Défendre les ordinateurs portables contre les attaques de zombies

Les chercheurs d'Intel ont développé un logiciel de sécurité pour ordinateur portable qui s'adapte à la façon dont un individu utilise Internet, offrant une approche plus dynamique et personnalisée pour détecter les activités malveillantes. Le logiciel est destiné aux entreprises qui distribuent des ordinateurs portables et des appareils mobiles à leurs employés, car les services informatiques installent généralement le même logiciel de sécurité universel sur tout leur matériel. L'approche homogène de la sécurité est simple et rapide, selon Nina Taft , chercheur à Intel Research Berkeley , mais parce que le logiciel standard ne prend pas en compte les différents modèles d'utilisation de l'ordinateur, il peut produire des faux positifs et rater complètement certaines attaques.





L'une des raisons pour lesquelles les failles de sécurité sont si répandues est que la plupart de nos machines se ressemblent, explique Taft. Ils ont les mêmes systèmes d'exploitation, les mêmes applications, les mêmes protocoles et les mêmes seuils de trafic Internet dans les paramètres de sécurité, dit-elle. Lorsqu'un pirate informatique s'introduit dans une machine, il peut s'introduire dans toutes… Nous essayons d'injecter de la diversité dans les ordinateurs.

Le type de logiciel de sécurité déployé par la plupart des services informatiques comporte un composant qui examine le trafic Internet entrant et sortant d'un ordinateur. Lorsque le trafic dépasse un seuil prédéfini, le logiciel suggère que l'ordinateur est infecté. Il pourrait, par exemple, avoir été recruté dans le cadre d'un botnet, dans lequel il est contrôlé à distance par un ordinateur malveillant qui lui demande de communiquer avec d'autres machines infectées. (Une grande partie du spam est envoyée par les botnets.) Cependant, certaines personnes envoient habituellement de grandes quantités d'informations, ce qui peut déclencher l'alarme de sécurité, tandis que d'autres qui restent bien en deçà du seuil peuvent héberger sans le savoir des activités malveillantes.

Dans le cadre d'un projet appelé Proteus, les chercheurs d'Intel ont développé plusieurs algorithmes qui peuvent porter des jugements plus nuancés. Un algorithme utilise des techniques statistiques et d'apprentissage automatique standard pour surveiller l'utilisation d'Internet par une personne et créer des seuils de trafic individualisés. Un deuxième algorithme évalue l'évolution de l'utilisation d'Internet par les gens au cours de la journée. Taft a découvert que les habitudes des gens sont très différentes lorsqu'ils utilisent les ordinateurs portables de l'entreprise pour se connecter à des réseaux autres que celui de l'entreprise. Quatre-vingt-dix pour cent des gens ont un comportement assez différent lorsqu'ils sont au travail que lorsqu'ils sont à la maison, dit-elle. Lier différents seuils de trafic à différents profils d'emplacement pourrait améliorer la capacité du logiciel de sécurité à détecter les machines compromises.



Je pense que la conclusion de base est que si vous pouvez être vraiment précis dans la capture du comportement des utilisateurs, vous pouvez rendre le travail des attaquants beaucoup plus difficile, dit Taft. Afin d'infecter avec succès une machine qui maintenait un certain nombre de profils d'utilisation différents, un pirate informatique aurait besoin de savoir quand chacun s'appliquait et quel était son seuil de trafic. Vous limitez l'éventail des possibilités qu'ils ont pour réussir, dit Taft.

Un troisième ensemble d'algorithmes Proteus utilise les mêmes principes comportementaux pour examiner la communication entre les ordinateurs portables et d'autres machines sur Internet. Les botnets sont coordonnés par un hôte central avec lequel chaque machine infectée communique. Une façon de détecter les botnets est d'écouter ces communications. Nous avons développé des algorithmes qui vérifient cette activité d'appel à domicile avec une certaine régularité, dit Taft. Les machines infectées appellent généralement à la maison à des intervalles de 6, 12 ou 24 heures. L'équipe de Taft a montré qu'en écoutant les appels périodiques au même endroit, le logiciel peut déterminer si une machine a été recrutée par l'un des trois botnets différents, y compris Storm, un réseau omniprésent qui contrôle des centaines de milliers, voire des millions de machines. à l'échelle mondiale.

Taft dit que l'idée d'utiliser des données comportementales pour rendre les logiciels de sécurité plus précis n'est pas nouvelle, mais que, pour la plupart, son application a été limitée aux routeurs qui surveillent l'activité du réseau. Proteus est le premier système de ce type conçu pour les ordinateurs portables.



Taft ne sait pas encore comment la version finale de Proteus affectera les performances de l'appareil sur lequel il s'exécute. Au départ, lorsque le logiciel surveille simplement le comportement, il s'exécute constamment en arrière-plan, dit-elle. Après cela, il a un niveau d'activité beaucoup plus faible. Une possibilité pourrait être de câbler Proteus dans les circuits d'un ordinateur. Intel souhaite obtenir autant de [sécurité] dans le matériel que possible, dit Taft. C'est une bonne utilisation des cœurs [de traitement], et quand les choses sont dans le matériel, elles sont plus difficiles à falsifier.

Nick Feamster , professeur d'informatique au Georgia Institute of Technology, affirme que l'approche comportementale de la sécurité n'a pas été appliquée aux ordinateurs portables dans le passé, car il n'y avait pas de moyen automatisé de développer des règles personnalisées. Mais la protection comportementale des botnets est très bien adaptée à l'apprentissage automatique, dit-il.

Jusqu'à présent, les chercheurs ont testé le système auprès de 350 personnes et sont en discussion avec le service informatique d'Intel pour effectuer un déploiement plus large. En fin de compte, cependant, Proteus ne suffira pas à protéger tous les ordinateurs en permanence, selon Taft. Il y a tellement de façons différentes de s'introduire, dit-elle. On aura besoin de nombreux contrôles de sécurité sur un ordinateur.

cacher