Loov lähenemine küberkaitse strateegiale

Autor: Argo Vilberg

Loov lähenemine küberkaitse strateegiale

Küberrünnaku peaeesmärk on võta rivist välja riigi tähtsamad internetiteenused,
meedia, pangad, riigiasutused.

Kõige lihtsam ja massilisem rünnak on DDOS rünnak kus lihtsalt koormatakse serverid netitrafficuga üle.

Tulemuseks on see, et Eesti pangad ja meediaportaalid keerasid lihtsalt välisliikluse kinni.

Sellega saavutatigi kübersõja eesmärk, välismaalt juurdepääs siseriiklikele teenustele ja infokanalitele on halvatud.

Kuidas selleest olukorrast välja tulla?

Hiljuti tegin uurimistöö raames katsetusi gmail.com meiliserveri spämmivastase süsteemi tundmaõppimiseks.

Gmail rakendas väga loovaid ja arukaid kaitsesatrateegiaid:

1. Piltmõistatused meili registreerimisel. Vajalik inimfaktor, robotiga raske või üliraske läbi minna.
Kõige lihtsma on ise see piltmõistatus ära lahendada.

2. eMaili sisu analüüs. Kui sisu sisaldab teatud võtmesõnu www.minuheasait.com, siis on kohe piltmõistatus ees ja robot saab vea.

3. Strateegia kuidas ära näha kas tegemist on inimesega või robotiga, kui ikka iga 1-2 sekundi järelt läheb sama kiri, siis järelikult robot ja piltmõistatus ette.

4. Kui rakendada vastustrateegiat ja saata randomiga meile näiteks 100 konto pealt eraldi, siis saab sellest süsteemist mööda, aga siis lähevad mängu jällegi sisuanalüsaatorid.

5. Sisuanalüsaatori vastu annab emaili sisu muuta dünaamiliselt, aga jällegi tuleb teatud tasandil level ette ja visatakse piltmõistatus ette.

6. Ühelt IP pealt saab registreerida päevas (24H) max 10 gmaili kontot. Jällegi vastusüsteem intelligentsete robotite tegevusele, mis viskab pildi kuhugi teise logimissaiti kus inimene on taga.

Tulemuseks on selline olukord kus google gmaili läbi on võimalik spämmi saata, aga igal tasandil on google ehitanud loovad lähenemisega kaitsesüsteemi, et kui vähegi tekib kahtlus et on robot, siis pannakse piirangud ette. Igast piirangust on võimalik üle saada, aga mida kavalamaid strateegiaid rakendad googlest möödaminemisel, seda keerulisemaks algoritm läheb. Lõppkokkuvõttes pole võimalik DDOS rünnakut google vastu tööle panna, sest peale 1000 meili pannakse torud väga karmilt igal tasandil kinni. Kuni lõpuni välja, et saad igal tasandil disklaffi.

Samamoodi loova lähenemise strateegiat saaks kasutada suvalise protkolli puhul loovalt.
Välja tuleks töötada strateegiad, et milliste netimustrite korral on tegemist DDOs rünnakutega.
Siia alla lähevad ka tavaline portide näppimine sissesaamise eesmärgil. Kaitserobotit tuleks loovalt igal tasandil välja koolitada, kasutades inimteadmist logide analüüsimisel. Ning tuleks defineerida tegevused ja levelid iga mustri korral:
1 red level
2 blue level
3 green level.

RED level IP läheb black listi kõigil portidel.
BLUe level ip läheb teatud portide osas kinni näiteks 1 tunniks
GREEN level on tekkinud kahtlus teatud mustri osas, aga inimene peab selle üle kontrollima.

S.t. tuleks luua süsteem mis jooksvalt suudaks neid mustreid läbi näha, inimesel oleks võimalik neid mustreid täiendada. Ning nende mustrite põjal rakendatakse tegevusi mis vastavad sys-adminni tegevustele kriisiolukorras. Samas tuleks läheneda loovalt, et välistada olukord kus me lähme tuumapommiga sääse vastu. Loov lähenemine kahjustab võimalikult vähe olemasolevat infrastruktuuri ja halvab võimaliklut vähe avalikku interneti teenust.

Sellised kaitsesüsteemid või loovalt lähenevad kaitserobotid tuleks välja töötada koostöös oma ala tippspetsialistidega. selle info baasilt mida nad kasutavad oma igapäevasel süvatasandi adminn tegevusel. See tegevus tuleks viia roboti tasemele ja automatiseerida. Ja teiseltpoolt selle roboti tegevust hakkaks juhtima intelligentne analüsaator, mis toimib reaalajas.

Kokkuvõttes mida madalamale tasamele minna, seda võimsama ja intelligentsema kaitsestrateegia ja kaitsesüsteem on võimalik ehitada.

Argo Vilberg
argovilberg@gmail.com
www.softpro.ee

Be Sociable, Share!
Aigar Säde

Mitu korda vaadatud:
Sõnade arv: 604

Kõik artiklid sellelt autorilt

Kommentaarid

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga