July 2013 Download this article as a PDFAbstract

Информация о киберугрозах в сетях распространяется медленно по отношению к скорости, на которой эти угрозы распространения. Типичные «угрозы каналы», имеющиеся также распространяют информацию медленно по отношению к скорость распространения атак, и они часто передают ненужная информация о неминуемой угрозы. В результате узлы сети обмена могут упустить возможности для улучшения их позы защиты от неизбежного нападения, поскольку необходимая информация поступает слишком поздно или теряется в нерелевантных шум. Мы представляем, своевременные, соответствующие peer-to-peer обмена информацией угрозы – на основе современных технологий – как решение этих проблем и как полезный дизайн шаблон для оборонительных кибервойна. В нашей установке узлов сети формируют сообщества, которые мы называем анклавы, где каждый узел защищает себя при обмене информацией о неминуемой угрозы со сверстниками, которые имеют аналогичные угрозы воздействия. В этой статье мы представляем наше видение для этого решения. Мы эскиз архитектура типичного узла в такой сети и как она может взаимодействовать с рамки для обмена информацией угрозы; Мы объяснить, почему некоторые оборонительные контрмеры могут работать лучше в наших условиях; Мы обсуждаем текущие средства, которые могут быть использованы в качестве компонентов в нашем видении; и мы опишем возможности для будущих исследований и разработок.

Введение

Нынешние подходы к защите сети ограничены по масштабу и скорости нехваткой квалифицированных человеческих операторов и неспособность этих операторов для обмена информацией и работать на cyberspeeds. Мы считаем, что сети обороны может быть расширена и повышена за счет своевременного обмена соответствующей информацией об общих угрозах, которые, как ожидается, разумно повлиять на хост в ближайшем будущем. Целью является важной информации о соответствующих угрозах для совместного использования достаточно быстро, что информация является полезной для получателя в подготовке своевременной защиты, которая адаптируется к современным условиям угрозы. К сожалению в нынешней практике такой своевременный и актуальный обмен не происходит обычно.

Нынешние подходы к обмену информацией угрозы воспользоваться всей Интернет угроз каналы, которые являются коммерчески доступными. Такие каналы обычно распространяют информацию угрозы с задержкой порядка минут до часов, хотя Microsoft Cyber угрозы разведки программы под Windows Azure обещает обновления так часто, как каждые 30 секунд. В отличие от нападения сообщается, могут перейти от одного хозяина к другому в миллисекундах. Кроме того коммерческие угрозы каналы доклад по широкому кругу угроз, требующих потребителей фильтрации и приоритезации угрозы информации, прежде чем действовать на нем. Таким образом быстрое, автономное улучшение в оборонительной позе против непосредственных угроз в настоящее время предотвратить задержки в наличии угрозы информации и задержек из-за фильтрации и определения приоритетности этой информации.

В этой статье мы сформулировать новый дизайн шаблон для оборонительных кибервойна: анклавы сотрудничающих хостов, использующих автономные, своевременные, равный равному обмена и использования соответствующей угрозы информации для решения этих (и других) проблемы защиты сети. Мы начнем с обзор нашего подхода и его преимущества и с описанием существующих технологий, которые предполагают, что наш подход является жизнеспособным. И наконец мы призываем сети оборонных исследований и разработок для совершенствования и реализации этого видения на практике.

Предлагаемый подход

Анклавы могут быть маленькими или большими и как внутри - и межорганизационных. Отдельные вложенные сетки могут образовывать анклавов, а также корпорации с аналогичными профилями угроз. Ключевые аспекты этих анклавов являются, что они выбирают в и peer-to-peer. Таким образом узлы могут динамически изменять их enclave членства (и, таким образом, информации об угрозе, которую они получают) чтобы получить лучшие данные возможно. Потому что анклавы организациями сверстников, не Центральной расчетной палаты служит единственной точкой отказа анклава. После общей угрозы информации одноранговых узлов можно использовать для улучшения их оборонительные позиции. В краткосрочной перспективе оборонительный ответ может включать применение простых правил. Например если обнаружена угроза против конкретной части программного обеспечения, экземпляры этого программного обеспечения может быть переведен в автономный режим, или более интенсивной защиты могут быть развернуты вокруг него. В долгосрочной перспективе оборонительных ответов может попытаться определить намерения противников или принять более тонкой. Для работы в анклаве, хозяева должны иметь возможность обнаруживать угрозы, связь этих угроз, подлинность данных угроз, полученных от коллег и сделать использование этой проверкой подлинности информации. В этом разделе мы описываем наш подход к обмену информацией угрозе в анклавах, и как она достигает этих целей.

Условная архитектура однорангового узла агента в анклаве показан на рисунке 1. Основной агент однорангового узла является механизм вывода показан в центре. Этот двигатель получает угрозу информацию от локальной сети и узла обнаружения вторжений систем (HIDS и НДИ, показан слева на рисунке). Угрозы информация может также предоставляться путем дополнительных систем сбора информации, таких как плевел контроллер, на дне, который создает виртуальные машины на локальной сети, чтобы запутать нападавших и собирать информацию о своих атак. Мы объяснить больше о плевел сети в разделе о контрмерах. Механизм вывода использует эту информацию для управления местных принимающих контрмеры, такие как ограничения учетной записи или резервного копирования файлов, сетевой адаптер контрмеры, такие как Светонепроницаемое подпись узла локальной сети, а также других механизмов, таких, как сети половы поколения. В рамках своей работы механизм вывода дезинфицирует локально собранной угрозы данных и передает его агент публикации (часть Pub/Sub адаптер), а также контекстную информацию, которая может помочь сверстников, чтобы сделать чувство угрозы. В свою очередь издатель отправляет эту угрозу информацию коллег в анклаве. Данные подписки угрозы от других сверстников поступает на сетевой адаптер (вверху) и обрабатываются агентом подписки (также в адаптер Pub/Sub), и наконец, данные передаются на механизм вывода для толкования и использования.

Рисунок 1

Рисунок 1. Условная архитектура однорангового узла агента в peer-to-peer обороны анклава.

Наш агент notional peer является автономным; Он работает независимо от человека администраторов и централизованного серверного элемента управления. Мы предлагаем автономии из-за растущего несоответствия между размером современных сетей (и частота нападений) по сравнению с числом подготовленных людей сети аналитиков, доступных для сети обороны (Фунг, 2013). Кроме того типичные угрозы всей сети способны распространяется быстрее, чем люди могут ответить (Мур соавт., 2003). Таким образом автономные оборонительные оперативные элементы, которые могут быть развернуты в больших объемах, которые делают ограниченные решения, и которые реагируют на «cyberspeed», являются важнейшими компонентами в сети обороны.

Центральное место в нашем подходе, своевременный обмен информацией угрозы между узлами. Существует значительное преобладание кибератак, в котором узлы сети или другого ресурса являются обмен объектом же нападения в быстрой последовательности. Этот показатель распространенности может быть результатом частого структурного выбора в текущем Интернет, где вложенные сетки, как правило, содержат узлы с аналогичными операционными системами с аналогичными нагрузками приложений (Чэнь соавт., 2003; Абу Раджаб и др., 2005). Как принятие IPv6 продолжает расширяться, эти проблемы могут получить хуже, поскольку системные администраторы организуют свои машины в логические вложенные сетки, которые являются глобально доступными. Разнообразие современных постоянных угроз (APTs) характеризуют этот шаблон итеративный атаки. Хатчинс и коллеги (2011) отмечают, что, «APT актеров, по своей природе, попытки вторжения после вторжения». Например нарушение известной сети безопасности RSA в 2011 году, который начался с фишинг кампании, ориентированные на две группы сотрудников, впоследствии направлены многие узлы корпоративной сети RSA. Подобное поведение наблюдается в атак, которые затрагивают несколько сетей, которые имеют характеристики интерес для злоумышленника. Например операция «Аврора» атаковали несколько технологий и обороны корпорации в 2009 году, методично использование подсистемы управления конфигурации программного обеспечения на компьютерах по всей сети целевых. Литература показывает, что быстрый обмен информацией о таких угрозах может быть эффективным средством улучшения оборонительные позиции. Например Уивер, Staniford и Пэксон (2004) показывают, что защита от сканирования червей можно улучшить путем быстрой связи угрозы информации среди автономных оборонительных элементов.

Анклавы использовать peer-to-peer парадигмы, вместо того, чтобы подход клиент сервер для совместного использования угрозы информации. В peer-to-peer обмена, мы подразумеваем обмен осуществляется автономно участвующими узлами, тем самым избегая вмешательства человека или использования центрального сетевого ресурса. Наша мотивация для этого выбора, что централизованные ресурсы, такие как развертывание сервера корпоративных приложений являются привлекательными объектами для нападения, и безопасность приложений являются особенно привлекательными целями. Кроме того подход клиент сервер требует добавления явной сборки из ресурсов сервера, а также инвестиции в усилия администрации системы, в то время как peer-to-peer ресурсов масштаба естественно новых коллег, и необходимы ресурсы не центральной системы управления. Кроме того peer-to-peer архитектуры являются более надежными, чем клиент серверной архитектуры из-за отсутствия единых точек отказа (Lua и др., 2005). С другой стороны peer-to-peer системы имеют недостатки присущие безопасности, поскольку каждый узел управляет хост, на котором он выполняется. Таким образом «плохие актеры»-сверстников, предоставление информации неактуальными или отвлекающее угрозы для сверстников в анклаве-может неблагоприятно повлиять на сети peer-to-peer более легко, чем клиент серверные механизмы. Мы признаем, что наше предложение peer-to-peer подход требует ухода в аутентификации и доверяя сверстников, и мы решить эту проблему в следующем разделе.

Наш подход ограничивает своевременный обмен к угрозе информации, которая может быть немедленно отношение к сверстникам, потому что мы ожидаем возможности рассуждения в автономных cyberdefence элементов, быть ограничено. Наша цель заключается, что общая информация должна быть осуществимое без существенной фильтрации, толкования и определения приоритетов. Например если угроза сканирования портов, соответствующая информация, общие среди сверстников, указать порты сканирования, операционной системы и версии напали на хост и приложения, установленные на отсканированных портах на этом узле. Одноранговый узел может использовать эту информацию, например, путем применения простых правил для блокирования зарегистрированных портов для указанного периода времени, если узел работает та же операционная система как.

Технологии для одноранговых агентов

В этом разделе мы сломать нашу предусматриваемый систему на пять конкретных, управляемые компоненты: система обнаружения, язык общения, каналы opt в связи, безопасные механизмы проверки подлинности и доверия и динамические контрмеры. В каждом подразделе описываются существующие технологии, которые могут начать для удовлетворения потребностей этих компонентов.

Обнаружение

Мы ожидаем анклавов для существующих узлов и систем обнаружения вторжений сети, как показано на рисунке 1. Системы обнаружения вторжений (HIDSs) искать внутренние изменения к системе; Примеры включают Tripwire, который отслеживает изменения файлов и OSSEC, который проверяет системные журналы и реестров и ищет руткитов. Более традиционные антивирусные инструменты, такие как Norton Internet Security, также могут быть рассмотрены в категории HIDS. Сетевых систем обнаружения вторжений (NIDSs) например, Snort обнаруживает плохое поведение путем перехвата пакетов на присоединенных сетях. Другие технологии, такие, как межсетевые экраны Май также обнаруживать и сообщать угроз своевременным образом.

Язык общения

Распространение угрозы информации среди сверстников, требует, чтобы отправитель и получатель используют язык. Семантика такого языка могут быть захвачены в одной или нескольких онтологий, в то время как синтаксис может быть захвачен в спецификации языка. Онтология в этом контексте является машина полезная спецификация сущностей, концепций и связей в области дискурса. Orbst, Чейз и Markeloff (2012) описывают развитие онтологии для кибербезопасности в корпорации MITRE как часть усилий под названием структурированной информации угрозы выражения (Barnum, 2013). Гарантированной информационной безопасности разрабатывает онтология для описания вредоносного поведения и cyberenvironments (Тейлор и холл, 2013).

Каналы связи

Канал для передачи информации своевременной, актуальной связи должна быть: децентрализована, чтобы сделать его трудно атаковать и более надежными, чем единой точки отказа; надежный, для доставки информации угрозы; своевременно с тем чтобы одноранговые узлы прореагировать на cyberspeed; и эффективно, чтобы свести к минимуму влияние нормальной бизнес-логики. Публикация подписка промежуточного программного обеспечения, таких как реализации данных службы распределения (DDS), разработаны с такими свойствами в виду и таким образом может быть подходящим выбором для общения между членами анклава. Члены семьи DDS полностью распространяются без необходимости посредничества посредничества между издателями и подписчиками. Надежность и своевременность были продемонстрированы в нескольких реализациях DDS, таких как сообщества OpenSplice и OpenDDS.

Хотя бы один коммуникационный канал находится в развитии специально для транспорта информации связи: услуги обмена TAXII, разрабатывается в сочетании с языком STIX MITRE в. DDS или TAXII являются существующие технологии, которые демонстрируют, как механизмы распределения контента, которые мы представляем и практически осуществимо.

Проверка подлинности

Фундаментальный вопрос в передаче информации угрозы является степень, в какой получатель информации следует доверять, что передается. Установление доверия требует действий по крайней мере двух уровней: Аутентификация передач и доверие в их содержании. Стандарты связи и проверки подлинности для передачи данных в целом хорошо изучены. Мы ожидаем, что типичные протоколы, такие как Secure Sockets Layer (SSL) или аналогичные протоколы, обеспечивающие достижение эффективной передачи и шифрования может быть достаточно. Проверка подлинности сообщений и другие методы могут также применяться для проверки подлинности данных угроз.

Enclave сверстников необходимо защититься от вредоносных или сломанных сверстников, которые могут правильно осуществлять политику передачи данных, но также может передавать информацию противоречит enclave интересам. Эта проблема является предметом текущих исследований в общем случае, но механизмы, основанные на репутации систем кажется, скорее всего, решение проблемы (Резник соавт., 2000). В системе репутации узел отслеживает количество данных репутации от своих сверстников. Как, например узел A может понимать последствия угрозы информации каждого из своих сверстников. Если угроза, сообщает один из сверстников, B, связан другой сверстников или системы контрмер доклад, в котором говорится, что угроза стала реальностью, то A может увеличить свое «мнение» б. Если угроза никогда не материализует и без других сверстников упоминает его, А может уменьшить свое мнение б. После создания репутации данные можно легко и быстро вес угрозы информации представил к узлу. В долгосрочной перспективе такие системы репутации могут также использоваться для удаления одноранговых узлов, которые не предоставляют хорошие, соответствующие данные для узла и найти новых коллег, которые могут предоставить такую информацию.

Контрмеры

Анклавы открывают уникальную возможность для динамической регулировки в оборонительной позе. Своевременный обмен информацией соответствующих угроз позволяет узлам принимать динамические оборонительные меры, а затем вернуться к менее агрессивным оборонительных позы, когда угрозы проходят. В отличие от текущей сети обороны методы полагаются на статические оборонительные позы, которые могут налагать трудности для пользователей и системных администраторов. Например контрмеры, которые автоматически блокируют доступ к сети (частично или полностью), ограничивать привилегии учетной записи, резервного копирования или скрывать конфиденциальные данные или временно отключить порты могут нарушить бизнес-процессы и снизить использование вычислительных ресурсов, если используется последовательно. Однако если для коротких периодов времени вокруг нападения, такие нарушения могут быть минимизированы.

Дополнительные контрмеры могут быть доступны, которые подходят для краткосрочного, динамического развертывания, но может налагать слишком много неудобств для статического развертывания. Недавние исследования в Галуа, Inc мы продемонстрировали использование создание виртуальной машины на лету как метод защиты сети называется CyberChaff. При обнаружении неминуемой угрозы CyberChaff устройство использует значительное количество легких виртуальных машин на сети, конфигурации сети, которые могут быть настроены как конкретных операционных систем, выполнение стандартных наборов услуг. Поступая таким образом, CyberChaff может запутывать структуру сети для того, чтобы запутать нападавших. Кроме того CyberChaff в виртуальных машинах может служить в качестве приманок, сбор информации о шаблонах киберугроз, чтобы обеспечить более полное представление о личности нападавших, цели и шаблоны предпочитаемых атак. Плевел контроллер, показанный на рисунке 1, показано, как CyberChaff вписывается в наш notional анклав одноранговой архитектуры.

Другие недавние исследования в Галуа продемонстрировал сетевой стек называется то же самое, что позволяет узлу ложно отображения конфигурации сканирования внешней сети. Используя то же самое, узел может выполняться другой операционной системы, чем фактически используется узлом. То же самое предназначен для получения злоумышленников тратить время, применяя подвиги, которые меньше шансов на успех, потому что они ориентированы на неправильные операционные системы. Дитто Светонепроницаемое контроллер, показанный на рисунке 1, иллюстрирует, как то же вписывается в наш анклав сверстников.

Существует растущий интерес в использовании маршрутизации программно определяемых сети например, предоставляемый OpenFlow для вторжения ответа. OpenFlow позволяет узлам определения политик, которые классифицировать трафик, как принадлежащие к конкретной сети потоков и таким образом позволяет перенаправлять трафик при обнаружении. Например OpenFlow политики может перенаправить порт сканирования трафика от его предполагаемого назначения honeypot. Фреска рамки (СИН соавт, 2013) является недавно система, которая использует соответствующий подход. Программное обеспечение определенной сети могут быть включены как часть программируемых сетевого адаптера, показанный на рисунке 1.

Заключение

Нынешние подходы к сети обороны полагаться на статической конечной точки оборонительные позиции, принятые отдельными узлами, что отсутствие своевременной и актуальной информации об угрозах, которые они могут вскоре столкнуться; или действия, организованные централизованные системы командования и управления, которые получают угрозы информации и корректировать позы медленно по отношению к нападениям. Наше видение заключается в том, чтобы изменить этот оборонительный пейзаж, позволяя создание анклавов, отзывчивым, осознанного и вооруженных. В этих анклавах каждый узел динамически корректирует свою собственную защиту на cyberspeed, и все узлы обмена информацией о возникающих угрозах со своими сверстниками своевременно. При этом хозяева могут сократить время простоя для пользователей и системных администраторов, поскольку некоторые контрмеры могут быть развернуты динамически в ответ на такую информацию, а не статически, и хозяева получают преимущество доступа к новым контрмерам, специально предназначенные для такого динамического развертывания. Такие анклавы могут быть локализованы к единой сети или может включать узлы из различных сетей, принадлежащих организациям, которые сталкиваются с общей киберугроз. Например как Интернет вещей выходит и домашние сети расти, чтобы быть более привлекательным, домашние сети в физическом районе могут столкнуться с общими угрозами, такие, как диск по сети взлома, и эти сети могут образовывать анклавов в ответ.

В этой статье мы представили notional архитектуру для узлов сети, способные работать в анклавах, которые мы описываем, а также условные средства для этих хостов для своевременной связи данных соответствующих угроз. По большей части ключевые технологии, необходимые для создания первого поколения таких анклавов уже существуют. Однако некоторые ключевые технологии по-прежнему требуют улучшения, и части должны быть объединены в единое целом. В частности, мы отмечаем необходимость в практических, быстрые методы для описания и распространения угрозы информации, а также необходимость разработки передовых решений двигатели способны получать, анализировать и действуя на сетевых угроз.

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
1 голосов были поданы, с средняя оценка 5 звезд

Ключевые слова: кибер контрмеры, кибербезопасности, динамический cyberdefence, enclave computing, сетевая защита, peer-to-peer

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.