Бихте ли искали да разберете, че ще получите имейл от мошеници още преди да се появи в електронна поща? А какво ще си помислите, ако можете да разберете съдържанието на този имейл и какво ще направи с вашия компютър? Според разработчиците, технологията Omnisense върши именно това.

Още през 2015 година Агенцията за перспективни изследователски проекти (IARPA), която е част от Националното разузнаване на САЩ, предложи създаването на нова технология, която може не само да предсказва кибератаките, но и да дава някои подробности за тях – например кои слаби места ще бъдат атакувани и какво цифрово оръжие ще бъде използвано.

IARPA поддържа редица други високотехнологични проекти. Преди няколко години Агенцията финансира създаване на суперкомпютър със свръхпроводници. Един от основните проблеми пред всички суперкомпютри е създаването на надеждна и практична охлаждаща система. Суперкомпютърът от свръхпроводници ще работи изцяло при ниски температури и за него този проблем не е толкова актуален. Проектът само се проектира от IARPA, а изпълнители ще бъдат IBM, Raytheon-BBN и Northrop Grumman Corporation.

Технологията на предсказването

През месец март тази година проектът бе завършен, а Forbes публикува интересна информация за постигнатите резултати в рамките на проекта CAUSE – Cyberattack Automated Unconventional Sensor Environment (Среда за нестандартни автоматизирани детектори на кибератаки).

Една от групите, участвала в създаването на тази програма, сподели пред Forbes информация за софтуерния инструмент Omnisense, който тя съвместно с Университета на Южна Калифорния е разработила специално за проекта CAUSE. Omnisense непрекъснато наблюдава Глобалната мрежа и се управлява от дата център, разположен в най-долните етажи на компанията Hyperion Gray. Използват се специализирани „подслушващи сървъри“, които извършват непрекъснат мониторинг на интернет и са разположени в различни региони на планетата.

Тези сървъри слушат целия трафик в уеб пространството и се опитват да узнаят IP адреса на всеки сървър, извършващ точно определени действия – например, сървъри за търсене на уязвимости, сървъри за разбиване на пароли на онлайн ресурси чрез метода на грубата сила и т.н. След като Omnisense открие заслужаващ интереса сървър, започва дълбоко сканиране, при което се търсят всички програми, стартирани на хоста, както и всички имена на домейни, свързани с този IP адрес На базата на тази информация се прави оценка на нивото на заплаха на съответния сървър.

На базата на тези данни Hyperion Gray ежедневно изготвя „прогноза за времето в интернет“, която дава възможност на специалните сили да се ориентират в текущата обстановка. Един от ръководителите на проекта сподели:

„Специалните служби могат да използват тази технология, за да блокират източниците на конкретна кибератака и да предприемат необходимите профилактични мерки“.

Hyperion Gray допълва, че Omnisense е предупредил за подготвяна отдалечена кибератака срещу корпоративна мрежа, четири дни преди появата на хакерите.

Hyperion Gray не счита, че постоянното сканиране на Глобалната мрежа нарушава неприкосновеността на личния живот, понеже интернет по принцип е едно отворено пространство. Но все пак е осигурена възможност за да се добавя съответния IP адрес в бял списък, за да се изключи следеното с помощта на тази програма. Всички, които се дразнят и не харесват това сканиране, могат да изпратят заявление за включване в списъка с изключенията. В списъка вече са включени редица физически и юридически лица – от британски фермери до правителството на Индия.

Робърт Рамър от IARPA, мениджър на CAUSE, съобщи за Forbes, че програмата CAUSE е създадена за прогнозиране на кибератаки, а не за идентификация на конкретни хора:

„Данните, събрани от нашите специалисти се намират в уеб пространството, достъпни са за всички и се получават по законен път“ – добави специалистът.

Какво предлагат другите

Мащабното сканиране на Глобалната мрежа не е нищо ново, но сега няколко стартиращи компании се опитват да го превърнат в инструмент за осигуряване на кибербезопасност. Младата компания GreyNoise Intelligence предлага именно подобни услуги и споделя, че прослушва „фоновия шум“ в интернет, по-голямата част от който се генерира от недобросъвестни хакери. Генералният директор на GreyNoise Андрю Морис каза за Forbes, че продава тези данни на един от участниците в програмата CAUSE, но отказа да съобщи на кой точно. Клиенти на тази компания са BAE Systems, Charles River Analytics, Leidos и Университета на Южна Калифорния. Миналата седмица GreyNoise официално съобщи, че е получила $600 000 финансиране, за да представи своя нов продукт в края на тази година. Морис заяви, че някои от клиентите на неговата компания вече използват нейните инструменти за прогнозиране на кибератаки.

Hyperion Gray от своя страна допълни, че първият потребител на Omnisense е била компанията HYAS, занимаваща се предимно с киберразузнаване.

Специалистите на Hyperion Gray споделиха, че да се направи компютърна система за мониторинг на цялата Глобална мрежа не е трудно. Но да се получи ценна информация от всички тези данни съвсем не е лесно. Но всички се учудват на огромния трафик, генериран от хакерите, сканиращи сървърите на различните компании, както и от опитите за разбиване на паролите на тези сървъри.

Има области, в които Omnisense и подобните продукти на конкуренцията засега не могат да предоставят защита. Например, при точкова целенасочена атака срещу конкретен човек чрез използването на уникални методи.

„Ако някой просто сяда пред клавиатурата и решава да атакува друг човек, то това е изключително трудно да бъде засечено и предотвратено“ – допълват специалистите.