BLOG 24Care - 24Care

24 Care Srl - PI & CF 10185010963
Vai ai contenuti

Un Nuovo modo per migliorare la sicurezza informatica

24Care
Molti sistemi di sicurezza informatica utilizzano il rilevamento delle intrusioni della rete distribuita che consente a un piccolo numero di analisti altamente qualificati di monitorare più reti contemporaneamente, riducendo i costi attraverso economie di scala e sfruttando in modo più efficiente la competenza limitata della cibersicurezza; tuttavia, questo approccio richiede che i dati vengano trasmessi dai sensori di rilevamento delle intrusioni di rete sulla rete difesa ai server di analisi centrale. La trasmissione di tutti i dati catturati dai sensori richiede troppa larghezza di banda, hanno detto i ricercatori.

Per questo motivo, la maggior parte dei sistemi di rilevamento delle intrusioni di rete distribuiti inviano solo allarmi o riepiloghi di attività all'analista della sicurezza. Con soli riepiloghi, gli attacchi informatici possono passare inosservati perché l'analista non ha informazioni sufficienti per comprendere l'attività di rete, o, in alternativa, il tempo può essere sprecato a caccia di falsi positivi.

Nella ricerca presentata in occasione della decima Conferenza multipla internazionale sulla complessità, l'informatica e la cibernetica, dal 12 al 15 marzo 2019, gli scienziati hanno voluto identificare il modo in cui comprimere il traffico di rete il più possibile senza perdere la capacità di rilevare e indagare su attività dannose.

Lavorando sulla teoria che l'attività di rete malevola manifesterebbe presto la sua malizia, i ricercatori hanno sviluppato uno strumento che smetterebbe di trasmettere il traffico dopo che un determinato numero di messaggi è stato trasmesso. Il traffico di rete compresso risultante è stato analizzato e confrontato con l'analisi eseguita sul traffico di rete originale.

Come sospettato, i ricercatori hanno scoperto che gli attacchi informatici spesso manifestano malignità all'inizio del processo di trasmissione. Quando il team ha identificato attività dannose in un secondo momento nel processo di trasmissione, di solito non era la prima occorrenza di attività dannose in quel flusso di rete.

"Questa strategia dovrebbe essere efficace nel ridurre la quantità di traffico di rete inviato dal sensore al sistema centrale di analisi", ha affermato Sidney Smith, ricercatore di ARL e autore principale dello studio. "In definitiva, questa strategia potrebbe essere utilizzata per aumentare l'affidabilità e la sicurezza delle reti dell'esercito".

Per la fase successiva, i ricercatori desiderano integrare questa tecnica con le tecniche di classificazione di rete e compressione senza perdita di dati per ridurre la quantità di traffico che deve essere trasmessa ai sistemi di analisi centrale a meno del 10% del volume di traffico originale, perdendo non più di 1 % di avvisi di sicurezza informatica.

"Il futuro del rilevamento delle intrusioni è nell'apprendimento automatico e in altre tecniche di intelligenza artificiale", ha affermato Smith. "Tuttavia, molte di queste tecniche sono troppo dispendiose in termini di risorse per l'esecuzione sui sensori remoti e tutte richiedono una grande quantità di dati. Un sistema di sicurezza informatica che incorpora la nostra tecnica di ricerca consentirà di raccogliere i dati più probabili maliziosi per ulteriori analisi ".

Sorgente:

Materiali forniti da US Army Research Laboratory .


Torna ai contenuti