Forskere muliggør retsmedicinsk analyse i realtid med nyt cybersikkerhedsværktøj

I takt med at teknologien fortsætter med at udvikle sig, cybersikkerhedstrusler gør det også. For bedre at sikre digital information, et team af forskere ved det amerikanske energiministeriums (DOE's) Oak Ridge National Laboratory (ORNL) har udviklet Akatosh, et sikkerhedsanalyseværktøj, der fungerer sammen med standardsoftware til at opdage væsentlige uregelmæssigheder i computernetværk.

"Akatosh er et system, der giver en dybere kontekst til eksisterende it-infrastruktur designet til at løse sikkerhedsproblemer, " sagde Jared Smith, en cybersikkerhedsforsker i ORNL's Computing and Computational Sciences Directorate (CCSD), som udviklede den nye teknologi. "Det giver dig et historisk blik på, hvad der ændrer sig på en computer over tid."

Denne nye ressource koordinerer med intrusion detection-systemer (IDS), som overvåger computernetværk for private virksomheder, offentlige faciliteter, og akademiske institutioner og udløse alarmer som reaktion på unormal aktivitet. IDS'er har tendens til at udløse falske alarmer, tvinger cybersikkerhedsanalytikere og it-professionelle til manuelt at søge på netværket for ændringer.

"Enhver organisation med mange mennesker, der bruger computere, vil få tusindvis af advarsler om dagen, og nogen skal gennemsøge dem, Smith sagde. "De typiske tilgængelige værktøjer giver en masse data, som analytikere er nødt til at se på for at afgøre, om systemet rent faktisk er blevet brudt."

Akatosh sparer kostbar tid og ressourcer, der tidligere har været brugt af denne kedelige proces, ved med jævne mellemrum at tage snapshots af værtssystemer på netværket under daglige operationer og etablere en baseline, derefter tage endnu et øjebliksbillede, hver gang der opstår en IDS-alarm. Ved at sammenligne disse snapshots, Akatosh kan med det samme vise ændringer, der skete før og under en cyberbegivenhed. Automatisering af processen med at sortere gennem IDS-alarmer reducerer den tid og omkostninger, der kræves for at identificere kilden til en sikkerhedshændelse og neutralisere truslen.

"På et teknisk niveau, vi kan se, om adgangskoder udtrækkes, om filer bliver kopieret, og vi ved, hvordan disse ting potentielt er truende, fordi de ikke skete, før vi fik en alarm, " sagde Smith. "Det er her, vi er i stand til at give kontekst."

Systemet opsummerer relevante ændringer og sender en rapport til netværksadministratoren for hurtigt at afgøre, om ændringerne indikerer tilstedeværelsen af ​​en legitim sikkerhedstrussel. Evnen til nøjagtigt at bestemme gyldigheden af ​​IDS-advarsler i realtid betyder, at analytikere kan begynde at afbøde de negative virkninger af malware-angreb, phishing-e-mails, og andre cybersikkerhedsproblemer, så snart de dukker op.

"Akatosh løser et så udbredt effektivitetsproblem ved at håndtere hændelser på et netværk meget hurtigere, hvilket giver os mulighed for at fordele vores tid bedre. Det giver en mere målrettet måde at luge uvigtige data ud og afsløre områder, der giver anledning til bekymring, sagde Smith, som har arbejdet på Akatosh, siden han første gang ankom til ORNL som praktikant i 2015.

Efter at være blevet ansat i Cyber ​​and Information Security Research Group (CISR) i CCSD's Computational Sciences and Engineering Division i 2017, han har fungeret som hovedefterforsker for projektet i samarbejde med et team af softwareingeniører og praktikanter. Deres arbejde på Akatosh understøtter CISRs mission om at forsvare sig mod cyberangreb og opretholde sikkerheden for information og infrastruktur i hele landet.

For at demonstrere Akatoshs dynamiske evner, holdet rejste for nylig til San Francisco for RSA, den største sikkerhedskonference i landet. De deltog også i US Department of Homeland Security (DHS) topmøder i New York og Washington, DC.

"Det har været meget sjovt at rejse og demonstrere Akatosh for folk, " sagde Smith. "Vi bruger faktisk rigtig malware og viser hvordan, når det spreder sig over maskinen, vi kan se, hvordan det ændrer sig og lokalisere problemet."