Δεν είναι μυστικό ότι όλο και περισσότερες επιθέσεις καταφέρνουν να ξεγλιστρήσουν από τις παραδοσιακές λύσεις ασφάλειας και να κάνουν ζημιά σε επιχειρήσεις και οργανισμούς. Το μόνο που χρειάζεται κάποιος να δει για να το διαπιστώσει, είναι η αύξηση στις επιθέσεις ransomware και πόσο ανεπαρκείς είναι οι τρόποι αντιμετώπισής τους από τις περισσότερες λύσεις ασφαλείας τερματικών σήμερα.

Ένα μεγάλο μέρος της βλάβης έγκειται στα απαρχαιωμένα signature-based συστήματα ανίχνευσης, όπου το προϊόν ασφαλείας τερματικών (endpoint security) βασίζεται σε μια αναγνωρίσιμη υπογραφή για να καθορίσει εάν τυχόν δεδομένα είναι κακόβουλα.

Και ενώ θεωρητικά οι υπογραφές είναι εξαιρετικές, υπάρχει ένα σημαντικό πρόβλημα στον πραγματικό κόσμο με τις υπογραφές, κάτι που μπορεί να συνοψιστεί στο εξής: μπορείτε να εντοπίσετε μόνο το κακόβουλο λογισμικό του οποίου η υπογραφή είναι ήδη γνωστή.

Στον σημερινό συνδεδεμένο κόσμο κάτι τέτοιο αποδεικνύεται πολύ σημαντικό κενό, το οποίο οι επιτιθέμενοι αξιοποιούν με το να χρησιμοποιούν code morphing για να αποφύγουν την ανίχνευση βάσει υπογραφής. Και πουθενά αλλού κάτι τέτοιο δεν είναι περισσότερο μία αλήθεια και μία πραγματικότητα, από το κακόβουλο πεδίο των APTs (Advanced Persistent Threats) και του ransomware, όπου τα code obfuscation και code redirection “αρπάζουν λεφτά” έχοντας πολλά θύματα.

Ευτυχώς, υπάρχουν περισσότεροι από ένας τρόποι ανίχνευσης του κακόβουλου λογισμικού και της κακόβουλης δραστηριότητας, κάτι που μπορεί να επιτευχθεί με τη χρήση της ιδέας του βαθμού φήμης (σκορ φήμης). Αν και η βαθμολόγηση της φήμης δεν είναι μια νέα έννοια, βρίσκει το δρόμο της σε πολλές πλατφόρμες ασφαλείας και μπορεί να πάρει πολλές διαφορετικές μορφές.

Για παράδειγμα, υπάρχουν τρόποι για την επικύρωση της φήμης των χρηστών, των ιστοσελίδων, των εφαρμογών, των ηλεκτρονικών ταχυδρομείων και ούτω καθεξής, οι οποίες με τη σειρά τους δημιουργούν κάτι που μοιάζει με αυτοματοποιημένο white listing ή black listing, όπου ύποπτα κομμάτια κώδικα τοποθετούνται σε καραντίνα. Είναι σημαντικό να κατανοήσουμε πώς λειτουργεί η βαθμολόγηση της φήμης και πώς υπολογίζονται αυτές οι βαθμολογίες για να είναι αποτελεσματική η τεχνολογία.

Ως επί το πλείστον, τα συστήματα βαθμολόγησης φήμης βασίζονται σε κάποια μορφή μηχανικής νοημοσύνης, ή πιο συγκεκριμένα σε AI (Τεχνητή Νοημοσύνη) ή σε ML (Machine Learning). Πιο απλά, οι μηχανές θα πρέπει να είναι σε θέση να κρίνουν τον χρήστη (ή την εφαρμογή) με βάση τις αναμενόμενες αλληλεπιδράσεις καθώς και με βάση τι έχει συμβεί στο παρελθόν, στο παρόν και ενδεχομένως στο μέλλον. Με άλλα λόγια, χρησιμοποιούνται προηγμένοι αλγόριθμοι ώστε να είναι σε θέση να μάθουν τι είναι κανονική συμπεριφορά και τι δεν είναι. Με απλά λόγια, εάν μια νέα εφαρμογή προσπαθεί να προσπελάσει κάτι –ή να έχει πρόσβαση σε κάτι- που δεν θα έπρεπε (μια ιστοσελίδα, κάποιο αλγόριθμο κρυπτογράφησης κ.λπ.) η χαμηλή φήμη (δεδομένου ότι είναι μια νέα εφαρμογή) οφείλει να αποτρέψει τη συγκεκριμένη δραστηριότητα και να δημιουργήσει μια ειδοποίηση. Με την πάροδο του χρόνου, το σύστημα βαθμολόγησης φήμης μαθαίνει την δραστηριότητα που αναμένεται και αναθέτει υψηλότερα επίπεδα φήμης στους χρήστες και στις διεργασίες που έχουν ελεγχθεί.

Συνδυάζοντας τα δεδομένα που συλλέγονται από τη συμπεριφορά και τη φήμη, ένα ευφυές σύστημα ασφαλείας θα πρέπει να είναι σε θέση να τερματίσει γρήγορα τις περισσότερες απειλές ή τουλάχιστον να προειδοποιήσει τους υπεύθυνους σε μία επιχείρηση ότι ενδέχεται να σημειωθεί μη εξουσιοδοτημένη δραστηριότητα.

Και ενώ η βαθμολογία φήμης δεν είναι δυνατόν βεβαίως να λύσει όλα τα προβλήματα ασφάλειας, βοηθάει σημαντικά στη πρόληψη των κακόβουλων προγραμμάτων ή των μη εξουσιοδοτημένων χρηστών από το να προκαλέσουν ζημιά στα συστήματα μίας επιχείρησης ή οργανισμού. Επιπλέον, η πρόσβαση σε ιστοτόπους με χαμηλή φήμη (π.χ. ιστοσελίδες για hacking, ιστοσελίδες στο deep web κ.ο.κ.) μπορεί να αποκλειστεί, εμποδίζοντας τους άλλους φορείς να διακινδυνεύσουν τα συστήματα.

Στον τομέα της ασφάλειας, η φήμη έχει καταλήξει να είναι πια τα πάντα. Υποδεικνύει ποιον ή τι μπορεί να εμπιστεύεται μια διαδικασία και επιτρέπει μόνο σε εκείνα τα στοιχεία που μπορούν να αποδείξουν την αξία τους να έχουν πρόσβαση σε πόρους της επιχείρησης.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.