Les chercheurs en cybersécurité de l'ORNL Jared Smith (à gauche) et Elliot Greenlee (à droite) participent à une journée de démonstration pour montrer comment Akatosh, un nouvel outil d'analyse de sécurité, trie rapidement les données pour identifier les menaces potentielles. Crédit :Laboratoire national d'Oak Ridge
Alors que la technologie continue d'évoluer, les menaces de cybersécurité le font aussi. Pour mieux sauvegarder les informations numériques, une équipe de chercheurs du laboratoire national d'Oak Ridge (ORNL) du département américain de l'Énergie (DOE) a développé Akatosh, un outil d'analyse de sécurité qui fonctionne en conjonction avec un logiciel standard pour détecter les irrégularités importantes dans les réseaux informatiques.
"Akatosh est un système qui fournit un contexte plus profond à l'infrastructure informatique existante conçue pour résoudre les problèmes de sécurité, " a déclaré Jared Smith, un chercheur en cybersécurité à la Direction de l'informatique et des sciences informatiques (CCSD) de l'ORNL qui a développé la nouvelle technologie. "Cela vous donne un aperçu historique de ce qui change sur un ordinateur au fil du temps."
Cette nouvelle ressource se coordonne avec les systèmes de détection d'intrusion (IDS), qui surveillent les réseaux informatiques des entreprises privées, installations gouvernementales, et les établissements universitaires et déclencher des alertes en réponse à une activité anormale. Les IDS ont tendance à déclencher de fausses alertes, obligeant les analystes de la cybersécurité et les professionnels de l'informatique à rechercher manuellement les modifications sur le réseau.
"Toute organisation avec beaucoup de personnes utilisant des ordinateurs recevra des milliers d'alertes par jour, et quelqu'un doit les passer au crible, " Smith a déclaré. " Les outils typiques disponibles fournissent un ensemble de données que les analystes doivent examiner pour décider si le système a réellement été violé. "
Akatosh économise un temps et des ressources précieux auparavant consommés par ce processus fastidieux en prenant périodiquement des instantanés des systèmes hôtes sur le réseau au cours des opérations quotidiennes et en établissant une base de référence, puis prendre un autre instantané à chaque fois qu'une alerte IDS se produit. En comparant ces instantanés, Akatosh peut immédiatement montrer les changements survenus avant et pendant un cyberévénement. L'automatisation du processus de tri des alertes IDS réduit le temps et les coûts nécessaires pour identifier la source d'un incident de sécurité et neutraliser la menace.
« Au niveau technique, nous pouvons voir si les mots de passe sont extraits, si les fichiers sont en cours de copie, et nous savons à quel point ces choses sont potentiellement menaçantes parce qu'elles ne se produisaient pas avant que nous ayons reçu une alerte, " Smith a déclaré. "C'est là que nous sommes en mesure de fournir un contexte."
Le système résume les modifications pertinentes et envoie un rapport à l'administrateur réseau pour déterminer rapidement si les modifications indiquent la présence d'une menace de sécurité légitime. La capacité de déterminer avec précision la validité des alertes IDS en temps réel signifie que les analystes peuvent commencer à atténuer les effets négatifs des attaques de logiciels malveillants, e-mails d'hameçonnage, et d'autres problèmes de cybersécurité dès leur apparition.
"Akatosh résout un problème d'efficacité si répandu en traitant les incidents sur un réseau beaucoup plus rapidement, ce qui nous permet de mieux répartir notre temps. Il fournit un moyen plus ciblé d'éliminer les données sans importance et de révéler les domaines de préoccupation, " dit Smith, qui travaille sur Akatosh depuis son arrivée à l'ORNL en tant que stagiaire en 2015.
Après être devenu membre du personnel du Groupe de recherche sur la cybersécurité et la sécurité de l'information (CISR) de la Division des sciences informatiques et de l'ingénierie du CCSD en 2017, il a été chercheur principal pour le projet en collaboration avec une équipe d'ingénieurs logiciels et de stagiaires. Leur travail sur Akatosh soutient la mission du CISR de se défendre contre les cyberattaques et de maintenir la sécurité des informations et des infrastructures à l'échelle nationale.
Pour démontrer les capacités dynamiques d'Akatosh, l'équipe s'est récemment rendue à San Francisco pour RSA, la plus grande conférence sur la sécurité du pays. Ils ont également assisté aux sommets du Département américain de la sécurité intérieure (DHS) à New York et à Washington, DC.
"Ça a été très amusant de voyager et de faire une démonstration d'Akatosh pour les gens, " a déclaré Smith. " Nous utilisons en fait de vrais logiciels malveillants et montrons comment, une fois qu'il se propage à travers la machine, nous pouvons voir comment cela change et identifier le problème."