Одними из главных проблем кибербезопасности в настоящее время являются широкий набор методов и программ, с помощью которых осуществляются кибератаки, и достаточно продолжительное время, проходящее с момента начала атаки до принятия соответствующих действий и контрмер. Именно это время, требующееся на определение типа атаки и выработки стратегии защиты, дает злоумышленникам шанс парализовать работу серверных системы и, в более тяжелых случаях, вывести их из строя на некоторое время, что чревато нарушением работы важных информационных систем и вебсайтов, что, в свою очередь, приводит к финансовым потерям и лишению пользователей возможности пользоваться рядом ключевых услуг. Новая система кибербезопасности, разработанная в Массачуссетском технологическом институте, как раз и будет стремиться удержать сервера и выполняющиеся на них программы в работоспособном состоянии, даже во время проведения интенсивного кибернападения на эти системы.
Эта новая интеллектуальная система наблюдает "со стороны" за выполнением программ в обычных условиях, ведь все программы всегда действуют согласно заложенным в них алгоритмам. Собранная информация о типовом поведении программ сохраняется в базе и служит для определения момента начала атаки. К примеру, если программа сохраняет в обычном режиме данные в двух местоположениях, X и Y, к примеру, то попытка сохранения данных в другом местоположении может быть расценена системой как начало атаки. В этом случае система безопасности строго ограничит доступ подозрительной программе, позволяя ей сохранять данные только в местоположениях X и Y. Таким образом, система безопасности будет стремиться принудительно удержать вышедшую из под контроля программу в рамках ее обычного поведения. Как показала практика, в большинстве случаев такой метод срабатывает, позволяя ограничить вредоносные действия, сохранив при этом работоспособность программы.
Но, при реализации такой тактики киберсражения, удар/контрудар, естественно могут возникнуть и "жертвы" этого сражения. К примеру, когда программа уже ограничена возможностью записи данных только в вышеупомянутые местоположения X и Y, существует вероятность того, что в эти местоположения будет записана чужеродная информация, что, в свою очередь, может привести к краху программы и системы в целом. Но, так как новая система безопасности является интеллектуальной и самообучаемой, то в течение некоторого, иногда весьма непродолжительного времени, она в состоянии выработать наиболее безопасную для каждой конкретной системы стратегию защиты и набор контрмер, направленных на сохранение работоспособности системы в целом.
Эта система, разрабатываемая специалистами Массачуссетского технологического института под финансированием Управления перспективных исследовательских программ Пентагона DARPA, уже два раза подвергалась тщательной проверке, для чего привлекались сторонние компании, работающие в области кибербезопасности, которые осуществляли реальные атаки на защищаемые компьютерные системы. В первый раз системе безопасности удалось сдержать атаку и поддержать полную работоспособность программ и серверов. Во время второго испытания системе удалось удержать работоспособными девять из десяти выполнявшихся на продолжении всей атаки программ, но и эти показатели вполне удовлетворяют требованиям, предъявляемым к системе со стороны DARPA.
Источник: dailytechinfo
|