De proliferatie van verbonden apparaten impliceert noodzakelijkerwijs grote waakzaamheid ten aanzien van aanvallen door het netwerk. In het tijdperk van IOT wordt het beschermen van uw verbinding een noodzaak, en dat is wat moderne beveiligingssuites bieden. Laten we eens kijken hoe een antivirusprogramma u beschermt, zelfs buiten de computer waarop het is geïnstalleerd.
Verkeersmonitoring op zoek naar anomalieën
Malware wachtte niet tot het tijdperk van verbonden objecten zich via het netwerk verspreidde. Een van de eerste bekende wormen, Morris, werd al in 1988 uitgezonden op ARPANET, de voorouder van internet.Sindsdien heeft talloze "legendarische" malware het netwerk gebruikt om zichzelf te reproduceren, maar ook om zijn misdaden te plegen. Botnets hebben de afgelopen jaren grote schade aangericht door geïnfecteerde computers te veranderen in relais voor spamming of denial of service-aanvallen.
Een beveiligingsoplossing kan optreden tegen dit soort bedreigingen door het systeem te monitoren: dit wordt gedragsanalyse genoemd. De beveiligingssuite zorgt voor verschillende plaatsen in het besturingssysteem om verdachte acties te detecteren: abnormale toegang tot een map, wijziging van bestanden,onbekend proces …
De netwerkscan voert een vergelijkbare taak uit, maar dan op het verkeer van de machine waarop de beveiligingssoftware is geïnstalleerd. De module scant dus de pakketten die door uw netwerk gaan. Net als bij bestanden, kan de detectie van verdacht verkeer eenvoudigweg gebeuren via bekende informatie, zoals IP-adressen waarvan bekend is dat ze kwaadaardig zijn. In dit geval wordt de actie afgebroken als een toepassing probeert verbinding te maken met een verdacht adres, net zoals wanneer u via uw webbrowser verbinding probeert te maken met een frauduleuze site.
Machine learning om onbekende risico's te identificeren
Nogmaals, dit werkt als het adres al in de beveiligingssuite-database staat. Anders kan netwerkbeveiliging ook proberen verdacht gedrag te herkennen, omdat het kenmerken heeft die de scanengine waarschuwen. Het is bijvoorbeeld mogelijk om een reeks acties te detecteren die eruit zien als een DDOS-aanval.
De meest geavanceerde technieken voor netwerkanalyse maken gebruik van machine learning. Deze oplossing, in het bijzonder geïntegreerd met box-type beveiligingsoplossingen, zal enige tijd besteden aan het observeren van verkeer in de loop van de tijd en het leren ervan via neurale netwerken verfijnen, op dezelfde manier als gezichtsherkenningssoftware. Na deze fase kan de analyse dus gedragingen detecteren die verder gaan dan het kader van dit leren om ze te blokkeren.
Verbonden objecten: buiten de pc
Netwerkanalyse is om één voor de hand liggende reden een essentieel onderdeel van moderne bescherming: onze omgeving gaat tegenwoordig veel verder dan een enkele pc, laptop of zelfs twee of drie mobiele apparaten. Bewakingscamera's, slimme lampen en andere objecten en sensoren zijn bijna altijd verbonden met internet.
De vermenigvuldiging van het aanbod op dit gebied tegen vaak voordelige prijzen kan ons aanmoedigen om een aantal apparaten te kopen waarvan we niet noodzakelijk het veiligheidsniveau kennen. Veel goedkope bewakingscamera's gebruiken firmware met een vrij laag beveiligingsniveau. En daar is geen antivirusprogramma op het systeem geïnstalleerd om ze te beschermen. Vandaar het belang van een oplossing die netwerkverkeer analyseert en die bijvoorbeeld de verbinding van een IP-camera met een verdachte server kan blokkeren.
Deze aanvallen zijn geen fantasie: de Mirai-malware gebruikte deze vector van verbonden objecten om zichzelf te installeren en gebruikte hun firmware om spam- of DDOS-aanvallen te lanceren. Mirai, ontdekt in 2016, maakt gebruik van een maas in de wet die in zijn eenvoud absurd lijkt. Het maakt verbinding met geïnfecteerde apparaten met behulp van een basis van meer dan 60 algemene fabrieksadmin / wachtwoordcombinaties, waarbij wordt uitgegaan van de, helaas nog steeds, hoge waarschijnlijkheid dat gebruikers het niet hebben gewijzigd. Het succes van Mirai hangt ook af van het feit of een gecompromitteerde IP-camera bijna onzichtbaar is. Het blijft normaal functioneren en vertoont geen duidelijke tekenen van vertraging zoals een pc dat kan.
