Los investigadores de la Universidad de Missouri desarrollan inteligencia artificial para poner en cuarentena a los ciberataques hasta que se pueda diseñar una estrategia defensiva más sofisticada. Se trata de una estrategia basada en dar a los atacantes “falsas esperanzas”, así lo definen sus desarrolladores, con el fin de ganar tiempo hasta encontrar la forma de neutralizar el ciberataque.
«Estamos interesados en los ataques dirigidos en los que el atacante está tratando de explotar datos o recursos de infraestructura críticos, como bloquear el acceso a los datos, manipular datos o robar datos», dijo Prasad Calyam, profesor asociado de ingeniería eléctrica y ciencias de la computación y el director de la Cyber Education and Research Initiative en el MU College of Engineering. «Los atacantes están tratando de usar los recursos comprometidos de la gente para infiltrarse en sus datos sin su conocimiento, y estos ataques se están volviendo cada vez más significativos porque los atacantes se están dando cuenta de que pueden ganar dinero como nunca antes».
La estrategia establece un nuevo sistema de inteligencia artificial para combatir las intrusiones digitales
En este estudio, los investigadores se centraron en dos tipos de ataques cibernéticos: los que buscan datos de clientes y los que roban recursos, como bitcoins. Su estrategia utiliza técnicas de inteligencia artificial y principios de psicología, lo que le da al ciberataque una falsa esperanza de que el ataque está funcionando.
«Nuestro sistema de ‘defensa por pretensión’ pone en cuarentena al atacante y les permite a los operadores de la nube ganar tiempo y construir una defensa más fuerte para sus sistemas», dijo Calyam.
«La cuarentena es un señuelo que se comporta de manera muy similar al objetivo comprometido real para que el atacante asuma que el ataque sigue teniendo éxito.»
En un ataque cibernético típico, cuanto más profundamente ingresan los atacantes en el sistema, más tienen la capacidad de ir en muchas direcciones. Se convierte en un juego de Whack-A-Mole para los que defienden el sistema. Nuestra estrategia simplemente cambia el juego, pero hace que los atacantes piensen que están teniendo éxito «.
Figura 1: Ilustración del esquema del sistema Dolus propuesto en el que el atacante es engañado por
la redirección del tráfico de ataque a una máquina virtual de cuarentena para el inicio pretencioso, mientras que los proveedores
trabajar en colaboración para bloquear el tráfico de ataque más cerca del lado de origen. (Missouri University)
Los investigadores dicen que comprar tiempo es importante porque les permite a los que dirigen los recursos cibernéticos idear una estrategia defensiva más sofisticada para usar en un momento posterior cuando el ciberataque vuelva para realizar un ataque más vigoroso sabiendo que se están defendiendo activos valiosos.
El estudio «Defensa inteligente con simulación contra ataques dirigidos en plataformas en la nube», se publicó en Future Generation Computer Systems.
Figura 2: Configuración física entre dominios en una implementación del sistema Dolus para compartir inteligencia de amenazas para que un controlador unificado coordine la administración de políticas con una federación de ASes para bloquear ataques. Tráfico más cerca del lado fuente. (Missouri University)
Defensa con pretensión: el equipo de ingeniería de MU establece un nuevo paradigma de ciberseguridad
En lugar de simplemente reaccionar a los ataques cibernéticos después de que ocurrieran, los investigadores de Mizzou Engineering desarrollaron un nuevo enfoque: la «defensa cibernética utilizando la pretensión».
El documento “Intelligent defense using pretense against targeted attacks in cloud platforms” ilustra cómo el uso del engaño puede combatir las dos formas clave de ataques cibernéticos: los creados para la exfiltración de datos (amenazas persistentes avanzadas) y los de la exfiltración de recursos (minería persistente avanzada). Las APT se centran en reducir la disponibilidad, integridad y confidencialidad de los datos. Mientras tanto, los APM (también llamados ataques de cryptojacking) son ataques que utilizan los recursos de otro sistema para llevar a cabo una tarea costosa, por ejemplo, la minería de bitcoin, que tiene costos masivos de energía de cómputo y energía asociados.
«Lo que se nos ocurrió es este nuevo paradigma de mirar a la defensa cibernética con pretensión», dijo Calyam. “Somos únicos en este aspecto al presentar el paradigma de la pretensión en la defensa cibernética; Además, estamos utilizando técnicas de aprendizaje automático (que requieren una intervención humana mínima o mínima) para detectar y defender eficazmente los ataques de exfiltración de datos y recursos dentro de redes empresariales de pequeña a gran escala «.
Este estudio utiliza métodos e investigación de psicología infantil para desarrollar métodos de mala dirección y subterfugios que pueden confundir a un atacante el tiempo suficiente para permitir una defensa más efectiva.
El objetivo de la simulación es enfocar los recursos de un atacante en un área en cuarentena del sistema que no es valiosa y mantener a los usuarios legítimos en un área segura del sistema. La pretensión por lo tanto ayuda a ganar tiempo para apuntalar una defensa inteligente de datos y recursos valiosos para disuadir al atacante de lanzar ataques más enérgicos contra datos valiosos y recursos de recursos. Para las APT, esto puede implicar dar a los atacantes un objetivo ficticio, permitiendo que los recursos se desplacen al lugar donde se almacena la información valiosa real. El objetivo es mantener al atacante asumiendo que el ataque sigue teniendo éxito mientras se diseña un esquema para detener el ataque tan cerca de la fuente como sea posible.
Fuente: MU News
