RAIN systeem maakt ‘terugspoelen’ van cyberaanval mogelijk
Een nieuw systeem maakt het mogelijk na een cyberaanval de acties van de aanvallers zeer nauwkeurig in kaart te brengen, ook als de aanvallers hebben geprobeerd hun sporen te wissen. Hierdoor kunnen onderzoekers sneller en nauwkeuriger vaststellen hoe aanvallers een bedrijfsnetwerk hebben weten binnen te dringen.
Het systeem heet Refinable Attack INvestigation (RAIN) en is ontwikkeld door het Amerikaanse Georgia Institute of Technology (Georgia Tech). “Je kunt teruggaan en ontdekken wat er fout is gegaan in uw systeem, niet alleen op het moment waarop u ontdekt dat iets fout is, maar ook ver genoeg om te achterhalen hoe de aanvaller het systeem is binnengedrongen en wat hij heeft gedaan”, legt Wenke Lee, mededirecteur van het Institute for Information Security & Privacy van Georgia Tech.
Systeem continu monitoren
Het RAIN systeem monitort een systeem continu en legt gebeurtenissen die potentieel interessant zijn automatisch vast. Door deze selectie is het mogelijk alle relevante informatie over een aanval te verzamelen, zonder dat hiervoor enorm veel rekenkracht en opslagruimte nodig is. De onderzoekers stellen dat het systeem in staat is ongerelateerde processen te doorzoeken en verbanden met een potentiële aanval vast te leggen met een minimale foutmarge.
Het onderzoeken van een cyberaanval is tot nu toe in belangrijke mate een handmatig proces, dat veel tijd in beslag neemt. Het RAIN systeem automatiseert dit proces in belangrijke mate door zelfstandig relevante informatie aan elkaar te koppelen en deze data vervolgens doorzoekbaar te maken. Dit stelt onderzoekers in staat te zoeken naar specifieke gebeurtenissen of handelingen van aanvallers en zo een beter beeld te krijgen van de uitgevoerde cyberaanval.
Aanval terugspoelen
“Gedurende het terugspoelen van een gebeurtenis gebruiken we binaire dynamische instrumentatietools om de juiste informatie te extraheren”, legt Taescoo Kim, assistent-professor van de Georgia Tech’s School of Computer Science en betrokken bij een onderzoekspaper over RAIN, uit. “We organiseren informatie op een hiërarchische manier en passen op iedere laag een ander soort geautomatiseerde analyse toe. Op de diepste laag kunnen we vertellen wat er op byte-niveau gebeurde.”
Kim benadrukt dat RAIN nog steeds een significante hoeveelheid opslagruimte vereist op alle relevante informatie op te slaan. Zo genereert een gemiddeld desktopsysteem al snel vier gigabyte aan systeemdata per dag, wat neerkomt op minder dan twee terabytes aan data per jaar. Kim wijst erop dat een dergelijke hoeveelheid opslagruimte beschikbaar is vanaf zo’n 50 dollar per jaar.
Meer informatie is te vinden op de website van Georgia Tech.
Meer over
Lees ook
Global Conference on Cyberspace kost 15 miljoen euro
In Den Haag staat op 16 en 17 april de Global Conference on Cyberspace (GCCS) op de planning. De GCCS is een grote internationale conferentie over cybersecurity waar naar verwachting zo’n 1.200 tot 1.500 deelnemers op af komen. Naast een flink aantal ministers zullen ook topmensen van grote IT-bedrijven als Google op de conferentie aanwezig zijn.1
Nieuwe Amerikaanse overheidsdienst moet informatiedeling van cyberdreigingen optimaliseren
Een nieuwe overheidsdienst gaat zich in de Verenigde Staten specifiek richten op digitale dreigingen. De dienst wordt tussen andere overheidsdiensten waaronder inlichtingendiensten geplaatst en moet gaan zorgen dat informatie optimaal wordt gedeeld. Dit moet helpen cyberdreigingen eerder te identificeren. De nieuwe dienst heet het Cyber Threat Int1
‘Internet of Things zorgt in 2014 voor nieuwe mobiele toepassingen en grotere cybersecurity uitdagingen’
Bedrijven krijgen het komend jaar te maken met grotere uitdagingen op het gebied van cybersecurity, nu het gebruik van mobiele apparatuur en applicaties en het zakelijk gebruik van het Internet of Things sneller toenemen dan het vermogen van organisaties om hun bedrijfskritische data te beschermen. Dit voorspelt Unisys. “Omdat steeds meer producte1