logo Хроники кибер-безопасника

Дайджест. 2024 / 06

Добро ‎пожаловать‏ ‎в ‎очередной ‎выпуск ‎ежемесячного ‎сборника‏ ‎материалов, ‎который‏ ‎является‏ ‎вашим ‎универсальным ‎ресурсом‏ ‎для ‎получения‏ ‎информации ‎о ‎самых ‎последних‏ ‎разработках,‏ ‎аналитических ‎материалах‏ ‎и ‎лучших‏ ‎практиках ‎в ‎постоянно ‎развивающейся ‎области‏ ‎безопасности.‏ ‎В ‎этом‏ ‎выпуске ‎мы‏ ‎подготовили ‎разнообразную ‎подборку ‎статей, ‎новостей‏ ‎и‏ ‎результатов‏ ‎исследований, ‎рассчитанных‏ ‎как ‎на‏ ‎профессионалов, ‎так‏ ‎и‏ ‎на ‎обычных‏ ‎любителей. ‎Цель ‎нашего ‎дайджеста ‎—‏ ‎сделать ‎наш‏ ‎контент‏ ‎интересным ‎и ‎доступным.‏ ‎Приятного ‎чтения

PDF‏ ‎в ‎конце ‎поста

A.   ‎AntiPhishStack


В‏ ‎документе‏ ‎под ‎названием‏ ‎«Модель ‎многоуровневого‏ ‎обобщения ‎на ‎основе ‎LSTM ‎для‏ ‎оптимизации‏ ‎фишинга» ‎обсуждается‏ ‎растущая ‎зависимость‏ ‎от ‎революционных ‎онлайновых ‎веб-сервисов, ‎что‏ ‎привело‏ ‎к‏ ‎повышенным ‎рискам‏ ‎безопасности ‎и‏ ‎постоянным ‎проблемам,‏ ‎создаваемым‏ ‎фишинговыми ‎атаками.

Фишинг,‏ ‎вводящий ‎в ‎заблуждение ‎метод ‎социальной‏ ‎и ‎технической‏ ‎инженерии,‏ ‎представляет ‎серьёзную ‎угрозу‏ ‎безопасности ‎в‏ ‎Интернете, ‎направленный ‎на ‎незаконное‏ ‎получение‏ ‎идентификационных ‎данных‏ ‎пользователей, ‎их‏ ‎личного ‎счета ‎и ‎банковских ‎учётных‏ ‎данных.‏ ‎Это ‎основная‏ ‎проблема ‎преступной‏ ‎деятельности, ‎когда ‎атакующие ‎преследуют ‎такие‏ ‎цели,‏ ‎как‏ ‎продажа ‎украденных‏ ‎личных ‎данных,‏ ‎извлечение ‎наличных,‏ ‎использование‏ ‎уязвимостей ‎или‏ ‎получение ‎финансовой ‎выгоды.

Исследование ‎направлено ‎на‏ ‎улучшение ‎обнаружения‏ ‎фишинга‏ ‎с ‎помощью ‎AntiPhishStack,‏ ‎работающего ‎без‏ ‎предварительного ‎знания ‎особенностей ‎фишинга.‏ ‎Модель‏ ‎использует ‎возможности‏ ‎сетей ‎долгой‏ ‎краткосрочной ‎памяти ‎(LSTM), ‎типа ‎рекуррентной‏ ‎нейронной‏ ‎сети, ‎которая‏ ‎способна ‎изучать‏ ‎зависимость ‎порядка ‎в ‎задачах ‎прогнозирования‏ ‎последовательности.‏ ‎Он‏ ‎симметрично ‎использует‏ ‎изучение ‎URL-адресов‏ ‎и ‎функций‏ ‎TF-IDF‏ ‎на ‎уровне‏ ‎символов, ‎повышая ‎его ‎способность ‎бороться‏ ‎с ‎возникающими‏ ‎фишинговыми‏ ‎угрозами.

B.   ‎АНБ ‎в‏ ‎истерике. ‎AdaptTactics

Документ‏ ‎под ‎названием ‎«cyber ‎actors‏ ‎adapt‏ ‎tactics ‎for‏ ‎initial ‎cloud‏ ‎access», ‎опубликованный ‎Агентством ‎национальной ‎безопасности‏ ‎(АНБ)‏ ‎предупреждает, ‎об‏ ‎адаптации ‎тактики‏ ‎для ‎получения ‎первоначального ‎доступа ‎к‏ ‎облачным‏ ‎сервисам,‏ ‎а ‎не‏ ‎для ‎использования‏ ‎уязвимостей ‎локальной‏ ‎сети.

Переход‏ ‎от ‎локальных‏ ‎решений ‎к ‎облачным ‎является ‎ответом‏ ‎на ‎то,‏ ‎что‏ ‎организации ‎модернизируют ‎свои‏ ‎системы ‎и‏ ‎переходят ‎на ‎облачную ‎инфраструктуру.‏ ‎Также‏ ‎кибер-кампании ‎расширяются‏ ‎в ‎сторону‏ ‎таких ‎секторов, ‎как ‎авиация, ‎образование,‏ ‎секторов,‏ ‎связанных ‎региональными‏ ‎и ‎федеральными,‏ ‎а ‎также ‎госучреждениями, ‎правительственными ‎финансовыми‏ ‎департаментами‏ ‎и‏ ‎военными ‎организациями.

1)      Ключевые‏ ‎выводы

·        Адаптация ‎к‏ ‎облачным ‎сервисам: сместился‏ ‎фокус‏ ‎с ‎эксплуатации‏ ‎уязвимостей ‎локальной ‎сети ‎на ‎прямое‏ ‎воздействие ‎на‏ ‎облачные‏ ‎сервисы. ‎Это ‎изменение‏ ‎является ‎ответом‏ ‎на ‎модернизацию ‎систем ‎и‏ ‎миграцию‏ ‎инфраструктуры ‎в‏ ‎облако.

·        Аутентификация ‎как‏ ‎ключевой ‎шаг: чтобы ‎скомпрометировать ‎облачные ‎сети,‏ ‎необходимо‏ ‎успешно ‎пройти‏ ‎аутентификацию ‎у‏ ‎поставщика ‎облачных ‎услуг. ‎Предотвращение ‎этого‏ ‎первоначального‏ ‎доступа‏ ‎имеет ‎решающее‏ ‎значение ‎для‏ ‎предотвращения ‎компрометации.

·        Расширение‏ ‎таргетинга: расширена‏ ‎сфера ‎воздействия‏ ‎на ‎сектора, ‎такие ‎как, ‎как‏ ‎авиация, ‎образование,‏ ‎правоохранительные‏ ‎органы, ‎региональные ‎и‏ ‎федеральные ‎организации,‏ ‎правительственные ‎финансовые ‎департаменты ‎и‏ ‎военные‏ ‎организации. ‎Это‏ ‎расширение ‎указывает‏ ‎на ‎стратегическую ‎диверсификацию ‎целей ‎сбора‏ ‎разведывательной‏ ‎информации.

·        Использование ‎служебных‏ ‎и ‎неактивных‏ ‎учётных ‎записей: подчёркивается, ‎что ‎за ‎последние‏ ‎12‏ ‎месяцев‏ ‎использовались ‎брутфорс-атаки‏ ‎для ‎доступа‏ ‎к ‎служебным‏ ‎и‏ ‎неактивным ‎учётным‏ ‎записям. ‎Эта ‎тактика ‎позволяет ‎получить‏ ‎первоначальный ‎доступ‏ ‎к‏ ‎облачным ‎средам.

·        Профессиональный ‎уровень‏ ‎атакующих: выявлена ‎возможность‏ ‎осуществления ‎компрометациии ‎глобальной ‎цепочки‏ ‎поставок,‏ ‎как, ‎например,‏ ‎инцидент ‎с‏ ‎SolarWinds ‎в ‎2020 ‎году.

·        Первая ‎линия‏ ‎защиты: подчёркивается,‏ ‎что ‎первая‏ ‎линия ‎защиты‏ ‎включает ‎предотвращения ‎возможности ‎первичного ‎доступа‏ ‎к‏ ‎сервисам.

C.‏   ‎АНБ ‎в‏ ‎истерике. ‎Ubiquiti

Документ‏ ‎под ‎названием‏ ‎«Cyber‏ ‎Actors ‎Use‏ ‎Compromised ‎Routers ‎to ‎Facilitate ‎Cyber‏ ‎Operations», ‎опубликованный‏ ‎ФБР,‏ ‎АНБ, ‎киберкомандованием ‎США‏ ‎и ‎международными‏ ‎партнёрами ‎предупреждает ‎об ‎использовании‏ ‎скомпрометированных‏ ‎маршрутизаторов ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎облегчения ‎вредоносных ‎киберопераций ‎по ‎всему‏ ‎миру.

Популярность‏ ‎Ubiquiti ‎EdgeRouters‏ ‎объясняется ‎удобной‏ ‎в ‎использовании ‎ОС ‎на ‎базе‏ ‎Linux,‏ ‎учётными‏ ‎данными ‎по‏ ‎умолчанию ‎и‏ ‎ограниченной ‎защитой‏ ‎брандмауэром.‏ ‎Маршрутизаторы ‎часто‏ ‎поставляются ‎с ‎небезопасными ‎конфигурациями ‎по‏ ‎умолчанию ‎и‏ ‎не‏ ‎обновляют ‎прошивку ‎автоматически.

Скомпрометированные‏ ‎EdgeRouters ‎использовались‏ ‎APT28 ‎для ‎сбора ‎учётных‏ ‎данных,‏ ‎дайджестов ‎NTLMv2,‏ ‎сетевого ‎трафика‏ ‎прокси-сервера ‎и ‎размещения ‎целевых ‎страниц‏ ‎для‏ ‎фишинга ‎и‏ ‎пользовательских ‎инструментов.‏ ‎APT28 ‎получила ‎доступ ‎к ‎маршрутизаторам,‏ ‎используя‏ ‎учётные‏ ‎данные ‎по‏ ‎умолчанию, ‎и‏ ‎троянизировала ‎серверные‏ ‎процессы‏ ‎OpenSSH. ‎Наличие‏ ‎root-доступ ‎к ‎скомпрометированным ‎маршрутизаторам, ‎дало‏ ‎доступ ‎к‏ ‎ОС‏ ‎для ‎установки ‎инструментов‏ ‎и ‎сокрытия‏ ‎своей ‎личности.

APT28 ‎также ‎развернула‏ ‎пользовательские‏ ‎скрипты ‎Python‏ ‎на ‎скомпрометированных‏ ‎маршрутизаторах ‎для ‎сбора ‎и ‎проверки‏ ‎украденных‏ ‎данных ‎учётной‏ ‎записи ‎веб-почты,‏ ‎полученных ‎с ‎помощью ‎межсайтовых ‎скриптов‏ ‎и‏ ‎кампаний‏ ‎фишинга ‎«браузер‏ ‎в ‎браузере».‏ ‎Кроме ‎того,‏ ‎они‏ ‎использовали ‎критическую‏ ‎уязвимость ‎с ‎повышением ‎привилегий ‎на‏ ‎нулевой ‎день‏ ‎в‏ ‎Microsoft ‎Outlook ‎(CVE-2023–23397)‏ ‎для ‎сбора‏ ‎данных ‎NTLMv2 ‎из ‎целевых‏ ‎учётных‏ ‎записей ‎Outlook‏ ‎и ‎общедоступные‏ ‎инструменты ‎для ‎оказания ‎помощи ‎в‏ ‎атаках‏ ‎с ‎ретрансляцией‏ ‎NTLM

D.   ‎АНБ‏ ‎в ‎истерике. ‎SOHO

Эксплуатация ‎небезопасных ‎маршрутизаторов‏ ‎SOHO‏ ‎злоумышленниками,‏ ‎особенно ‎группами,‏ ‎спонсируемыми ‎государством,‏ ‎представляет ‎значительную‏ ‎угрозу‏ ‎для ‎отдельных‏ ‎пользователей ‎и ‎критически ‎важной ‎инфраструктуры.‏ ‎Производителям ‎настоятельно‏ ‎рекомендуется‏ ‎применять ‎принципы ‎security‏ ‎by-design, ‎privacy-by-design‏ ‎и ‎методы ‎повышения ‎прозрачности‏ ‎для‏ ‎снижения ‎этих‏ ‎рисков, ‎в‏ ‎то ‎время ‎как ‎пользователям ‎и‏ ‎безопасникам‏ ‎рекомендуется ‎внедрять‏ ‎передовые ‎методы‏ ‎обеспечения ‎безопасности ‎маршрутизаторов ‎и ‎сохранять‏ ‎бдительность‏ ‎в‏ ‎отношении ‎потенциальных‏ ‎угроз.

1)      Проблема ‎небезопасных‏ ‎маршрутизаторов ‎soho

·        Распространённые‏ ‎уязвимости: Значительное‏ ‎количество ‎уязвимостей,‏ ‎общее ‎число ‎которых ‎составляет ‎226,‏ ‎было ‎выявлено‏ ‎в‏ ‎популярных ‎брендах ‎маршрутизаторов‏ ‎SOHO. ‎Эти‏ ‎уязвимости ‎различаются ‎по ‎степени‏ ‎серьёзности,‏ ‎но ‎в‏ ‎совокупности ‎представляют‏ ‎существенную ‎угрозу.

·        Устаревшие ‎компоненты: Основные ‎компоненты, ‎такие‏ ‎как‏ ‎ядро ‎Linux,‏ ‎и ‎дополнительные‏ ‎службы, ‎такие ‎как ‎VPN, ‎в‏ ‎этих‏ ‎маршрутизаторах‏ ‎устарели. ‎Это‏ ‎делает ‎их‏ ‎восприимчивыми ‎к‏ ‎известным‏ ‎эксплойтам ‎уязвимостей,‏ ‎которые ‎уже ‎давно ‎стали ‎достоянием‏ ‎общественности.

·        Небезопасные ‎настройки‏ ‎по‏ ‎умолчанию: Многие ‎маршрутизаторы ‎поставляются‏ ‎с ‎простыми‏ ‎паролями ‎по ‎умолчанию ‎и‏ ‎отсутствием‏ ‎шифрования ‎соединений,‏ ‎чем ‎пользуются‏ ‎злоумышленники.

·        Отсутствие ‎security-by-design: Маршрутизаторам ‎SOHO ‎часто ‎не‏ ‎хватает‏ ‎ряда ‎функций‏ ‎безопасности, ‎например‏ ‎возможностей ‎автоматического ‎обновления ‎и ‎отсутствия‏ ‎эксплуатируемых‏ ‎проблем,‏ ‎особенно ‎в‏ ‎интерфейсах ‎веб-управления.

·        Доступность‏ ‎интерфейсов ‎управления: Производители‏ ‎часто‏ ‎создают ‎устройства‏ ‎с ‎интерфейсами ‎управления, ‎с ‎доступом‏ ‎через ‎Интернет‏ ‎по‏ ‎умолчанию, ‎часто ‎без‏ ‎уведомления ‎клиентов‏ ‎об ‎этой ‎небезопасной ‎конфигурации.

·        Отсутствие‏ ‎прозрачности‏ ‎и ‎подотчётности: производители‏ ‎не ‎обеспечивают‏ ‎прозрачность ‎путём ‎раскрытия ‎уязвимостей ‎продукта‏ ‎с‏ ‎помощью ‎программы‏ ‎CVE ‎и‏ ‎точной ‎классификации ‎этих ‎уязвимостей ‎с‏ ‎использованием‏ ‎CWE

·        Пренебрежение‏ ‎безопасностью ‎в‏ ‎пользу ‎удобства‏ ‎и ‎функциональных‏ ‎возможностей: Производители‏ ‎отдают ‎предпочтение‏ ‎простоте ‎использования ‎и ‎широкому ‎спектру‏ ‎функций, ‎а‏ ‎не‏ ‎безопасности, ‎что ‎приводит‏ ‎к ‎созданию‏ ‎маршрутизаторов, ‎которые ‎«недостаточно ‎безопасны»‏ ‎прямо‏ ‎из ‎коробки,‏ ‎без ‎учёта‏ ‎возможности ‎эксплуатации.

·        Небрежность ‎пользователей: Многие ‎пользователи, ‎включая‏ ‎ИТ-специалистов,‏ ‎не ‎соблюдают‏ ‎базовые ‎правила‏ ‎безопасности, ‎такие ‎как ‎смена ‎паролей‏ ‎по‏ ‎умолчанию‏ ‎или ‎обновление‏ ‎встроенного ‎программного‏ ‎обеспечения, ‎оставляя‏ ‎маршрутизаторы‏ ‎уязвимыми ‎для‏ ‎атак.

·        Сложность ‎идентификации ‎уязвимых ‎устройств: Идентификация ‎конкретных‏ ‎уязвимых ‎устройств‏ ‎является‏ ‎сложной ‎из-за ‎юридических‏ ‎и ‎технических‏ ‎проблем, ‎усложняющих ‎процесс ‎их‏ ‎устранения.

2)      Сектора‏ ‎/ ‎Отрасли

a)‏      ‎Коммуникации

·        Утечки ‎данных‏ ‎и ‎перехват ‎данных: небезопасные ‎маршрутизаторы ‎могут‏ ‎привести‏ ‎к ‎несанкционированному‏ ‎доступу ‎к‏ ‎сетевому ‎трафику, ‎позволяя ‎злоумышленникам ‎перехватывать‏ ‎конфиденциальные‏ ‎сообщения.

·        Нарушение‏ ‎работы ‎служб: скомпрометированные‏ ‎маршрутизаторы ‎могут‏ ‎использоваться ‎для‏ ‎запуска‏ ‎распределённых ‎атак‏ ‎типа ‎«Отказ ‎в ‎обслуживании» ‎(DDoS),‏ ‎нарушающих ‎работу‏ ‎служб‏ ‎связи.

b)      ‎Транспорт ‎и‏ ‎Логистика

Уязвимость ‎инфраструктуры: транспортный‏ ‎сектор ‎в ‎значительной ‎степени‏ ‎полагается‏ ‎на ‎сетевые‏ ‎системы ‎для‏ ‎выполнения ‎операций. ‎Скомпрометированные ‎маршрутизаторы ‎могут‏ ‎позволить‏ ‎злоумышленникам ‎нарушить‏ ‎работу ‎систем‏ ‎управления ‎трафиком ‎и ‎логистических ‎операций.

c)‏      ‎Водоснабжение

Операционные‏ ‎технологии‏ ‎(ОТ): небезопасные ‎маршрутизаторы‏ ‎предоставляют ‎злоумышленникам‏ ‎шлюз ‎для‏ ‎атак‏ ‎на ‎системы‏ ‎ОТ ‎в ‎секторе ‎водоснабжения, ‎что‏ ‎потенциально ‎влияет‏ ‎на‏ ‎системы ‎очистки ‎и‏ ‎распределения ‎воды.

d)‏      ‎Энергетика

Сетевая ‎безопасность: Энергетический ‎сектор, ‎особенно‏ ‎предприятия‏ ‎электроэнергетики, ‎подвержены‏ ‎риску ‎целенаправленных‏ ‎атак ‎через ‎небезопасные ‎маршрутизаторы. ‎Злоумышленники‏ ‎могли‏ ‎получить ‎доступ‏ ‎к ‎системам‏ ‎управления, ‎создавая ‎угрозу ‎стабильности ‎электросети.

e)‏      ‎Другие‏ ‎отрасли

·        Здравоохранение: Небезопасные‏ ‎маршрутизаторы ‎могут‏ ‎скомпрометировать ‎данные‏ ‎пациентов ‎и‏ ‎нарушить‏ ‎работу ‎медицинских‏ ‎служб, ‎предоставляя ‎злоумышленникам ‎доступ ‎к‏ ‎сетям ‎здравоохранения.

·        Розничная‏ ‎торговля‏ ‎и ‎гостиничный ‎бизнес: Эти‏ ‎сектора ‎уязвимы‏ ‎для ‎утечки ‎данных, ‎связанных‏ ‎с‏ ‎информацией ‎о‏ ‎клиентах ‎и‏ ‎финансовыми ‎транзакциями, ‎из-за ‎небезопасных ‎сетевых‏ ‎устройств.

·        Промышленность: Промышленные‏ ‎системы ‎управления‏ ‎могут ‎быть‏ ‎взломаны ‎через ‎небезопасные ‎маршрутизаторы, ‎что‏ ‎влияет‏ ‎на‏ ‎производственные ‎линии‏ ‎и ‎производственные‏ ‎процессы.

·        Образование: Школы ‎и‏ ‎университеты‏ ‎подвержены ‎риску‏ ‎утечки ‎данных ‎и ‎сбоев ‎в‏ ‎предоставлении ‎образовательных‏ ‎услуг.

·        Государственный‏ ‎и ‎общественный ‎сектор: небезопасные‏ ‎маршрутизаторы ‎могут‏ ‎привести ‎к ‎несанкционированному ‎доступу‏ ‎к‏ ‎правительственным ‎сетям,‏ ‎подвергая ‎риску‏ ‎конфиденциальную ‎информацию ‎и ‎критически ‎важные‏ ‎услуги

E.‏   ‎Обнаружение ‎кибератак‏ ‎на ‎интеллектуальные‏ ‎устройства ‎с ‎учётом ‎потребляемой ‎энергии

Cyber‏ ‎Attacks‏ ‎on‏ ‎Smart ‎Devices»‏ ‎подчёркивается ‎влияние‏ ‎интеграции ‎технологии‏ ‎Интернета‏ ‎вещей ‎в‏ ‎умные ‎дома ‎и ‎связанные ‎с‏ ‎этим ‎проблемы‏ ‎безопасности.

·        Энергоэффективность: подчёркивается‏ ‎важность ‎энергоэффективности ‎в‏ ‎системах ‎Интернета‏ ‎вещей, ‎особенно ‎в ‎средах‏ ‎«умного‏ ‎дома» ‎для‏ ‎комфорта, ‎уюта‏ ‎и ‎безопасности.

·        Уязвимости: уязвимость ‎устройств ‎Интернета ‎вещей‏ ‎к‏ ‎кибератакам ‎и‏ ‎физическим ‎атакам‏ ‎из-за ‎ограниченности ‎их ‎ресурсов ‎подчёркивает‏ ‎необходимость‏ ‎защиты‏ ‎этих ‎устройств‏ ‎для ‎обеспечения‏ ‎их ‎эффективного‏ ‎использования‏ ‎в ‎реальных‏ ‎сценариях.

·        Предлагаемая ‎система ‎обнаружения: Авторы ‎предлагают ‎систему‏ ‎обнаружения, ‎основанную‏ ‎на‏ ‎анализе ‎энергопотребления ‎интеллектуальных‏ ‎устройств. ‎Цель‏ ‎этой ‎платформы ‎— ‎классифицировать‏ ‎состояние‏ ‎атак ‎отслеживаемых‏ ‎устройств ‎путём‏ ‎изучения ‎структуры ‎их ‎энергопотребления.

·        Двухэтапный ‎подход: Методология‏ ‎предполагает‏ ‎двухэтапный ‎подход.‏ ‎На ‎первом‏ ‎этапе ‎используется ‎короткий ‎промежуток ‎времени‏ ‎для‏ ‎грубого‏ ‎обнаружения ‎атаки,‏ ‎в ‎то‏ ‎время ‎как‏ ‎второй‏ ‎этап ‎включает‏ ‎в ‎себя ‎более ‎детальный ‎анализ.

·        Облегчённый‏ ‎алгоритм: представлен ‎облегчённый‏ ‎алгоритм,‏ ‎который ‎адаптирован ‎к‏ ‎ограниченным ‎ресурсам‏ ‎устройств ‎Интернета ‎вещей ‎и‏ ‎учитывает‏ ‎протоколы: ‎TCP,‏ ‎UDP ‎и‏ ‎MQTT.

·        Анализ ‎скорости ‎приёма ‎пакетов: Метод ‎обнаружения‏ ‎основан‏ ‎на ‎анализе‏ ‎скорости ‎приёма‏ ‎пакетов ‎интеллектуальными ‎устройствами ‎для ‎выявления‏ ‎аномального‏ ‎поведения,‏ ‎указывающего ‎на‏ ‎атаки ‎с‏ ‎использованием ‎энергопотребления.

1)      Преимущества

·        Облегчённый‏ ‎алгоритм‏ ‎обнаружения: Предлагаемый ‎алгоритм‏ ‎разработан ‎таким ‎образом, ‎чтобы ‎быть‏ ‎облегчённым, ‎что‏ ‎делает‏ ‎его ‎подходящим ‎для‏ ‎устройств ‎Интернета‏ ‎вещей ‎с ‎ограниченными ‎ресурсами.‏ ‎Это‏ ‎гарантирует, ‎что‏ ‎механизм ‎обнаружения‏ ‎не ‎будет ‎нагружать ‎устройства, ‎которые‏ ‎он‏ ‎призван ‎защищать.

·        Универсальность‏ ‎протокола: Алгоритм ‎учитывает‏ ‎множество ‎протоколов ‎связи ‎(TCP, ‎UDP,‏ ‎MQTT),‏ ‎что‏ ‎повышает ‎его‏ ‎применимость ‎к‏ ‎различным ‎типам‏ ‎интеллектуальных‏ ‎устройств ‎и‏ ‎конфигурациям ‎сетей.

·        Двухэтапное ‎обнаружение подход: использование ‎двухэтапного ‎обнаружения‏ ‎подход ‎позволяет‏ ‎повысить‏ ‎точность ‎определения ‎потребления‏ ‎энергии ‎ударов‏ ‎при ‎минимальном ‎количестве ‎ложных‏ ‎срабатываний.‏ ‎Этот ‎метод‏ ‎позволяет ‎как‏ ‎быстро ‎провести ‎первоначальное ‎обнаружение, ‎так‏ ‎и‏ ‎детальный ‎анализ.

·        Оповещения‏ ‎в ‎режиме‏ ‎реального ‎времени: Платформа ‎оповещает ‎администраторов ‎об‏ ‎обнаружении‏ ‎атаки,‏ ‎обеспечивая ‎быстрое‏ ‎реагирование ‎и‏ ‎смягчение ‎потенциальных‏ ‎угроз.

·        Эффективное‏ ‎обнаружение аномалий: измеряя ‎скорость‏ ‎приёма ‎пакетов ‎и ‎анализируя ‎структуру‏ ‎энергопотребления, ‎алгоритм‏ ‎эффективно‏ ‎выявляет ‎отклонения ‎от‏ ‎нормального ‎поведения,‏ ‎которые ‎указывают ‎на ‎кибератаки.

2)      Недостатки

·        Ограниченные‏ ‎сценарии‏ ‎атак: Экспериментальная ‎установка‏ ‎ориентирована ‎только‏ ‎на ‎определённые ‎типы ‎атак, ‎что‏ ‎ограничивает‏ ‎возможность ‎обобщения‏ ‎результатов ‎на‏ ‎другие ‎потенциальные ‎векторы ‎атак, ‎не‏ ‎охваченные‏ ‎в‏ ‎исследовании.

·        Проблемы ‎с‏ ‎масштабируемостью: хотя ‎алгоритм‏ ‎разработан ‎таким‏ ‎образом,‏ ‎чтобы ‎быть‏ ‎лёгким, ‎его ‎масштабируемость ‎в ‎более‏ ‎крупных ‎и‏ ‎сложных‏ ‎средах ‎«умного ‎дома»‏ ‎с ‎большим‏ ‎количеством ‎устройств ‎и ‎различными‏ ‎условиями‏ ‎сети ‎может‏ ‎потребовать ‎дальнейшей‏ ‎проверки.

·        Зависимость ‎от ‎исходных ‎данных: Эффективность ‎механизма‏ ‎обнаружения‏ ‎зависит ‎от‏ ‎точных ‎базовых‏ ‎измерений ‎скорости ‎приёма ‎пакетов ‎и‏ ‎энергопотребления.‏ ‎Любые‏ ‎изменения ‎в‏ ‎нормальных ‎условиях‏ ‎эксплуатации ‎устройств‏ ‎могут‏ ‎повлиять ‎на‏ ‎исходные ‎данные, ‎потенциально ‎приводя ‎к‏ ‎ложноположительным ‎или‏ ‎отрицательным‏ ‎результатам.

·        Ограничения ‎ресурсов: несмотря ‎на‏ ‎легковесность, ‎алгоритм‏ ‎по-прежнему ‎требует ‎вычислительных ‎ресурсов,‏ ‎что‏ ‎может ‎стать‏ ‎проблемой ‎для‏ ‎устройств ‎с ‎крайне ‎ограниченными ‎ресурсами.‏ ‎Постоянный‏ ‎мониторинг ‎и‏ ‎анализ ‎также‏ ‎могут ‎повлиять ‎на ‎срок ‎службы‏ ‎батареи‏ ‎и‏ ‎производительность ‎этих‏ ‎устройств.

F.   ‎MediHunt

В‏ ‎документе ‎«MediHunt:‏ ‎A‏ ‎Network ‎Forensics‏ ‎Framework ‎for ‎Medical ‎IoT ‎Devices»‏ ‎рассматривается ‎необходимость‏ ‎надёжной‏ ‎сетевой ‎криминалистики ‎в‏ ‎медицинских ‎средах‏ ‎Интернета ‎вещей ‎(MIoT), ‎особенно‏ ‎с‏ ‎упором ‎на‏ ‎сети ‎MQTT.‏ ‎Эти ‎сети ‎обычно ‎используются ‎в‏ ‎интеллектуальных‏ ‎больничных ‎средах‏ ‎благодаря ‎их‏ ‎облегчённому ‎протоколу ‎связи. ‎Освещаются ‎проблемы‏ ‎обеспечения‏ ‎безопасности‏ ‎устройств ‎MIoT,‏ ‎которые ‎часто‏ ‎ограничены ‎в‏ ‎ресурсах‏ ‎и ‎обладают‏ ‎ограниченной ‎вычислительной ‎мощностью. ‎В ‎качестве‏ ‎серьёзной ‎проблемы‏ ‎упоминается‏ ‎отсутствие ‎общедоступных ‎потоковых‏ ‎наборов ‎данных,‏ ‎специфичных ‎для ‎MQTT, ‎для‏ ‎обучения‏ ‎систем ‎обнаружения‏ ‎атак.

1)      Преимущества

·        Обнаружение ‎атак‏ ‎в ‎режиме ‎реального ‎времени: MediHunt ‎предназначен‏ ‎для‏ ‎обнаружения ‎атак‏ ‎на ‎основе‏ ‎сетевого ‎трафика ‎в ‎режиме ‎реального‏ ‎времени‏ ‎для‏ ‎уменьшения ‎потенциального‏ ‎ущерба ‎и‏ ‎обеспечения ‎безопасности‏ ‎сред‏ ‎MIoT.

·        Комплексные ‎возможности‏ ‎криминалистики: Платформа ‎предоставляет ‎комплексное ‎решение ‎для‏ ‎сбора ‎данных,‏ ‎анализа,‏ ‎обнаружения ‎атак, ‎представления‏ ‎и ‎сохранения‏ ‎доказательств. ‎Это ‎делает ‎его‏ ‎надёжным‏ ‎инструментом ‎сетевой‏ ‎криминалистики ‎в‏ ‎средах ‎MIoT.

·        Интеграция ‎с ‎машинным ‎обучением: Используя‏ ‎модели‏ ‎машинного ‎обучения,‏ ‎MediHunt ‎расширяет‏ ‎свои ‎возможности ‎обнаружения. ‎Использование ‎пользовательского‏ ‎набора‏ ‎данных,‏ ‎который ‎включает‏ ‎данные ‎о‏ ‎потоках ‎как‏ ‎для‏ ‎атак ‎уровня‏ ‎TCP/IP, ‎так ‎и ‎для ‎атак‏ ‎прикладного ‎уровня,‏ ‎позволяет‏ ‎более ‎точно ‎и‏ ‎эффективно ‎обнаруживать‏ ‎широкий ‎спектр ‎кибератак.

·        Высокая ‎производительность: решение‏ ‎показало‏ ‎высокую ‎производительность,‏ ‎получив ‎баллы‏ ‎F1 ‎и ‎точность ‎обнаружения, ‎превышающую‏ ‎0,99‏ ‎и ‎указывает‏ ‎на ‎то,‏ ‎что ‎она ‎обладает ‎высокой ‎надёжностью‏ ‎при‏ ‎обнаружении‏ ‎атак ‎на‏ ‎сети ‎MQTT.

·        Эффективность‏ ‎использования ‎ресурсов: несмотря‏ ‎на‏ ‎свои ‎широкие‏ ‎возможности, ‎MediHunt ‎разработан ‎с ‎учётом‏ ‎экономии ‎ресурсов,‏ ‎что‏ ‎делает ‎его ‎подходящим‏ ‎для ‎развёртывания‏ ‎на ‎устройствах ‎MIoT ‎с‏ ‎ограниченными‏ ‎ресурсами ‎(raspberry‏ ‎Pi).

2)      Недостатки

·        Ограничения ‎набора‏ ‎данных: хотя ‎MediHunt ‎использует ‎пользовательский ‎набор‏ ‎данных‏ ‎для ‎обучения‏ ‎своих ‎моделей‏ ‎машинного ‎обучения, ‎создание ‎и ‎обслуживание‏ ‎таких‏ ‎наборов‏ ‎данных ‎может‏ ‎быть ‎сложной‏ ‎задачей. ‎Набор‏ ‎данных‏ ‎необходимо ‎регулярно‏ ‎обновлять, ‎чтобы ‎охватывать ‎новые ‎и‏ ‎зарождающиеся ‎сценарии‏ ‎атак.

·        Ограничения‏ ‎ресурсов: хотя ‎MediHunt ‎разработан‏ ‎с ‎учётом‏ ‎экономии ‎ресурсов, ‎ограничения, ‎присущие‏ ‎устройствам‏ ‎MIoT, ‎такие‏ ‎как ‎ограниченная‏ ‎вычислительная ‎мощность ‎и ‎память, ‎все‏ ‎ещё‏ ‎могут ‎создавать‏ ‎проблемы. ‎Обеспечить‏ ‎бесперебойную ‎работу ‎фреймворка ‎на ‎этих‏ ‎устройствах‏ ‎без‏ ‎ущерба ‎для‏ ‎их ‎основных‏ ‎функций ‎может‏ ‎быть‏ ‎непросто.

·        Сложность ‎реализации: Внедрение‏ ‎и ‎поддержка ‎платформы ‎сетевой ‎криминалистики‏ ‎на ‎основе‏ ‎машинного‏ ‎обучения ‎может ‎быть‏ ‎сложной ‎задачей.‏ ‎Это ‎требует ‎опыта ‎в‏ ‎области‏ ‎кибербезопасности ‎и‏ ‎машинного ‎обучения,‏ ‎который ‎может ‎быть ‎доступен ‎не‏ ‎во‏ ‎всех ‎медицинских‏ ‎учреждениях.

·        Зависимость ‎от‏ ‎моделей ‎машинного ‎обучения: Эффективность ‎MediHunt ‎в‏ ‎значительной‏ ‎степени‏ ‎зависит ‎от‏ ‎точности ‎и‏ ‎надёжности ‎его‏ ‎моделей‏ ‎машинного ‎обучения.‏ ‎Эти ‎модели ‎необходимо ‎обучать ‎на‏ ‎высококачественных ‎данных‏ ‎и‏ ‎регулярно ‎обновлять, ‎чтобы‏ ‎они ‎оставались‏ ‎эффективными ‎против ‎новых ‎типов‏ ‎атак.

·        Проблемы‏ ‎с ‎масштабируемостью: хотя‏ ‎платформа ‎подходит‏ ‎для ‎небольших ‎развёртываний ‎на ‎устройствах‏ ‎типа‏ ‎Raspberry ‎Pi,‏ ‎ее ‎масштабирование‏ ‎до ‎более ‎крупных ‎и ‎сложных‏ ‎сред‏ ‎MIoT‏ ‎может ‎вызвать‏ ‎дополнительные ‎проблемы.‏ ‎Обеспечение ‎стабильной‏ ‎производительности‏ ‎и ‎надёжности‏ ‎в ‎более ‎крупной ‎сети ‎устройств‏ ‎может ‎быть‏ ‎затруднено

G.‏   ‎Fuxnet

Хакерская ‎группа ‎Blackjack,‏ ‎предположительно ‎связанная‏ ‎с ‎украинскими ‎спецслужбами, ‎взяла‏ ‎на‏ ‎себя ‎ответственность‏ ‎за ‎кибератаку,‏ ‎которая ‎якобы ‎поставила ‎под ‎угрозу‏ ‎возможности‏ ‎обнаружения ‎чрезвычайных‏ ‎ситуаций ‎и‏ ‎реагирования ‎на ‎них ‎в ‎прилегающих‏ ‎районах‏ ‎РФ.‏ ‎Группа ‎была‏ ‎связана ‎с‏ ‎предыдущими ‎кибератаками,‏ ‎направленными‏ ‎против ‎интернет-провайдеров‏ ‎и ‎военной ‎инфраструктуры. ‎Их ‎последнее‏ ‎заявление ‎касается‏ ‎нападения‏ ‎на ‎компанию, ‎отвечающую‏ ‎за ‎строительство‏ ‎и ‎мониторинг ‎инфраструктуры ‎подземных‏ ‎вод,‏ ‎канализации ‎и‏ ‎коммуникаций. ‎Основные‏ ‎выводы ‎из ‎анализа ‎Fuxnet, ‎в‏ ‎т.‏ ‎ч. ‎из‏ ‎материалов ‎Team82‏ ‎и ‎Claroty:

·        Неподтверждённые ‎заявления: Team82 ‎и ‎Claroty‏ ‎не‏ ‎смогли‏ ‎подтвердить ‎заявления‏ ‎относительно ‎влияния‏ ‎кибератаки ‎на‏ ‎возможности‏ ‎правительства ‎по‏ ‎реагированию ‎на ‎чрезвычайные ‎ситуации ‎или‏ ‎степени ‎ущерба,‏ ‎причинённого‏ ‎Fuxnet.

·        Несоответствие ‎в ‎сообщениях‏ ‎о ‎воздействии: первоначальное‏ ‎утверждение ‎о ‎2659 ‎сенсорных‏ ‎шлюзов‏ ‎не ‎совпали‏ ‎с ‎информацией‏ ‎об ‎атаке ‎1700. ‎А ‎проведённый‏ ‎Team82‏ ‎анализ ‎показывает,‏ ‎что ‎только‏ ‎немногим ‎более ‎500 ‎были ‎фактически‏ ‎затронуты‏ ‎Fuxnet.‏ ‎На ‎это‏ ‎последовали ‎заявление‏ ‎Blackjack ‎об‏ ‎выведено‏ ‎из ‎строя‏ ‎87000 ‎датчиков ‎также ‎было ‎разъяснено,‏ ‎заявив, ‎что‏ ‎они‏ ‎отключили ‎датчики, ‎«уничтожив‏ ‎шлюзы ‎путём‏ ‎фаззинга», ‎а ‎не ‎физическое‏ ‎уничтожение‏ ‎датчиков.

·        Фаззинг ‎M-Bus: метод‏ ‎был ‎направлен‏ ‎на ‎отключение ‎датчиков, ‎но ‎точное‏ ‎количество‏ ‎датчиков ‎оказалось‏ ‎невозможно ‎установить‏ ‎ввиду ‎их ‎недоступности ‎извне.

·        Отсутствие ‎прямых‏ ‎доказательств: отсутствуют‏ ‎прямые‏ ‎доказательства, ‎подтверждающие‏ ‎масштабы ‎ущерба‏ ‎или ‎влияние‏ ‎на‏ ‎возможности ‎обнаружения‏ ‎ЧС ‎и ‎реагирования ‎на ‎них.

·        Разъяснение‏ ‎от ‎Blackjack: после‏ ‎публикации‏ ‎первоначального ‎анализа ‎Team82‏ ‎Blackjack ‎обратилась‏ ‎с ‎просьбой ‎предоставить ‎разъяснения,‏ ‎в‏ ‎частности, ‎оспорив‏ ‎утверждение ‎о‏ ‎том, ‎что ‎было ‎затронуто ‎только‏ ‎около‏ ‎500 ‎сенсорных‏ ‎шлюзов ‎и‏ ‎обнародованные ‎файлы ‎JSON ‎были ‎лишь‏ ‎примером‏ ‎полного‏ ‎объёма ‎их‏ ‎деятельности.


Предыдущий Следующий
Все посты проекта

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048