Дайджест. 2024 / 07
Добро пожаловать в очередной выпуск ежемесячного сборника материалов, который является вашим универсальным ресурсом для получения информации о самых последних разработках, аналитических материалах и лучших практиках в постоянно развивающейся области безопасности. В этом выпуске мы подготовили разнообразную подборку статей, новостей и результатов исследований, рассчитанных как на профессионалов, так и на обычных любителей. Цель нашего дайджеста - сделать наш контент интересным и доступным. Приятного чтения
Подробный разбор: PDF
A. Предвзятость Искусственного Интеллекта. Даже Роботы могут быть сексистами
Кибербезопасность традиционно рассматривалась через техническую призму, уделяя особое внимание защите систем и сетей от внешних угроз, что игнорирует человеческий фактор, особенно дифференцированное воздействие киберугроз на различные группы. Различные представители групп часто сталкиваются с уникальными киберугрозами, такими как онлайн-преследование, доксинг и злоупотребления с использованием технологий, которые преуменьшаются в традиционных моделях угроз.
Недавние исследования и политические дискуссии начали признавать важность включения гендерных аспектов в кибербезопасность. Например, Рабочая группа открытого состава ООН (OEWG) по ICT подчеркнула необходимость учёта гендерной проблематики при внедрении кибернорм и наращивании гендерно-ориентированного потенциала. Аналогичным образом, структуры, разработанные такими организациями, как Ассоциация прогрессивных коммуникаций (APC), предоставляют рекомендации по созданию гендерно-ориентированной политики кибербезопасности.
Человекоцентричная безопасность отдаёт приоритет решению проблем поведения человека в контексте кибербезопасности и предлагает подход к интеграции гендерных аспектов. Сосредоточив внимание на психологических и интерактивных аспектах безопасности, модели, ориентированные на человека, направлены на создание культуры безопасности, которая расширяет возможности отдельных лиц, уменьшает человеческие ошибки и эффективно снижает киберриски.
УСПЕШНЫЕ ТЕМАТИЧЕСКИЕ ИССЛЕДОВАНИЯ МОДЕЛЕЙ ГЕНДЕРНЫХ УГРОЗ В ДЕЙСТВИИ
📌 Обнаружение онлайн-преследований. Платформа социальных сетей внедрила систему на основе искусственного интеллекта для обнаружения и смягчения последствий онлайн-преследований. Согласно UNIDIR использовано NLP для анализа текста на предмет ненормативной лексики и анализа настроений для выявления домогательств, отметив значительное сокращение случаев преследования и повышении удовлетворённости пользователей.
📌 Предотвращение доксинга: разработана модель для обнаружения попыток доксинга путём анализа закономерностей доступа к данным и их совместного использования. Согласно UNIDIR модель использовала контролируемое обучение для классификации инцидентов доксинга и оповещения пользователе, что позволило увеличить на 57% количество случаев обнаружения попыток доксинга и сокращении на 32% число успешных инцидентов.
📌 Обнаружение фишинга с учётом гендерного фактора: Финансовое учреждение внедрило систему обнаружения фишинга, включающую тактику фишинга с учётом пола. Согласно UNIDIR использованы модели BERT, для анализа содержимого электронной почты на предмет и эмоциональных манипуляций и гендерно-ориентированного язык, снизило количество кликов по фишинговым сообщениям на 22% и увеличило количество сообщений о попытках фишинга на 38%.
ВЛИЯНИЕ ГЕНДЕРНЫХ ПРЕДПОЛОЖЕНИЙ В АЛГОРИТМАХ НА КИБЕРБЕЗОПАСНОСТЬ
📌 Поведенческие различия: исследования показали значительные различия в поведении в области кибербезопасности между мужчинами и женщинами. Женщины часто более осторожны и могут применять иные методы обеспечения безопасности по сравнению с мужчинами.
📌 Восприятие и реакция: Женщины и мужчины по-разному воспринимают угрозы безопасности и реагируют на них. Женщины уделяют приоритетное внимание различным аспектам безопасности, таким как конфиденциальность и защита от преследований, в то время как мужчины могут больше сосредоточиться на технической защите.
📌 Содействие гендерному разнообразию: Инклюзивность может повысить общую эффективность области так как разнообразные команды привносят разные точки зрения и лучше подготовлены к борьбе с широким спектром угроз.
📌 Данные с разбивкой по полу. Сбор и анализ данных с разбивкой по полу имеет решающее значение для понимания различного воздействия киберугроз на различные гендерные группы. Эти данные могут стать основой для более эффективной и инклюзивной политики кибербезопасности.
📌 Укрепление гендерных стереотипов: Алгоритмы, обученные на предвзятых наборах данных, могут укрепить существующие гендерные стереотипы. Модели машинного обучения, используемые в сфере кибербезопасности, наследуют предвзятость данных, на которых они обучаются, что приводит к гендерным допущениям в механизмах обнаружения угроз и реагирования на них.
📌 Некорректная гендерная ориентация: Платформы соцсетей и другие онлайн-сервисы используют алгоритмы для определения атрибутов пользователя, включая пол, бывают неточными, что приводит к нарушению конфиденциальности.
📌 Гендерные последствия киберугроз: Традиционные угрозы кибербезопасности, такие как атаки типа «отказ в обслуживании», могут иметь гендерные последствия в виде дополнительных проблем безопасности и целенаправленными атаками, которые часто упускаются из виду в гендерно-нейтральных моделях угроз.
📌 Предвзятость в обнаружении угроз и реагировании на них . Автоматизированные системы обнаружения угроз, такие как фильтры электронной почты и симуляции фишинга, могут включать гендерные предположения. Например, симуляции фишинга часто связаны с гендерными стереотипами, что может повлиять на точность и эффективность этих мер безопасности.
B. Модель зрелости. Когда даже безопасника необходимо повзрослеть
В документе представлен анализ модели зрелости Essential Eight, разработанной Австралийским центром кибербезопасности для усиления безопасности в организациях. Анализ охватывает различные аспекты модели, включая её структуру, проблемы внедрения и преимущества достижения различных уровней зрелости.
Анализ предлагает ценную информацию о её применении и эффективности. Этот анализ полезен специалистам по безопасности, ИТ-менеджерам и лицам, принимающим решения в различных отраслях с целью эффективного способа защиты организации от угроз и усиления мер безопасности.
подробные рекомендации и информацию для предприятий и государственных структур по внедрению и оценке методов обеспечения кибербезопасности.
📌 Цель и аудитория: разработан для оказания помощи малому и среднему бизнесу, крупным организациям и государственным структурам в повышении их уровня кибербезопасности.
📌 Обновления контента: впервые опубликовано 16 июля 2021 года и регулярно обновляется, последнее обновление от 23 апреля 2024 года и информация остаётся актуальной и отражает новейшие методы обеспечения кибербезопасности и угрозы.
📌 Доступность ресурсов: доступен в виде загружаемого файла под названием «Модель зрелости PROTECT — Essential Eight», что делает его доступным для автономного использования и простого распространения в организациях.
📌 Механизм обратной связи: использование пользовательских отзывов указывает на постоянные усилия по улучшению ресурса на основе пользовательского вклада.
📌 Дополнения: страница http://cyber.gov.au также предлагает ссылки для сообщения об инцидентах кибербезопасности, особенно для критически важной инфраструктуры, и для подписки на оповещения о новых угрозах, подчёркивая упреждающий подход к кибербезопасности.
Подчёркивается упреждающий, основанный на учёте рисков подход к безопасности, отражающий меняющийся характер угроз и важность поддержания сбалансированного и всеобъемлющего подхода к безопасности
📌 Кибер-восьмёрка: восемь стратегий смягчения последствий, рекомендуемых организациям для внедрения в качестве основы для защиты от кибер-угроз. Этими стратегиями являются управление приложениями, исправление приложений, настройка параметров макросов Microsoft Office, защита пользовательских приложений, ограничение прав администратора, обновление операционных систем, многофакторная аутентификация и регулярное резервное копирование.
📌 Цель внедрения: внедрение рассматривается как упреждающая мера, которая является более рентабельной с точки зрения времени, денег и усилий по сравнению с реагированием на крупномасштабный инцидент кибербезопасности.
📌 Модель зрелости: модель помогает организациям внедрять её поэтапно, исходя из различных уровней профессионализма и целевой направленности.
📌 Причина обновлений: обновление модели происходит для поддержания актуальности и практичности и основаны на развитии технологий вредоносного ПО, разведданных о кибер-угрозах и отзывах участников мероприятий по оценке и повышению эффективности модели.
📌 Последние обновления: последние обновления включают рекомендации по использованию автоматизированного метода обнаружения активов не реже двух раз в неделю и обеспечению того, чтобы сканеры уязвимостей использовали актуальную базу данных уязвимостей.
Обновление и внедрение модели зрелости
📌 Переопределение уровней зрелости: Обновление от июля 2021 года переопределило количество уровней зрелости и перешло к более жёсткому подходу к реализации, основанному на учёте рисков. Повторно введён Нулевой уровень зрелости, чтобы обеспечить более широкий диапазон рейтингов уровня зрелости.
📌 Риск-ориентированный подход: В модели теперь делается упор на риск-ориентированный подход, при котором учитываются такие обстоятельства, как устаревшие системы и техническая задолженность. Отказ от реализации всех стратегий смягчения последствий, где это технически возможно, обычно считается Нулевым уровнем зрелости.
📌 Комплексное внедрение: Организациям рекомендуется достичь согласованного уровня зрелости по всем восьми стратегиям смягчения последствий, прежде чем переходить к более высокому уровню зрелости. Этот подход направлен на обеспечение более надёжного базового уровня, чем достижение более высоких уровней зрелости в нескольких стратегиях в ущерб другим.
📌 Изменения в управлении приложениями: для всех уровней зрелости введены дополнительные типы исполняемого содержимого, а первый уровень зрелости был обновлён, чтобы сосредоточиться на использовании прав доступа к файловой системе для предотвращения
C. Человеческий фактор и геймификация биокибернетической безопасности
В статье «Human Factors in Biocybersecurity Wargames» подчёркивается необходимость понимания уязвимостей при обработке биологических препаратов и их пересечения с кибернетическими и киберфизическими системами. Это понимание необходимо для обеспечения целостности продукта и бренда и обслуживания ИТ-систем.
📌 Био-обработка охватывает весь жизненный цикл биосистем и их компонентов, от начальных исследований до разработки, производства и коммерциализации.
📌 Она вносит значительный вклад в мировую экономику, применяясь в производстве продуктов питания, топлива, косметики, лекарств и экологически чистых технологий.
Уязвимость трубопроводов для биопереработки:
📌 Конвейер био-обработки подвержен атакам на различных этапах, особенно там, где оборудование для био-обработки подключено к Интернету.
📌 Уязвимости требуют тщательного контроля при проектировании и мониторинге трубопроводов для биопереработки для предотвращения воздействий.
Роль информационных технологий (ИТ):
📌 Прогресс в био-обработке все больше зависит от автоматизации и передовых алгоритмических процессов, требующих значительного участия ИТ.
📌 Расходы на ИТ значительны и растут параллельно с ростом био-обработки.
📌 Внедрение open-source методологий привело к значительному росту развития коммуникаций и цифровых технологий во всем мире.
📌 Этот рост ещё более ускоряется благодаря достижениям в области биологических вычислений и технологий хранения данных.
📌 Интеграция технологий биокомпьютинга, био-обработки и хранения данных потребует новых знаний в области эксплуатации (взлома), защиты.
📌 Основные меры защиты данных и процессов остаются критически важными, несмотря на технический прогресс.
📌 Для управления инфраструктурой био-обработки и обеспечивать её безопасность, ИТ необходимо использовать игры для моделирования возможных рисков и устранения их последствий.
📌 Симуляции направлены на подготовку организаций к устранению уязвимостей.
D. Уязвимость CVE-2024-21111. Послевкусие
документ содержит анализ CVE-2024–2111, уязвимости в Oracle VM VirtualBox, влияющей на хосты Windows. Анализ охватывает различные аспекты уязвимости, включая её технические детали, механизмы использования, потенциальное воздействие на различные отрасли.
Этот документ содержит высококачественное описание уязвимости, предлагая ценную информацию специалистам по безопасности и другим заинтересованным сторонам из различных отраслей. Анализ полезен для понимания рисков, связанных с CVE-2024–2111, и внедрения эффективных мер по защите систем от потенциальных атак.
CVE-2024-2111 — это уязвимость системы безопасности, выявленная в Oracle VM VirtualBox, которая, в частности, затрагивает хосты Windows и присутствует в версиях до версии 7.0.16. Это позволяет злоумышленнику с низкими привилегиями, имеющему доступ для входа в систему, к инфраструктуре, где выполняется Oracle VM VirtualBox, потенциально захватить системую Конкретный технический механизм включает локальное повышение привилегий посредством перехода по символической ссылке, что может привести к произвольному удалению и перемещению файла.
📌 Тип уязвимости: локальное повышение привилегий (LPE) позволяет злоумышленнику с низкими привилегиями, у которого уже есть доступ к системе, получить более высокие привилегии.
📌 Вектор атаки и сложность: Вектор CVSS 3.1 для этой уязвимости равен (CVSS: 3.1/AV: L/AC: L/PR: L/ UI: N/ S: U/C: H/I: H /A: H). Это указывает на то, что вектор атаки локальный (AV: L), что означает, что злоумышленнику необходим локальный доступ к хосту. Сложность атаки низкая (AC: L), и никакого взаимодействия с пользователем (UI: N) не требуется. Требуемые привилегии невелики (PR: L), что предполагает, что базовые привилегии позволяют воспользоваться этой уязвимостью.
📌 Воздействие: Все показатели воздействия на конфиденциальность, целостность и доступность оцениваются как высокие (C: H/I: H/A: H), что указывает на то, что эксплойт может привести к полному нарушению конфиденциальности, целостности и доступности уязвимой системы.
📌 Способ эксплуатации: Уязвимость реализуется атакой с символическими ссылкам (symlink). Это включает в себя манипулирование ссылками для перенаправления операций, предназначенных для легитимных файлов или каталогов, на другие подконтрольные цели, приводя к произвольному удалению или перемещению файла, и позволяя выполнять произвольный код с привилегиями.
📌 Конкретный механизм: Уязвимость конкретно связана с манипуляциями с файлами журналов системной службой VirtualBox (VboxSDS). Служба, работающая с системными привилегиями, управляет файлами журнала в каталоге, не имеющими строгого контроля доступа, что потенциально приводит к повышению привилегий. Служба выполняет операции переименования / перемещения файлов рекурсивно, что позволяет этим злоупотреблять.
📌 Меры по устранению этой уязвимости: Пользователям рекомендуется обновить свои установки Oracle VM VirtualBox до версии 7.0.16 или более поздней, которая содержит необходимые исправления для устранения этой уязвимости
E. Когда велоцирапторы встречаются с виртуальными машинами. Криминалистическая сказка
В документе представлен комплексный анализ криминалистики с использованием инструмента Velociraptor. Анализ посвящён различным аспектам криминалистики, специфичных, которые имеют значение для поддержания целостности и безопасности виртуализированных серверных инфраструктур. Рассматриваемые ключевые аспекты включают методологии извлечения данных, анализ журналов и выявление атак на виртуальных машинах ESXi.
Анализ особенно полезен специалистам по безопасности, ИТ-криминалистам и другим специалистам из различных отраслей, которым поручено расследование нарушений безопасности в виртуализированных средах и устранение их последствий.
В документе описывается применение Velociraptor, инструмента криминалистики и реагирования на инциденты, для проведения криминалистического анализа в виртуализированных средах. Использование Velociraptor в этом контексте предполагает фокус на методах, адаптированных к сложностям виртуализированных серверных инфраструктур
📌 Методологии извлечения данных: рассматриваются методы извлечения данных из систем ESXi, что важно для криминалистики после инцидентов безопасности.
📌 Анализ журналов: включает процедуры проверки журналов ESXi, которые могут выявить несанкционированный доступ или другие действия.
📌 Идентификация вредоносных действий: перед анализом артефактов и журналов в документе описываются методы идентификации и понимания характера вредоносных действий, которые могли иметь место в виртуальной среде.
📌 Использование криминалистике: подчёркивает возможности Velociraptor в решении сложных задач, связанных с системами ESXi, что делает его ценным инструментом для forensics-аналитиков.
Анализ полезен для различных специалистов в области кибербезопасности и информационных технологий:
📌 ИБ-специалисты: для понимания потенциальных уязвимостей и точек входа для нарушений безопасности в виртуализированных средах.
📌 Forensics-аналитики: предоставляет методологии и инструменты, необходимые для проведения тщательных расследований в средах VMware ESXi.
📌 ИТ-администраторы: специалисты по проактивному мониторингу и защите виртуализированных сред от потенциальных угроз.
📌 Отрасли, использующие VMware ESXi, предоставляют информацию об обеспечении безопасности виртуализированных сред и управлении ими, что крайне важно для поддержания целостности и безопасности бизнес-операций.
VMWARE ESXI: СТРУКТУРА И АРТЕФАКТЫ
📌 Bare-Metal гипервизор: VMware ESXi — это Bare-Metal гипервизор, широко используемый для виртуализации информационных систем, часто содержащий критически важные компоненты, такие как серверы приложений и Active Directory.
📌 Операционная система: работает на ядре POSIX под названием VMkernel, которое использует несколько утилит через BusyBox. В результате получается UNIX-подобная организация файловой системы и иерархия.
📌 Артефакты криминалистики: с точки зрения криминалистики, VMware ESXi сохраняет типичные системные артефакты UNIX / Linux, такие как история командной строки и включает артефакты, характерные для его функций виртуализации.
F. MalPurifier. Детокс вашего андроид устройства по одному вредоносному байту за раз
В документе представлен анализ статьи " MalPurifier: Enhancing Android Malware Detection with Adversarial Purification against Evasion Attacks». Анализ посвящён различным аспектам статьи, включая используемую методологию, экспериментальную установку и полученные результаты.
Этот анализ представляет собой качественное изложение документа, предлагающее ценную информацию специалистам в области безопасности, исследователям и практикам в различных областях. Понимая сильные стороны и ограничения платформы MalPurifier, заинтересованные стороны смогут лучше оценить её потенциальные применения и вклад в совершенствование систем обнаружения вредоносных программ Android. Анализ особенно полезен для тех, кто занимается кибербезопасностью, машинным обучением и безопасностью мобильных приложений, поскольку в нем освещаются инновационные подходы к снижению рисков, связанных с атаками с целью предотвращения обнаружения.
В документе под названием «MalPurifier: Enhancing Android Malware Detection with Adversarial Purification against Evasion Attacks» представлен новый подход к улучшению обнаружения вредоносных программ для Android, особенно в условиях состязательных атак уклонения (adversarial evasion attacks). В документе подчёркивается, что это первая попытка использовать состязательную очистку для смягчения атак в экосистеме Android, предоставляя многообещающее решение для повышения безопасности систем обнаружения вредоносных программ Android.
📌 Распространённость вредоносного ПО для Android: В документе освещается широко распространённая проблема вредоносного ПО для Android, которое представляет значительные угрозы безопасности для пользователей и устройств.
📌 Методы уклонения: часто используются методы уклонения для модификации вредоносных программ, что затрудняет их идентификацию традиционными системами обнаружения.
📌 Состязательные атаки: обсуждаются проблемы, связанные с состязательными атаками, когда небольшие изменения кода вредоносных программ позволяют избежать обнаружения.
📌 Уязвимости системы обнаружения: Существующие системы обнаружения вредоносных программ уязвимы для этих состязательных атак, что требует более надёжных решений.
📌 Повышение надёжности обнаружения: цель исследования — повышение устойчивость систем обнаружения вредоносных программ Android к атакам с использованием состязательного уклонения.
📌 Предлагаемое решение: MalPurifier, направлено на очистку мусора в образцах и восстановление вредоносного ПО до обнаруживаемой формы.
📌 Используемые методы: В системе используются такие методы, как автокодирование и генеративные состязательные сети (GAN) для процесса очистки.
Техники, используемые при атаках уклонения:
📌 Образцы состязательности: часто используются методы уклонения для модификации вредоносных программ, что затрудняет их идентификацию традиционными системами обнаружения.
📌 Обфусцирование: Такие методы, как шифрование кода, упаковка и полиморфизм, используются для изменения внешнего вида вредоносного ПО без изменения его функциональности.
📌 Улучшенная безопасность: Расширяя возможности систем обнаружения вредоносных программ, MalPurifier стремится обеспечить лучшую безопасность устройств Android.
📌 Вклад в исследование: Статья вносит свой вклад, устраняя пробел в надёжных решениях для обнаружения вредоносных программ, способных противостоять злоумышленным атакам.
📌 Высокая точность: MalPurifier демонстрирует высокую эффективность, достигая точности более 90,91% при 37 различных атаках. Это указывает на высокую производительность при обнаружении вредоносных программ.
📌 Масштабируемость: Метод легко масштабируется для различных моделей обнаружения, обеспечивая гибкость и надёжность в его реализации, не требуя значительных модификаций.
📌 Лёгкий и гибкий: Использование модели с шумоподавляющим автоэнкодером (Denoising AutoEncoder, DAE) обеспечивает лёгкий и гибкий подход к очистке от вредоносного ПО. Это гарантирует, что метод может быть интегрирован в существующие системы с минимальными накладными расходами.
📌 Комплексная защита: Уделяя особое внимание очистке от вредоносных программ, MalPurifier устраняет критическую уязвимость в системах обнаружения вредоносных программ на основе ML, повышая их общую безопасность и устойчивость к изощренным методам уклонения.
📌 Обобщение на другие платформы: Текущая реализация и оценка сосредоточены исключительно на экосистеме Android. Эффективность MalPurifier на других платформах, таких как iOS или Windows, остаётся непроверенной и неопределённой.
📌 Проблемы с масштабируемостью: хотя в документе утверждается о масштабируемости, фактическая производительность и действенность MalPurifier в крупномасштабных сценариях обнаружения в реальном времени тщательно не оценивались. Это вызывает вопросы о практической применимости в средах с соответствующими сценариями нагрузки.
📌 Вычислительные издержки: Процесс очистки приводит к дополнительным вычислительным издержкам. Несмотря на то, что он описывается как лёгкий, его влияние на производительность системы, особенно в средах с ограниченными ресурсами требует дальнейшего изучения.
📌 Адаптация к состязательности: могут разрабатываться новые стратегии для адаптации к процессу очистки, потенциально обходя средства защиты, предоставляемые MalPurifier. Постоянная адаптация и совершенствование методов необходимы для своевременного опережения угроз.
📌 Показатели оценки: Оценка в первую очередь фокусируется на точности обнаружения и устойчивости к атакам уклонения. Другие важные показатели, такие как потребление энергии, опыт работы с пользователем и долгосрочная эффективность, не учитываются, что ограничивает полноту оценки.
📌 Интеграция с существующими системами: В документе подробно не обсуждается интеграция MalPurifier с существующими системами обнаружения вредоносных программ и потенциальное влияние на их производительность. Необходимы бесшовные стратегии интеграции и комбинированные оценки эффективности
📌 Прогресс в обнаружении вредоносных программ: MalPurifier представляет собой значительный технологический прогресс в области обнаружения вредоносных программ. Используя методы состязательной очистки, он повышает устойчивость систем обнаружения вредоносных программ Android к атакам-уклонениям. Это нововведение может привести к разработке более безопасных и надёжных инструментов обнаружения вредоносных программ.
📌 Механизмы защиты от состязательности: Статья вносит вклад в более широкую область состязательного машинного обучения, демонстрируя эффективность состязательной очистки. Метод может быть адаптирован к другим областям кибербезопасности, таким как обнаружение сетевых вторжений и защита конечных точек, повышая общую устойчивость систем к новым атакам.
📌 Приложения для машинного обучения: Использование шумоподавляющих автоэнкодеров (DAE) и генеративных состязательных сетей (GAN) в MalPurifier демонстрирует потенциал передовых моделей машинного обучения в приложениях кибербезопасности. Это может вдохновить на дальнейшие исследования и разработки по применению этих моделей к другим задачам безопасности, таким как обнаружение фишинга и предотвращение мошенничества.
📌 Повышенная безопасность мобильных устройств: Отрасли, которые в значительной степени зависят от мобильных устройств, такие как здравоохранение, финансы и розничная торговля, могут извлечь выгоду от применения MalPurifier, как следствие, могут лучше защищать конфиденциальные данные и поддерживать целостность мобильных приложений.
📌 Снижение числа инцидентов, связанных с кибербезопасностью: Внедрение надёжных систем обнаружения вредоносных программ, таких как MalPurifier, может привести к сокращению инцидентов кибербезопасности, таких как утечка данных и атаки программ-вымогателей, а также значительной экономии средств для бизнеса и снижению вероятности репутационного ущерба.
📌 Преимущества соблюдения нормативных требований: Расширенные возможности обнаружения вредоносных программ могут помочь организациям соблюдать нормативные требования, связанные с защитой данных и кибербезопасностью. Например, отрасли, подпадающие под действие таких нормативных актов, как GDPR или HIPAA, могут использовать MalPurifier для обеспечения соответствия строгим стандартам безопасности.
📌 Инновации в продуктах кибербезопасности: Компании, занимающиеся кибербезопасностью, могут внедрять методы, представленные в документе, в свои продукты, что приведёт к разработке решений безопасности следующего поколения для повышения конкурентного преимущества на рынке и стимулировать инновации в индустрии кибербезопасности.
📌 Межотраслевые приложения: хотя в статье основное внимание уделяется обнаружению вредоносных Android-программ, основополагающие принципы состязательной очистки могут применяться в различных отраслях. Такие секторы, как производство, государственное управление и транспорт, которые также подвержены воздействию вредоносных программ, могут адаптировать эти методы для усиления своих мер кибербезопасности.
G. Использование моделей энергопотребления для обнаружения кибератак в системах Интернета вещей
Интернета вещей (IoT) произвело революцию в различных аспектах современной жизни, от домашней автоматизации до промышленных систем управления. Однако этот технологический прогресс также породил новые проблемы, особенно в области кибербезопасности. Одной из важнейших проблем является потребление энергии интеллектуальными устройствами во время кибератак, что может иметь далеко идущие последствия для производительности устройств, долговечности и общей устойчивости системы.
Кибератаки на устройства Интернета вещей (DDoS, заражение вредоносными программами, ботнеты, программы-вымогатели, ложное внедрение данных, атаки с использованием энергопотребления и атаки на крипто-майнинг) могут существенно повлиять на структуру энергопотребления скомпрометированных устройств, приводя к аномальным скачкам, отклонениям или чрезмерному энергопотреблению.
Мониторинг и анализ данных о потреблении энергии стали уникальным подходом для обнаружения этих кибератак и смягчения их последствий. Устанавливая базовые показатели для нормальных моделей использования энергии и используя методы обнаружения аномалий, можно выявить отклонения от ожидаемого поведения, потенциально указывающие на наличие злонамеренных действий. Алгоритмы машинного обучения продемонстрировали эффективные возможности в обнаружении аномалий и классификации типов атак на основе показателей энергопотребления.
Важность решения проблемы энергопотребления во время кибератак многогранна. Во-первых, это позволяет своевременно обнаруживать потенциальные угрозы и реагировать на них, смягчая последствия атак и обеспечивая непрерывную функциональность критически важных систем. Во-вторых, это способствует общему сроку службы и производительности устройств Интернета вещей, поскольку чрезмерное потребление энергии может привести к перегреву, снижению эффективности работы и сокращению срока службы устройства. В-третьих, это имеет экономические и экологические последствия, поскольку повышенное потребление энергии приводит к более высоким эксплуатационным расходам и потенциально большему выбросу углекислого газа, особенно при масштабном внедрении Интернета вещей.
Кроме того, интеграция устройств Интернета вещей в критически важную инфраструктуру (интеллектуальные сети, промышленные системы управления и системы здравоохранения) повышает важность решения проблемы энергопотребления во время атак. Скомпрометированные устройства могут нарушить баланс и работу целых систем, что приведёт к неэффективности, потенциальным перебоям в обслуживании и даже проблемам безопасности.
📌 Обнаружение кибератак и реагирование на них: Мониторинг структуры энергопотребления устройств Интернета вещей может служить эффективным методом обнаружения кибератак. Аномальное потребление энергии может указывать на наличие вредоносных действий, таких как распределённые атаки типа «отказ в обслуживании» (DDoS), которые могут перегружать устройства и сети, приводя к увеличению потребления энергии. Анализируя показатели энергопотребления, можно обнаруживать кибератаки и реагировать на них с высокой эффективностью, потенциально на уровне около 99,88% для обнаружения и около 99,66% для локализации вредоносного ПО на устройствах Интернета вещей.
📌 Влияние на производительность и долговечность устройства: Атаки могут значительно увеличить энергопотребление умных устройств, что, в свою очередь, может повлиять на их производительность и долговечность. Например, чрезмерное потребление энергии может привести к перегреву, снижению эффективности работы и, в долгосрочной перспективе, сократить срок службы устройства. Это особенно касается устройств, которые являются частью критически важной инфраструктуры или тех, которые предоставляют основные услуги.
📌 Влияние уязвимостей: Последствия уязвимостей несут проблемы как для отдельных пользователей, так и для организаций. Кибератаки на устройства Интернета вещей могут привести к нарушениям конфиденциальности, финансовым потерям и сбоям в работе. Например, атака ботнета Mirai в 2016 году продемонстрировала потенциальный масштаб и влияние DDoS-атак на основе Интернета вещей, которые нарушили работу основных онлайн-сервисов за счёт использования небезопасных устройств Интернета вещей.
📌 Экономические и экологические последствия: Увеличение энергопотребления умных устройств во время атак имеет как экономические, так и экологические последствия. С экономической точки зрения это может привести к увеличению эксплуатационных расходов для предприятий и потребителей из-за увеличения счётов за электроэнергию. С экологической точки зрения чрезмерное потребление энергии способствует увеличению выбросов углекислого газа, особенно если энергия поступает из невозобновляемых ресурсов. Этот аспект имеет решающее значение в контексте глобальных усилий по сокращению выбросов углекислого газа и борьбе с изменением климата.
📌 Проблемы энергоэффективности: Несмотря на преимущества, умные дома сталкиваются со значительными проблемами с точки зрения энергоэффективности. Непрерывная работа устройств могут привести к высокому потреблению энергии. Для решения этой проблемы IoT предоставляет инструменты для управления энергопотреблением, такие как интеллектуальные термостаты, системы освещения и энергоэффективные приборы. Эти инструменты оптимизируют потребление энергии в зависимости от загруженности помещений, погодных условий и предпочтений пользователей, значительно сокращая потери энергии и снижая счёта за электроэнергию.
📌 Проблемы, связанные с интеллектуальными сетями и энергетическими системами:
Интеллектуальные устройства все чаще интегрируются в интеллектуальные сети и энергетические системы, где они играют решающую роль в управлении энергией и её распределении. Кибератаки на эти устройства могут нарушить баланс и работу всей энергетической системы, что приведёт к неэффективности, потенциальным отключениям электроэнергии и поставит под угрозу энергетическую безопасность. Поэтому решение проблемы энергопотребления интеллектуальных устройств во время кибератак жизненно важно для обеспечения стабильности и надёжности интеллектуальных сетей.
H. Взлом клятвы Гиппократа. Криминалистическая забава с медицинским Интернетом вещей
Быстрое внедрение Интернета вещей в отрасли здравоохранения, известного как Интернет медицинских вещей (IoMT), произвело революцию в уходе за пациентами и медицинских операциях. Устройства IoMT, такие как имплантируемые медицинские устройства, носимые медицинские мониторы и интеллектуальное больничное оборудование, формируют и передают огромные объёмы конфиденциальных данных по сетям.
Основными задачами forensics-анализа IoMT устройств:
📌 Реагирование на инциденты: Быстрое реагирование на инциденты путём определения источника, масштабов и последствий атаки, и сбора доказательств.
📌 Сбор доказательств: Разработка специализированных методов получения и сохранения цифровых доказательств с устройств, сетей и облачных систем IoMT при сохранении целостности данных.
📌 Анализ данных: Анализ собранных данных, включая сетевой трафик, журналы устройств и показания датчиков для реконструкции событий, приведших к инциденту, и определения векторов атак.
📌 Анализ угроз: использование информации, полученной в ходе исследований для улучшения анализа угроз, улучшения мер безопасности и предотвращения атак.
Криминалистика медицинских сетей Интернета вещей требует междисциплинарного подхода, сочетающего опыт forensics-анализа, кибербезопасности, особенностей сектора здравоохранения и технологий Интернета вещей. Forensics-исследователи должны ориентироваться в сложностях систем IoMT, включая неоднородность устройств, ограниченность ресурсов, проприетарные протоколы, сохранение конфиденциальности данных.