به گزارش نما به نقل از سایبربان؛ DHS در چهارمین راهنمای انتقال بخش سایبری امنیتی به فناوری، ۸ فناوری را عرضه کرد که شامل ابزارهای بررسی بدافزار گرفته تا زیرساختهای بررسی رفتار و نرمافزار تصادفی سازی که از برنامههای ویندوز محافظت میکنند، میباشند. انتقال DHS به برنامه اجرایی، جستجوی امنیتی سایبریای را تعیین کرد که برای بررسی آزمایشی یا برای تبدیلشدن به محصولات تجاری آماده هستند.
در چهار سال برنامهریزی، ۴ مورد از ۲۴ فناوری توسط نهادهای تجاری لیسانس گرفتهاند و یک مورد هم متنباز بوده است.
برنامه TTP سعی میکند که از تحقیقات سایبری طبقهبندی نشده استفاده عملی کند. این گزارش میگوید: «دولت فدرال هرساله بیش از ۱ میلیارد دلار هزینه تحقیقات امنیتی سایبری طبقهبندی نشده میکند اما فقط تعداد اندکی از این تحقیقات به بازارها راه مییابند».
در اینجا توصیفی از این ۸ فناوری جدید در گزارش امسال آورده شده است:
REnigma
این نرمافزار، بدافزار را در ماشینی مجازی راهاندازی میکند و آنچه انجام میدهد را ثبت میکند؛ بنابراین میتوان آن را دوباره اجرا کرد و جزئیات را مشاهده کرد. ایدهی ساخت این نرمافزار برای انی وبده است که به محققان فرصتی بدهد تا بتوانند بدافزار را سر فرصت بررسی کنند، بنابراین میتوانند بفهمند که بدافزار چگونه کار میکند.
این نرمافزار محققان را از مهندسی معکوس دستی نجات میدهد.
کلید پیشرفت این فناوری ماشین مجازی آزمایشگاه فیزیک کاربردی دانشگاه جان هاپکینز بوده است. محققان با این نرمافزار میتوانند ابزارها را روی بدافزار در حال اجرا بررسی کنند و فناوری ضد بررسی بدافزار نیز برای شناسایی آن غیرفعال است. این گزارش میگوید برای مثال اگر خروجیهای یک کد مخرب اطلاعات روی شبکه را رمزگذاری کند، تحلیلگر میتواند از REnigma برای ردیابی اطلاعات در حافظه استفاده کند یا کلید رمزگذاری را بازیابی کند.
SOCRATES
این زیرساخت نرمافزاری، بهطور خودکار الگوها را در مجموعه اطلاعات جستجو میکند و میتواند تهدیدهای سایبری را نشان دهد. این نرمافزار سعی میکند قابلیتهای علوم کامپیوتر و تجزیه و بررسی را باهم به کار بگیرد که انسانها اغلب از آن بیبهرهاند.
این زیرساخت میتواند اطلاعات را تجزیه کند؛ با جستجوی الگوهایی که ممکن است نتایج آینده را نشان دهند. از Socrates برای مثال برای بررسی الگوهای انتقال گروههای بزرگ برای شناسایی افرادی که تمایل به همکاری دارند استفاده میشود.
PcapDB
این نرمافزار یک پایگاه دادهای نرمافزاری است که توسط اولین ترافیک بسته سازماندهی در جریان، بستههایی را برای بررسی ترافیک شبکه دریافت میکند.
این نرمافزار عملکردش را همانند عملکرد جعبه سیاه هواپیما شبیهسازی میکند. محققان گفتهاند: «Pcap اجازهی ساخت دوبارهی انتقالات بدافزارها، بارگیریها، پیامهای کنترل و فرماندهی را میدهد».
این زیرساخت اطلاعات بهدستآمده را بهینهسازی میکند، بنابراین میتواند آنها را با حجم کمتری ذخیره کند و هنگام بررسی آنها سریعتر دسترسی ایجاد کند. PcaDB با بیرون ریختن اطلاعات غیرضروری میتواند ماهها ترافیک اطلاعات را روی دیسکهای SCSI سریال شده (SAS) ذخیره کند.
سازندهی این برنامه نوشت: «هنگام بررسی یک حادثهی سایبری، طولانیترین تاریخچه ممکن، کلید بررسی است».
REDUCE
این نرمافزار، ابزاری را بررسی میکند که روی روابط بین نمونههای بدافزاری را نشان میدهد و نشانههایی که برای شناسایی تهدیدها استفاده میشوند را بهبود میبخشد.
این نرمافزار، بررسی ثابتی روی نمونههای بدافزاری انجام میدهد تا بخشهای مشابه کدی را شناسایی کند که نمونهها را به گروههای بدافزاری که قبلاً بررسیشدهاند، وصل میکند. این نرمافزار کسی که بدافزار جدیدی نوشته باشد و اینکه این بدافزار ممکن است چه ویژگیهایی داشته باشد را معرفی میکند.
برخلاف ابزارهای تجاری که نمونههای بدافزاری را در یکزمان مقایسه میکند. REDUCE میتواند چند نمونه را بهطور همزمان مقایسه کند؛ و وقتیکه شباهتهای الگوهای کد را پیدا کرد، آنها را همراه با اطلاعات آن الگوها به نمایش میگذارد.
این ابزار برای استفاده توسط عاملان امنیتی که اطلاعات زیادی راجع به مهندسی معکوس ندارند، طراحیشده است.
Dynamic Flow Isolation
DFI شبکههای مشخصشده نرمافزار را تبدیل به اهرمی برای اجرای روشهای امنیتی در موقعیت اجرایی فعلی یا نیازهای شغلی میکند.
این عمل با فعال کردن یا غیرفعال کردن یا محدود کردن ارتباطات بین کاربران شخصی و خدمات شبکه انجام میشود که میتواند هم بهصورت دستی و هم بهصورت خودکار انجام گیرد.
این نرمافزار با همراه شدن به دستگاههایی مثل کارگزارهای احراز هویت و سامانههای شناسایی رخنه، هشدارهای وضعیت عملکردی شبکه را دریافت میکند. همچنین با کنترلکنندههای DSN همراه میشود تا در پاسخ به تغییر وضعیت شبکه، ارتباطات شبکه مجاز را تغییر دهد. این نرمافزار قرنطینهی دستگاههای شخصی یا گروهها و حملات فعال مسدودکننده را فعال میکند.
این نرمافزار شامل یک روش اجرای کد مرکزی درون کنترلکنندههای SDN است تا قوانین دسترسی را برای تغییرات شبکه بهروزرسانی کند. با سختافزار SDN موجود کار میکند و در سرتاسر کنترلکنندههای SDN قابلحمل است.
TRACER
تصادفی سازی اجراشده طبق زمانبندی برای روشهای قابلاجرای مفید در زمان اجرا (TRACER) روشی برای طرحبندی درونی و اطلاعات برنامههای ویندوز متن بسته مانند ادوبی ریدر، اینترنت اکسپلورر، جاوا و فلش است.
بهاینعلت که این برنامهها بسته هستند، اطلاعات ثابت و طرحبندی درونی دارد، بنابراین مهاجمان میتوانند حملاتی که بسیار مخرب هستند را صورت دهند.
با تصادفی کردن طرحبندی و اطلاعات درونی حساس در هر زمان، از هر برنامه کاربردی یک خروجی به دست میآید که مهاجمان نمیتوانند حملاتی را علیه آنها انجام دهند. حتی اگر اطلاعاتی درباره این طرحبندی به بیرون درز پیدا کند، ترتیب و نظم آن در مرتبه بعدی متفاوت خواهد بود.
بدین ترتیب، TRACER میتواند حملات علیه این برنامههای ویندوز را خنثی کند. این نرمافزار روی هر رایانههای قابلنصب است و با برنامههای دیگر نیز تداخلی ندارد. این برنامه حداقل بهطور میانگین ۱۲ درصد زمان راهاندازی را افزایش میدهد.
از دیگر طرحهای تصادفی سازی میتوان تصادفی سازی طرحبندی فضای آدرس، تصادفی سازی کد مبتنی بر کامپایلر و تصادفی سازی یک زمانهی مجموعه دستورالعملها را برشمرد. مهاجمان میتوانند منتظر بیرون آمدن اطلاعات از برنامهها باشند تا بتوانند حملهای مؤثر انجام دهند.
FLOWER
تحلیلگر جریان شبکه (FLOWER) بستههای IP را بررسی میکند تا اطلاعاتی در مورد جریانهای دوطرفه جمعآوری کند که میتوان از آنها برای شناسایی ترافیک خط مبنا و جریانهای غیرعادی استفاده کرد تا رخنهها و تهدیدهای داخلی شناسایی شوند.
اطلاعات بهدستآمده از طریق ابزارهای کوچک درون شبکه و در اطراف آن میتواند بهعنوان منبعی برای تحقیقات بعدی استفاده شوند.
از سال ۲۰۱۰ تاکنون از FlOWER در بیش از ۱۰۰ شبکه دولتی و شرکتی استفادهشده است. این برنامه حملات هماهنگ شده را شناسایی و خنثی میکند و برای ایجاد امضاهای حمله استفاده میشود.
Silent Alarm (هشدار بیصدا)
این زیرساخت رفتارهای شبکه را بررسی میکند تا رفتارهای مخرب را شناسایی و حملاتی ازجمله حملات روز صفرم را که هیچ نشانهای ندارند را متوقف کند.
حوادث شبکه موتور جستجوی آن را از حسگرهای موجود تغذیه میکند. این موتور بخشهایی را بررسی میکند که وقف انواع خاصی از رفتارهای شبکه شدهاند مانند تلاشهای SMP موفق و ناموفق یا ارتباطات اینترنتی ناموفق. بر اساس روشی قدیمی، هر حادثه جدید بهعنوان عادی یا غیرعادی نامگذاری میشود.
این نامگذایها به گرههای فرضی میرسند که نتیجه میگیرند آیا رفتار مشاهده شده فعالیتی مخرب است یا خیر.
اگر فعالیت مخرب شناخته شد، Silent Alaram برای کاربر هشدار میفرستد.
تجاریسازی ۸ فناوری امنیتی آمریكا
وزارت امنیت داخلی آمریكا (DHS) ۸ فناوری امنیتی سایبری را منتشر كرد و با كمكهای مالی فدرال به شركتها و كسبوكارهای كوچكی ایجادشدهاند.
۱۳۹۵/۲/۸
