В этом году Facebook присудил Премию защиты Интернета в размере 100 000 долларов группе исследователей из Калифорнийского университета в Беркли, которые разработали новый метод обнаружения целевых фишинговых атак в тщательно контролируемых корпоративных сетях.
Исследовательская группа из пяти человек сосредоточила свои усилия на обнаружении только целевых фишинговых атак, а не спама или других типов угроз, связанных с электронной почтой.
Команда-победитель создала DAS
Они сделали это, создав систему под названием DAS (Directed Anomaly Scoring), которая обнаруживает необычные закономерности в сообщениях электронной почты.
Они обучили DAS, проанализировав 370 миллионов писем от одного крупного предприятия с тысячами сотрудников, отправленных в период с марта 2013 года по январь 2017 года.
Исследователи настроили DAS на использование ряда факторов для оценки вновь полученных писем. Они включали оценку репутации домена отправителя и оценку репутации отправителя, но также анализировали журналы SMTP, NIDS и LDAP, просматривая входы с новых IP-адресов, общее количество входов на одного сотрудника, периоды бездействия и другие.
Посмотрев на эти факторы, DAS смог обнаружить поддельные адреса, поддельные имена отправителей, а также боковые атаки со взломанных учетных записей коллег.
DAS обнаружил 17 из 19 писем с целевым фишингом
«Из 19 атак с целевым фишингом нашему детектору не удалось обнаружить 2 атаки», – сообщила исследовательская группа.
«Наш детектор [также] достиг среднего показателя ложных срабатываний 0,004%», – добавили исследователи, отметив, что это почти в 200 раз лучше, чем предыдущие исследования.
Основываясь на выборочных данных, компания, для которой они обучали систему DAS, получала 263 086 писем в день. Это означает, что группам реагирования на инциденты приходилось проверять только около 10,5 электронных писем в день, если бы DAS был развернут в их сети, освобождая сотрудников для других задач.
Низкая частота ложных срабатываний – главное достижение DAS.
Facebook, вложивший деньги в награду, назвал низкий уровень ложных срабатываний одной из двух причин, по которым он решил выбрать детектор Berkley DAS в качестве победителя в этом году.
Другой причиной было воздействие целевых фишинговых атак, которые часто являются основной причиной сегодняшних крупных киберинцидентов, таких как взлом DNC, взлом OPM и другие. Ниже приведено полное обоснование выбора Facebook DAS в качестве победителя.
Во-первых, в новейшей истории успешные атаки целевого фишинга привели к ряду заметных утечек информации. Каждый раз, когда сообщество улучшает обнаружение или предотвращение компрометации с технической точки зрения, человеческий фактор становится еще более сильным центром внимания противников. Еще более важным становится помощь в защите людей от атак социальной инженерии. Это исследование может помочь снизить вероятность подобных компромиссов в будущем. Во-вторых, авторы признают и учитывают стоимость ложных срабатываний в своей методологии обнаружения. Это важно, потому что это влияет на накладные расходы и время реагирования для групп реагирования на инциденты.
Команда Беркли представила свои выводы на конференции по безопасности USENIX, которая прошла на этой неделе в Ванкувере, Канада. Исследовательский документ под названием «Обнаружение фишинга учетных данных в корпоративных настройках» доступен здесь , здесь и здесь . Видео презентации команды на конференции USENIX доступно ниже.
Почетные упоминания
Facebook также наградил почетными грамотами два других исследовательских проекта, также представленных на USENIX.
Первый из них называется « DR. CHECKER: надежный анализ драйверов ядра Linux » и описывает метод существующих методов статического анализа для поиска большого количества уязвимостей в драйверах ядра Linux.
Второй называется « Оскар: практическая схема на основе разрешений страниц для предотвращения висящих указателей » и описывает подход к предотвращению определенных классов уязвимостей в низкоуровневом коде.
В прошлом году лауреатом премии Internet Defense Prize в размере 100 000 долларов стал исследовательский проект под названием « Постквантовый обмен ключами – новая надежда », направленный на улучшение постквантовой защиты в TLS. Этот проект уже встроен в Chrome, и есть планы по его поддержке и в браузере Tor.
По материалам – https://yrodu.ru/