecznościowego Twitter.
Co wyróżnia BotTROP spośród innych rozwiązań?
- Identyfikuje zagrożenia bez konieczności analizy zawartości pakietów. Weryfikacji podlegają metadane (adres docelowy, adres źródłowy, czas wysłania pakietu), a nie informacje przesyłane przez użytkowników sieci.
- Nie wymaga instalacji dodatkowego oprogramowania na urządzeniach, które mają podlegać ochronie.
- Skuteczny wobec dowolnych protokołów komunikacyjnych, które mogą być wykorzystywane do zarządzania zainfekowanymi urządzeniami.
- Działa również wobec zaszyfrowanego ruchu sieciowego.
Jak działa BotTROP?
Narzędzie wyszukuje znamiona aktywności synchronicznej w ruchu sieciowym na styku sieci lokalnej z Internetem. Aktywność synchroniczna występuje nie tylko w fazie ataku, lecz także w fazie tworzenia złośliwego oprogramowania i zarządzania nim. Ten fakt pozwala wykryć zagrożenie jeszcze przed pierwszym atakiem. Umożliwia to administratorowi działania proaktywne. To znaczna poprawa w porównaniu z dotychczasowymi metodami.
Po zidentyfikowaniu aktywności grupowej BotTROP nie tylko identyfikuje wszystkie zainfekowane urządzenia, lecz także – po integracji z firewallem – pozwala zablokować szkodliwy ruch sieciowy dla każdej z zainfekowanych maszyn bez blokowania ruchu legalnego.
Gdzie sprawdzi się BotTROP?
BotTROP z powodzeniem może zostać wykorzystany w środowisku produkcyjnym. Wystarczy jedynie udostępnić ruch sieciowy, który następnie będzie cyklicznie analizowany przez zaimplementowany w BotTROP autorski algorytm sztucznej inteligencji.
Dzięki wdrożonej wizualizacji zagrożeń zidentyfikowanych przez BotTROP administrator ma także możliwość prowadzenia ciągłej obserwacji ruchu sieciowego pod kątem złośliwej aktywności. Szybka identyfikacja nie tylko jest kluczowa dla rozpoznania złośliwego oprogramowania i ustrzeżenia się przed efektami jego działania – np. ekstrakcją wrażliwych informacji czy szyfrowaniem danych, lecz także pozwala zablokować możliwość zarządzania z zewnątrz zainfekowanymi urządzeniami i całkowicie usunąć zagrożenie z sieci.
Narzędzie BotTROP będzie można zobaczyć na stoisku WAT podczas Międzynarodowego Salonu Przemysłu Obronnego odbywającego się w dniach 5 – 8.09.2023 r. w Kielcach.
Dominika Naruszko
fot. Rafał Kudyba
grafika: Dominika Naruszko, Sebastian Jurek
W przypadku zainteresowania rozwiązaniem zapraszamy do kontaktu bezpośredniego z Centrum Transferu Technologii WAT:
dr inż. Bogusława Gradzik
broker technologii
Wojskowa Akademia Techniczna
tel. 261 839 088
boguslawa.gradzik@wat.edu.pl