NOUS MENTIRAIT-ON II

11 aout 2012

Un système de nouveaux logiciels d'intelligence malveillants développé à Georgia Tech Research Institute (GRTI) afin d'aider les organismes gouvernementaux et privés du renseignements des entreprises afin qu'ils travaillent ensemble pour comprendre les menaces d'attaques. Surnommé Titan, le système permet aux organisations membres de soumettre des données sur les menaces et de collaborer à l'analyse des programmes malveillants et de classification.

Les membres, contribuent de manière anonyme aux données afin que personne ne sachent quelles organisations spécifiques ont été touchés par l'attaque, Chris Smoak est chef de projet et le chef de direction générale pour l'analyse des logiciels malveillants à de la technologie GTRI Cyber ​​ainsi que de la sécurité d'information de laboratoire, dit SecurityWeek.

"Vous demandez aux gens de soumettre des informations sur des attaques ciblées, l'anonymat est donc intégré à la plate-forme», a déclaré Smoak.

En plus de recevoir des informations sur les attaques qui touchent d'autres organisations, les membres reçoivent des rapports sur les échantillons de logiciels malveillants qu'ils ont déjà présentés, tels que le préjudice potentiel, la source probable, le meilleur remède, et les risques posés par l'échantillon. L'analyse est basée sur ce que les chercheurs GTRI apprennent par reverse-engineering du malware avec d'autres informations qui ont été compilé à partir d'autres sources dans le garde-malware.

Titan est "non seulement pour les professionnels de la technologie", comme les OSC et les directeurs techniques, qui voient un aperçu de Titan et comment il peut être utilisé pour améliorer la sécurité de l'organisation, dit Smoak . Les cadres et les gestionnaires peuvent décider comment répartir leurs dépenses de dollars une fois qu'ils ont une meilleure compréhension de ces les menaces qu'ils rencontrent, at-il ajouté.

Titan peut mettre en évidence des «questions brûlantes» et être utilisé comme un outil de prévision. Dans un exemple de scénario, Smoak a expliqué comment les analystes peuvent corréler les indicateurs de menace et comprendre pourquoi une certaine attaque a été frappé de plusieurs universités à la fois. Ils peuvent également être en mesure d'établir des parallèles avec les rapports d'incidents similaires qui ont eu lieu dans le passé et de prévoir si l'attaque se déplacera et ciblera les entreprises de services financiers dans quelques mois. C'est ce type de renseignement proactifs dont les membres auront accès à travers Titan qu'ils peuvent se préparer pour utiliser, dit Smoak .

En comparant la façon dont les entreprises utilisent VirusTotal avec la façon dont ils peuvent utiliser Titan, ce qui est une "comparaison équitable", a déclaré Smoak, mais a noté que Titan peut faire beaucoup plus que le site en analysant des programmes malveillants. De manière générale, les gens peuvent télécharger les fichiers suspects à VirusTotal pour savoir s'ils sont malveillants , et si les outils de sécurité existants peuvent le détecter. Cependant, il n'existe aucun moyen pour VirusTotal de regarder deux variantes de logiciels malveillants et de les corréler c'est-à-dire voir qu'ils sont les mêmes, tandis que Titan peut le faire, dit Smoak .

Beaucoup de développeurs de logiciels malveillants utilisent le polymorphisme pour générer dynamiquement des versions légèrement différentes de logiciels malveillants afin d'en éviter la détection par des scanners antivirus traditionnels. En vertu de Titan, les membres seraient en mesure de voir si les incidents qu'ils pensaient impliqués par différents types de logiciels malveillants étaient en fait les mêmes,a expliqué Smoak .

Smoak décrit Titan comme un «cadre modulaire." Avec de nouveaux types de logiciels malveillants et des techniques d'attaques émergentes,et les techniques d'analyse de ces menaces évoluent rapidement, at-il dit. Titan est conçu pour permettre aux chercheurs de construire de nouveaux modules pour gérer les tâches d'analyse aussi différents que nécessaire. Par exemple, même si les logiciels malveillants Android sont à la hausse, il n' y a pas beaucoup d'outils pour l'analyse automatisée dynamique des virus mobiles.Les membres pourraient simplement construire un module avec l'API de Titan qui peut décompresser et analyser les logiciels malveillants tout en tirant parti de toutes les fonctionnalités entre autre et des informations dans le système,dit Smoak.

Il n'y a plus d'analyse et de corrélation impossible pour Titan, qui est ce qui le rend si précieux pour les membres,dit Smoak.

Inauguré en mai, le système a été depuis lors en version bêta publique . Le projet compte actuellement environ 20 membres, analyse et classifie une moyenne de 100.000 morceaux de code malveillant chaque jour. Une grande partie des échantillons malveillants en cours d'analyse sont des données fournies par les groupes de partage différents, dit Smoak. Les membres y soumettent cinq à 10 échantillons par semaine, continue Smoak .

Le système a «une bonne de masse critique», avec les membres couvrant les organismes gouvernementaux et dans l'industrie en fournissant des données réelles qui leur sont utiles, dit Smoak . Il n'y a pas de poussée d'ajouter de nouveaux membres pour le reste de la période bêta, Smoak dit. Le système devra être définitif dans "quelques semaines",afin de savoir à quel point la plate-forme sera probablement étendu et s'il y a d'autres à ajouter .

Le fait que GTRI est une institution à but non lucratif et universitaire a contribué à attirer des membres, dit Smoak. Il ya plusieurs autres initiatives de partage d'information qui ont été lancés ces derniers mois, beaucoup d'entre eux par les vendeurs. Alors que les fournisseurs travaillent dur pour rendre la plate-forme utile à tout le monde, il ya une certaine inquiétude que le vendeur puisse avoir une certaine partialité, et peut être pousser un certain produit à ses membres, dit Smoak. Il ne peut y avoir aucun préjugé du tout, mais "la perception des lecteurs des résultats», a déclaré Smoak.

Les membres sont passés au crible avant qu'ils ne soient autorisés à participer. À l'heure actuelle, il n'existe pas de sociétés de sécurité utilisant Titan, dit Smoak , bien qu'il ne voit aucune raison pour laquelle elles ne seraient pas en mesure d'en obtenir l'accès si elles demandent à y adhérer.

Titan n'est pas non plus actuellement en partenariat avec des sociétés telles que RSA / NetWitness et Microsoft, qui travaillent sur leurs propres projets pour fournir à l'industrie de l'intelligence se nourrissant des informations provenant de contenus de botnets et toute autre activité réseau malveillante. Smoak a dit qu'il aimerait «parler avec des gens chez Microsoft" pour voir comment faire usage des données, mais rien n'est dans les travaux en ce moment.

L'objectif principal de Titan est de "maintenir le coût des données très faibles" et de fournir des idées et l'analyse des données à un prix avantageux pour les membres, dit Smoak.

Les Entreprises, grandes et petites, n'ont souvent pas le temps et les ressources nécessaires pour analyser les menaces qui frappent leur environnement ou faire fonctionner leurs propres centres d'analyse de menaces. Les défenseurs ont eu un moment difficile dans la lutte contre les attaques ciblées de pointe sans moyen de partager des informations avec leurs homologues.

Titan "comble le vide» et aide les organisations à comprendre quelles sont les menaces actuelles "sans casser la banque," a déclaré Smoak.

URL: http://www.securityweek.com/georgia-techs-titan-malware-intelligence-system-offers-threat-sharing-collaboration-tools