Os pesquisadores de segurança cibernética do ORNL Jared Smith (à esquerda) e Elliot Greenlee (à direita) participam de um evento de dia de demonstração para mostrar como Akatosh, uma nova ferramenta de análise de segurança, classifica rapidamente os dados para identificar ameaças potenciais. Crédito:Oak Ridge National Laboratory
Conforme a tecnologia continua a evoluir, ameaças de segurança cibernética também. Para melhor proteger as informações digitais, uma equipe de pesquisadores do Laboratório Nacional Oak Ridge (ORNL) do Departamento de Energia dos EUA (DOE) desenvolveu o Akatosh, uma ferramenta de análise de segurança que funciona em conjunto com software padrão para detectar irregularidades significativas em redes de computadores.
"Akatosh é um sistema que fornece um contexto mais profundo para a infraestrutura de TI existente projetada para resolver problemas de segurança, "disse Jared Smith, um pesquisador de cibersegurança na Diretoria de Computação e Ciências Computacionais (CCSD) do ORNL que desenvolveu a nova tecnologia. "Dá a você uma visão histórica do que está mudando em um computador ao longo do tempo."
Este novo recurso é coordenado com sistemas de detecção de intrusão (IDSs), que monitoram redes de computadores para empresas privadas, instalações governamentais, e instituições acadêmicas e disparam alertas em resposta a atividades anormais. IDSs tendem a disparar alertas falsos, forçando analistas de segurança cibernética e profissionais de TI a pesquisar manualmente a rede em busca de mudanças.
"Qualquer organização com muitas pessoas usando computadores receberá milhares de alertas por dia, e alguém tem que filtrá-los, "Smith disse." As ferramentas típicas disponíveis fornecem um monte de dados que os analistas precisam examinar para decidir se o sistema foi realmente violado ou não. "
O Akatosh economiza tempo e recursos preciosos anteriormente consumidos por este processo tedioso, tirando instantâneos de sistemas host na rede periodicamente durante as operações diárias e estabelecendo uma linha de base, em seguida, tirar outro instantâneo cada vez que ocorrer um alerta IDS. Ao comparar esses instantâneos, O Akatosh pode mostrar imediatamente as mudanças que ocorreram antes e durante um evento cibernético. Automatizar o processo de classificação por meio de alertas IDS reduz o tempo e o custo necessários para identificar a origem de um incidente de segurança e neutralizar a ameaça.
“A nível técnico, podemos ver se as senhas estão sendo extraídas, se os arquivos estão sendo copiados, e sabemos como essas coisas são potencialmente ameaçadoras porque não estavam acontecendo antes de recebermos um alerta, "Smith disse." É onde podemos fornecer contexto. "
O sistema resume as alterações relevantes e envia um relatório ao administrador da rede para determinar rapidamente se as alterações indicam a presença de uma ameaça legítima à segurança. A capacidade de determinar com precisão a validade dos alertas IDS em tempo real significa que os analistas podem começar a mitigar os efeitos negativos dos ataques de malware, e-mails de phishing, e outros problemas de segurança cibernética assim que aparecem.
"O Akatosh resolve esse problema de eficiência generalizado lidando com incidentes em uma rede muito mais rápido, o que nos permite alocar melhor o nosso tempo. Ele fornece uma maneira mais direcionada de eliminar dados sem importância e revelar áreas de preocupação, "disse Smith, que trabalha no Akatosh desde que chegou ao ORNL como estagiário em 2015.
Depois de se tornar um membro da equipe do Grupo de Pesquisa em Segurança Cibernética e da Informação (CISR) da Divisão de Engenharia e Ciências Computacionais do CCSD em 2017, ele atuou como investigador principal do projeto em colaboração com uma equipe de engenheiros de software e estagiários. Seu trabalho no Akatosh apóia a missão do CISR de se defender contra ataques cibernéticos e manter a segurança das informações e da infraestrutura em todo o país.
Para demonstrar as capacidades dinâmicas do Akatosh, a equipe viajou recentemente para São Francisco para a RSA, a maior conferência de segurança do país. Eles também participaram das cúpulas do Departamento de Segurança Interna dos EUA (DHS) em Nova York e Washington, DC.
"Tem sido muito divertido viajar e demonstrar o Akatosh para as pessoas, "Disse Smith." Na verdade, usamos malware real e mostramos como, uma vez que se espalha pela máquina, podemos ver como ele muda e identificar o problema. "