پیشبرد تشخیص نفوذ در نیروی زمینی آمریکا
به گزارش کارگروه بینالملل سایبربان؛ محققان آزمایشگاه تحقیقاتی نیروی زمینی ایالات متحده (ARL) در فرماندهی توسعه تواناییهای رزمی به همراه دانشگاه «Towson» قصد همکاری به منظور ایجاد هشدارهای تشخیص نفوذ برای تیمهای امنیت سایبری و فراهم کردن اطلاعات عملیاتی بیشتر را دارند.
یکی از چالشهای ذاتی هر نوع هشدار، پلتفرم تشخیص نفوذ است که باعث میشود تنها مقدار محدودی از دادهها پردازش شوند. محققان این آزمایشگاه و دانشگاه تاسون تلاش میکنند تا رویکردی برای فشردهسازی اطلاعات و کسب دادههای بیشتر در هر هشدار را توسعه دهند. امروزه، اکثر هشدارها فراتر از خلاصه یک مسئله احتمالی هستند.
کارشناسان در کنفرانس بینالمللی اخیر در مورد سیبرنتیک، انفورماتیک و پیچیدگی، فشردهسازی ترافیک شبکه بدون از دست دادن توانایی تشخیص بررسی فعالیتهای مخرب را پیشنهاد میدهند. سیدنی اسمیت (Sidney Smith)، محقق آزمایشگاه تحقیقاتی نیروی زمینی آمریکا گفت که این توانایی باعث پیوست اطلاعات بیشتر به هر هشداری میشود؛ در نتیجه، کار اولویتبندی هشدارها براساس بدافزارهای شناخته شده بهوسیله تیمهای امنیت سایبری راحتتر میشود.
اسمیت اعلام کرد که امروزه تعداد زیادی نرمافزارهای مخرب بهوسیله سیستمهای تشخیص نفوذ از دست رفتهاند، زیرا محدود به تجزیهوتحلیل دادهها در اوایل فرآیند انتقال هستند. بااینحال، محققان بدافزارهای شناسایی شده را تا زمان بعدی در فرآیند مشخص نمیکنند. فشردهسازی دادههای جمعآوری شده، منجر به شناسایی حملات بدافزاری پنهانی پس از انتقال میشود.
وی افزود:
در حال حاضر هدف اصلی، ترکیب تکنیکهای فشردهسازی کمخطر با سیستم طبقهبندی برای کاهش میزان ترافیک است که باید با از دست دادن کمتر از یک درصد هشدارهای امنیت سایبری در سیستمهای تحلیل مرکزی به کمتر از 10 درصد حجم اصلی ترافیک منتقل شوند.
امروزه، بیشتر تیمهای امنیت سایبری از یک مورد مزمن خستگی هشدار رنج میبرند. بنابراین بسیاری از هشدارها ایجاد شدهاند و بسیاری از تیمها به آنها عادت کردهاند، اما بعداً متوجه میشوند که یکی از هزاران هشدار نشاندهنده حمله سایبری بوده است. درحالیکه بسیاری از تلاشهای تحقیق و توسعه برای الگوریتمهای یادگیری ماشینی به شناسایی الگوها در تمام دادههای هشدار ختم میشوند، مشکل اینجا است که هشدارها در ابتدا باید روی پلتفرم کلان داده جمعآوری شوند. بااینحال، گروههای امنیت سایبری نیازمند اطلاعات عملیاتی هستند تا بتوانند در زمان واقعی فعالیت کنند و این به معنای روش کارآمدتر تجزیهوتحلیل اطلاعات موردنیاز است.
در حال حاضر، باید تمام توجه به امنیت سایبری معطوف شود و تیم مشترک تحقیقاتی آزمایشگاه نیروی زمینی و دانشگاه تاسون تنها تیم موجود در مورد این موضوع نیستند. اما آزمایشگاه به عنوان یک نهاد دولتی، تمایل دارد یافتههای خود را برای تقویت امنیت سایبری به اشتراک بگذارد. این مسئله شاید قبل از یافتن راهی به سمت پلتفرمها و خدمات تیمهای امنیت سایبری باید مورد توجه باشد، اما حداقل پیشرفت براساس درک نحوه عبور بدافزارها از دفاعهای موجود حاصل میشود.
