Według badania „Barometr Bezpieczeństwa” przeprowadzonego przez KPMG w roku 2020 19% firm w Polsce odnotowało wzrost prób cyberataków, a 64% organizacji zauważyło przynajmniej jeden incydent naruszenia bezpieczeństwa. Raport IOCTA 2020 (Internet Organised Crime Threat Assessment) wskazuje na oprogramowanie ransomware jako główne zagrożenie mogące zakłócić lub sparaliżować działania organizacji i jej partnerów biznesowych.
Na rynku dostępne są różne narzędzia wykrywające złośliwe oprogramowanie, ale większość z nich jest nieskuteczna wobec nieznanych zagrożeń, szczególnie tych wykorzystujących nietypowy protokół komunikacyjny. Między cyberprzestępcami a twórcami metod wykrywania złośliwego oprogramowania trwa nieustający wyścig, który wymaga zastosowania niezwykle zaawansowanych rozwiązań.
Scentralizowany model zarządzania zainfekowanymi urządzeniami został zastąpiony bardzo trudną do wykrycia hybrydową strukturą zarządczą, która wykorzystywana jest między innymi w nowoczesnych botnetach – stanowiących na równi z ransomware jedno z największych zagrożeń w cyberprzestrzeni. Złożony sposób zarządzania przejętymi maszynami utrudnia wykrycie złośliwego ruchu sieciowego, a tym samym uniemożliwia skuteczną ochronę sieci teleinformatycznych.
Co to jest BotTROP?
BotTROP to innowacyjne narzędzie stworzone w Wojskowej Akademii Technicznej, które dzięki wykorzystaniu algorytmów sztucznej inteligencji zwiększa bezpieczeństwo sieci teleinformatycznych, a tym samym danych użytkowników, którzy do niej należą. Identyfikuje nie tylko znane zagrożenia, lecz także te dotychczas nierozpoznane. Na potrzeby jednego z eksperymentów testujących skuteczność BotTROP dokonano implementacji botnetu zarządzanego z wykorzystaniem serwisu społecznościowego Twitter.
Co wyróżnia BotTROP spośród innych rozwiązań?
- Identyfikuje zagrożenia bez konieczności analizy zawartości pakietów. Weryfikacji podlegają metadane (adres docelowy, adres źródłowy, czas wysłania pakietu), a nie informacje przesyłane przez użytkowników sieci.
- Nie wymaga instalacji dodatkowego oprogramowania na urządzeniach, które mają podlegać ochronie.
- Skuteczny wobec dowolnych protokołów komunikacyjnych, które mogą być wykorzystywane do zarządzania zainfekowanymi urządzeniami.
- Działa również wobec zaszyfrowanego ruchu sieciowego.
Jak działa BotTROP?
Narzędzie wyszukuje znamiona aktywności synchronicznej w ruchu sieciowym na styku sieci lokalnej z Internetem. Aktywność synchroniczna występuje nie tylko w fazie ataku, lecz także w fazie tworzenia złośliwego oprogramowania i zarządzania nim. Ten fakt pozwala wykryć zagrożenie jeszcze przed pierwszym atakiem. Umożliwia to administratorowi działania proaktywne. To znaczna poprawa w porównaniu z dotychczasowymi metodami.
Po zidentyfikowaniu aktywności grupowej BotTROP nie tylko identyfikuje wszystkie zainfekowane urządzenia, lecz także – po integracji z firewallem – pozwala zablokować szkodliwy ruch sieciowy dla każdej z zainfekowanych maszyn bez blokowania ruchu legalnego.
„Warto podkreślić, że BotTROP wykorzystuje autorski algorytm sztucznej inteligencji, który na podstawie nienadzorowanego uczenia maszynowego umożliwia wykrycie nieznanego wcześniej ruchu złośliwego” – mówi dr inż. Hubert Ostap z Wydziału Cybernetyki Wojskowej Akademii Technicznej, twórca rozwiązania.
Gdzie sprawdzi się BotTROP?
BotTROP z powodzeniem może zostać wykorzystany w środowisku produkcyjnym. Wystarczy jedynie udostępnić ruch sieciowy, który następnie będzie cyklicznie analizowany przez zaimplementowany w BotTROP autorski algorytm sztucznej inteligencji.
Dzięki wdrożonej wizualizacji zagrożeń zidentyfikowanych przez BotTROP administrator ma także możliwość prowadzenia ciągłej obserwacji ruchu sieciowego pod kątem złośliwej aktywności. Szybka identyfikacja nie tylko jest kluczowa dla rozpoznania złośliwego oprogramowania i ustrzeżenia się przed efektami jego działania – np. ekstrakcją wrażliwych informacji czy szyfrowaniem danych, lecz także pozwala zablokować możliwość zarządzania z zewnątrz zainfekowanymi urządzeniami i całkowicie usunąć zagrożenie z sieci.
Narzędzie jest stale rozwijane. Obecnie prowadzone są testy, w ramach których BotTROP integrowany jest z takimi rozwiązaniami jak Elasticsearch czy Arkime. Arkime gromadzi ruch sieciowy i przesyła go Elasticsearch. Kolejnym etapem jest działanie rozwiązania BotTROP, który poddaje ruch sieciowy analizie w poszukiwaniu ruchu synchronicznego.
Narzędzie BotTROP będzie można poznać na stoisku WAT podczas Międzynarodowego Salonu Przemysłu Obronnego odbywającego się w dniach 6 – 9.09.2022 r. w Kielcach.
Dominika Naruszko
fot. canva.com
W przypadku zainteresowania rozwiązaniem zapraszamy również do kontaktu bezpośredniego:
dr inż. Bogusława Gradzik
broker technologii
Wojskowa Akademia Techniczna
tel. 261 839 088
boguslawa.gradzik@wat.edu.pl