نسخه چاپی

تجاری‌سازی ۸ فناوری امنیتی آمریكا

وزارت امنیت داخلی آمریكا (DHS) ۸ فناوری امنیتی سایبری را منتشر كرد و با كمك‌های مالی فدرال به شركت‌ها و كسب‌وكارهای كوچكی ایجادشده‌اند.

به گزارش نما به نقل از سایبربان؛ DHS در چهارمین راهنمای انتقال بخش سایبری امنیتی به فناوری، ۸ فناوری را عرضه کرد که شامل ابزارهای بررسی بدافزار گرفته تا زیرساخت‌های بررسی رفتار و نرم‌افزار تصادفی سازی که از برنامه‌های ویندوز محافظت می‌کنند، می‌باشند. انتقال DHS به برنامه اجرایی، جستجوی امنیتی سایبری‌ای را تعیین کرد که برای بررسی آزمایشی یا برای تبدیل‌شدن به محصولات تجاری آماده هستند.

در چهار سال برنامه‌ریزی، ۴ مورد از ۲۴ فناوری توسط نهادهای تجاری لیسانس گرفته‌اند و یک مورد هم متن‌باز بوده است.

برنامه TTP سعی می‌کند که از تحقیقات سایبری طبقه‌بندی نشده استفاده عملی کند. این گزارش می‌گوید: «دولت فدرال هرساله بیش از ۱ میلیارد دلار هزینه تحقیقات امنیتی سایبری طبقه‌بندی نشده می‌کند اما فقط تعداد اندکی از این تحقیقات به بازارها راه می‌یابند».

در اینجا توصیفی از این ۸ فناوری جدید در گزارش امسال آورده شده است:

REnigma
این نرم‌افزار، بدافزار را در ماشینی مجازی راه‌اندازی می‌کند و آنچه انجام می‌دهد را ثبت می‌کند؛ بنابراین می‌توان آن را دوباره اجرا کرد و جزئیات را مشاهده کرد. ایده‌ی ساخت این نرم‌افزار برای انی وبده است که به محققان فرصتی بدهد تا بتوانند بدافزار را سر فرصت بررسی کنند، بنابراین می‌توانند بفهمند که بدافزار چگونه کار می‌کند.
این نرم‌افزار محققان را از مهندسی معکوس دستی نجات می‌دهد.

کلید پیشرفت این فناوری ماشین مجازی آزمایشگاه فیزیک کاربردی دانشگاه جان هاپکینز بوده است. محققان با این نرم‌افزار می‌توانند ابزارها را روی بدافزار در حال اجرا بررسی کنند و فناوری ضد بررسی بدافزار نیز برای شناسایی آن غیرفعال است. این گزارش می‌گوید برای مثال اگر خروجی‌های یک کد مخرب اطلاعات روی شبکه را رمزگذاری کند، تحلیل‌گر می‌تواند از REnigma برای ردیابی اطلاعات در حافظه استفاده کند یا کلید رمزگذاری را بازیابی کند.

SOCRATES
این زیرساخت نرم‌افزاری، به‌طور خودکار الگوها را در مجموعه اطلاعات جستجو می‌کند و می‌تواند تهدید‌های سایبری را نشان دهد. این نرم‌افزار سعی می‌کند قابلیت‌های علوم کامپیوتر و تجزیه و بررسی را باهم به کار بگیرد که انسان‌ها اغلب از آن بی‌بهره‌اند.

این زیرساخت می‌تواند اطلاعات را تجزیه کند؛ با جستجوی الگوهایی که ممکن است نتایج آینده را نشان دهند. از Socrates برای مثال برای بررسی الگوهای انتقال گروه‌های بزرگ برای شناسایی افرادی که تمایل به همکاری دارند استفاده می‌شود.

PcapDB
این نرم‌افزار یک پایگاه داده‌ای نرم‌افزاری است که توسط اولین ترافیک بسته سازمان‌دهی در جریان، بسته‌هایی را برای بررسی ترافیک شبکه دریافت می‌کند.

این نرم‌افزار عملکردش را همانند عملکرد جعبه سیاه هواپیما شبیه‌سازی می‌کند. محققان گفته‌اند: «Pcap اجازه‌ی ساخت دوباره‌ی انتقالات بدافزارها، بارگیری‌ها، پیام‌های کنترل و فرمان‌دهی را می‌دهد».
این زیرساخت اطلاعات به‌دست‌آمده را بهینه‌سازی می‌کند، بنابراین می‌تواند آن‌ها را با حجم کمتری ذخیره کند و هنگام بررسی آن‌ها سریع‌تر دسترسی ایجاد کند. PcaDB با بیرون ریختن اطلاعات غیرضروری می‌تواند ماه‌ها ترافیک اطلاعات را روی دیسک‌های SCSI سریال شده (SAS) ذخیره کند.

سازنده‌ی این برنامه نوشت: «هنگام بررسی یک حادثه‌ی سایبری، طولانی‌ترین تاریخچه ممکن، کلید بررسی است».

REDUCE
این نرم‌افزار، ابزاری را بررسی می‌کند که روی روابط بین نمونه‌های بدافزاری را نشان می‌دهد و نشانه‌هایی که برای شناسایی تهدیدها استفاده می‌شوند را بهبود می‌بخشد.

این نرم‌افزار، بررسی ثابتی روی نمونه‌های بدافزاری انجام می‌دهد تا بخش‌های مشابه کدی را شناسایی کند که نمونه‌ها را به گروه‌های بدافزاری که قبلاً بررسی‌شده‌اند، وصل می‌کند. این نرم‌افزار کسی که بدافزار جدیدی نوشته باشد و اینکه این بدافزار ممکن است چه ویژگی‌هایی داشته باشد را معرفی می‌کند.

برخلاف ابزارهای تجاری که نمونه‌های بدافزاری را در یک‌زمان مقایسه می‌کند. REDUCE می‌تواند چند نمونه را به‌طور هم‌زمان مقایسه کند؛ و وقتی‌که شباهت‌های الگوهای کد را پیدا کرد، آن‌ها را همراه با اطلاعات آن الگوها به نمایش می‌گذارد.

این ابزار برای استفاده توسط عاملان امنیتی که اطلاعات زیادی راجع به مهندسی معکوس ندارند، طراحی‌شده است.

Dynamic Flow Isolation

DFI شبکه‌های مشخص‌شده نرم‌افزار را تبدیل به اهرمی برای اجرای روش‌های امنیتی در موقعیت اجرایی فعلی یا نیازهای شغلی می‌کند.

این عمل با فعال کردن یا غیرفعال کردن یا محدود کردن ارتباطات بین کاربران شخصی و خدمات شبکه انجام می‌شود که می‌تواند هم به‌صورت دستی و هم به‌صورت خودکار انجام گیرد.

این نرم‌افزار با همراه شدن به دستگاه‌هایی مثل کارگزارهای احراز هویت و سامانه‌های شناسایی رخنه، هشدارهای وضعیت عملکردی شبکه را دریافت می‌کند. همچنین با کنترل‌کننده‌های DSN همراه می‌شود تا در پاسخ به تغییر وضعیت شبکه، ارتباطات شبکه مجاز را تغییر دهد. این نرم‌افزار قرنطینه‌ی دستگاه‌های شخصی یا گرو‌ه‌ها و حملات فعال مسدودکننده را فعال می‌کند.

این نرم‌افزار شامل یک روش اجرای کد مرکزی درون کنترل‌کننده‌های SDN است تا قوانین دسترسی را برای تغییرات شبکه به‌روزرسانی کند. با سخت‌افزار SDN موجود کار می‌کند و در سرتاسر کنترل‌کننده‌های SDN قابل‌حمل است.

TRACER
تصادفی سازی اجراشده طبق زمان‌بندی برای روش‌های قابل‌اجرای مفید در زمان اجرا (TRACER) روشی برای طرح‌بندی درونی و اطلاعات برنامه‌های ویندوز متن بسته مانند ادوبی ریدر، اینترنت اکسپلورر، جاوا و فلش است.
به‌این‌علت که این برنامه‌ها بسته هستند، اطلاعات ثابت و طرح‌بندی درونی دارد، بنابراین مهاجمان می‌توانند حملاتی که بسیار مخرب هستند را صورت دهند.

با تصادفی کردن طرح‌بندی و اطلاعات درونی حساس در هر زمان، از هر برنامه کاربردی یک خروجی به دست می‌آید که مهاجمان نمی‌توانند حملاتی را علیه آن‌ها انجام دهند. حتی اگر اطلاعاتی درباره این طرح‌بندی به بیرون درز پیدا کند، ترتیب و نظم آن در مرتبه بعدی متفاوت خواهد بود.

بدین ترتیب، TRACER می‌تواند حملات علیه این برنامه‌های ویندوز را خنثی کند. این نرم‌افزار روی هر رایانه‌های قابل‌نصب است و با برنامه‌های دیگر نیز تداخلی ندارد. این برنامه حداقل به‌طور میانگین ۱۲ درصد زمان راه‌اندازی را افزایش می‌دهد.

از دیگر طرح‌های تصادفی سازی می‌توان تصادفی سازی طرح‌بندی فضای آدرس، تصادفی سازی کد مبتنی بر کامپایلر و تصادفی سازی یک زمانه‌ی مجموعه دستورالعمل‌ها را برشمرد. مهاجمان می‌توانند منتظر بیرون آمدن اطلاعات از برنامه‌ها باشند تا بتوانند حمله‌ای مؤثر انجام دهند.

FLOWER
تحلیل‌گر جریان شبکه (FLOWER) بسته‌های IP را بررسی می‌کند تا اطلاعاتی در مورد جریان‌های دوطرفه جمع‌آوری کند که می‌توان از آن‌ها برای شناسایی ترافیک خط مبنا و جریان‌های غیرعادی استفاده کرد تا رخنه‌ها و تهدید‌های داخلی شناسایی شوند.

اطلاعات به‌دست‌آمده از طریق ابزارهای کوچک درون شبکه و در اطراف آن می‌تواند به‌عنوان منبعی برای تحقیقات بعدی استفاده شوند.

از سال ۲۰۱۰ تاکنون از FlOWER در بیش از ۱۰۰ شبکه دولتی و شرکتی استفاده‌شده است. این برنامه حملات هماهنگ شده را شناسایی و خنثی می‌کند و برای ایجاد امضاهای حمله استفاده می‌شود.

Silent Alarm (هشدار بی‌صدا)

این زیرساخت رفتارهای شبکه را بررسی می‌کند تا رفتارهای مخرب را شناسایی و حملاتی ازجمله حملات روز صفرم را که هیچ نشانه‌ای ندارند را متوقف کند.

حوادث شبکه موتور جستجوی آن را از حس‌گرهای موجود تغذیه می‌کند. این موتور بخش‌هایی را بررسی می‌کند که وقف انواع خاصی از رفتارهای شبکه شده‌اند مانند تلاش‌های SMP موفق و ناموفق یا ارتباطات اینترنتی ناموفق. بر اساس روشی قدیمی، هر حادثه جدید به‌عنوان عادی یا غیرعادی نام‌گذاری می‌شود.

این نامگذای‌ها به گره‌های فرضی می‌رسند که نتیجه می‌گیرند آیا رفتار مشاهده شده فعالیتی مخرب است یا خیر.

اگر فعالیت مخرب شناخته شد، Silent Alaram برای کاربر هشدار می‌فرستد.

۱۳۹۵/۲/۸

اخبار مرتبط
نظرات کاربران
نام :
پست الکترونیک:
نظر شما:
کد امنیتی:
 

آخرین اخبار...