Новая система защиты заманивает хакеров в виртуальные ловушки

На конференции по информационной безопасности ученые из университета Пенсильвании представили принципиально новую систему защиты от шпионского ПО на базе уже использующейся в мире защиты с использованием движущихся целей (Moving-Target Defense, MTD). Она способна заманивать сканеры хакеров в виртуальные сети-ловушки и скрывать информацию о реальных сетях.
Penn State

Слабость сетей отчасти заключается в их статичности. Хорошо отлаженные системы, соединенные стабильными каналами связи, могут хорошо работать, но их стабильность позволяет хакерам изучить все слабые места (уязвимости) системы и направить на них свой удар. Чтобы сделать сети менее очевидными и прозрачными для злоумышленников, можно применить систему MTD. Она зашифрует информацию об используемых сетевых портах так, чтобы хакеру сложно было понять, куда именно следует направить свою атаку.

Новая система, разработанная в Пенсильвании, идет еще дальше: по словам одного из разработчиков Динхао Ву она не просто шифрует информацию об имеющихся сетях и их работе, она создает виртуальные сети, которые шпионское ПО принимает за настоящие. Как правило, первым делом хакер пытается собрать информацию о своей жертве: название операционной системы, используемые программы. Вместо того, чтобы пытаться остановить сканеры злоумышленников, разработчики предлагают отслеживать входящий трафик и обнаруживать сканирующие программы. «Остановить все сканеры совершенно нереально, но мы можем их обнаружить», — комментирует Ву.

После того, как система обнаруживает шпионское ПО, она перенаправляет его на виртуальную сеть, находясь в которой, сложно получить информацию о работе настоящей сети. Делается это при помощи рефлектора — специального сетевого устройства, которое направляет часть трафика в «ловушку», или теневую сеть. Хакеру кажется, что он получает актуальную информацию о работе реальной сети.

По мнению разработчиков, главное достоинство новой системы заключается прежде всего в том, что в отсутствие сканирования шпионскими программами рефлектор может работать как обычное сетевое устройство, не создавая дополнительной нагрузки на сеть.

Работа пока безымянного прототипа была продемонстрирована на симуляции виртуальной атаки на локальную сеть. Позднее разработчики планируют внедрить рефлектор в реальную сеть.

Комментарии