Το Σεπτέμβριο του 2015 έγινε μία παρουσίαση του προγράμματος SHARKSEER της αμερικανικής υπηρεσίας NSA (National Security Agency, Εθνική Υπηρεσία Ασφαλείας). Είναι ένα πολύ ενδιαφέρον αμυντικό σύστημα κυβερνοπολέμου που προστατεύει ευαίσθητα συστήματα των ΗΠΑ και βοηθάει τόσο τον ιδιωτικό όσο και το δημόσιο τομέα.

Παρακάτω βλέπετε τη πρώτη διαφάνεια της παρουσίασης. Όπως βλέπουμε η παρουσίαση είχε γίνει από τον κύριο Ρόναλντ Νίλσον, Τεχνικό Διευθυντή της NSA. Ο τίτλος του, «SHARKSEER Zero Day Net Defense», μας δηλώνει ότι το SHARKSEER είναι ένα σύστημα δικτυακής άμυνας ενάντια στις λεγόμενες επιθέσεις 0-day, δηλαδή στις καινούργιες επιθέσεις για τις οποίες δεν υπάρχουν γνωστά στοιχεία ή τρόποι πρόληψης.

Αυτό γίνεται πολύ πιο ξεκάθαρο στη δέυτερη διαφάνεια όπου υπάρχει ο ορισμός του προγράμματος. Εάν το μεταφράσουμε στα ελληνικά γράφει «Ορισμός Προγράμματος: Εντοπίζει και αποτρέπει επιθέσεις 0-day ιστού και Προχωρημένες Επίμονες Απειλές χρησιμοποιώντας γνωστές, ευρέως διαθέσιμες τεχνολογίες εκμεταλλευόμενο, παράγοντας δυναμικά, και βελτιώνοντας τη παγκόσμια επιγνώση απειλών για ταχεία προστασία δικτύων». Με απλά λόγια, το SHARKSEER εντοπίζει τις πιθανές προχωρημένες επιθέσεις ιστού και αυτόματα κατασκευάζει τρόπους προστασίας ενάντια τους.

Η επόμενη διαφάνεια ορίζει τους στόχους του προγράμματος SHARKSEER. Όπως διαβάζουμε ο πρώτος στόχος είναι η προστασία των 10 IAP (Internet Access Point, Σημείο Πρόσβασης Διαδικτύου) του αμερικανικού Υπουργείου Αμύνης με ένα συνδυασμό τεχνολογιών του εμπορίου μαζί με τις τεχνολογίες της NSA για εμπλουτισμό των δεδομένων με περισσότερες πληροφορίες. Ο δεύτερος στόχος του είναι ο διαμοιρασμός των απειλών με άλλες υπηρεσίες για καλύτερη επίγνωση κατάστασης. Και σε αυτή τη περίπτωση με υποστήριξη τόσο έτοιμων προϊόντων της αγοράς όσο και ειδικών τεχνολογιών.

Όπως βλέπουμε από την επόμενη διαφάνεια, το SHARKSEER έχει μία «μηχανή» συσχέτισης δεδομένων. Όπως βλέπετε παρακάτω δέχεται εισόδους δεδομένων από πολλά διαφορετικά στοιχεία των επιθέσεων και με βάση τρία υποσυστήματα εντοπίζει πιθανή κακόβουλη δραστηριότητα. Τα τρία υποσυστήματα είναι το ανεύρεσης (heuristic) το οποίο αναζητά συγκεκριμένα χαρακτηριστικά μέσα στα δεδομένα, το υποσύστημα φήμης (reutation) το οποίο αναζητά ιστορικές πληροφορίες για το κατά πόσο τα δεδομένα αυτά ταιριάζουν με άλλες κακόβουλες ενέργειες, και τέλος το υποσύστημα συμπεριφοράς (behaviors) που μελετάει το τι ακριβώς κάνει αυτή η ενέργεια και βάση αυτού κρίνει εάν είναι κακόβουλη ενέργεια ή όχι.

Όπως παρουσιάζει στη συνέχεια η NSA, η χειροκίνητη διαχείριση των στοιχείων νέων απειλών δεν είναι πρακτική και οι παραδοσιακοί τρόποι είναι καλοί μόνο για γνωστές απειλές. Έτσι το SHARKSEER λύνει αυτό το πρόβλημα κάνοντας δυναμικό έλεγχο και αυτόματη ενημέρωση για τις νέες απειλές. Βλέπετε τη σχετική διαφάνεια παρακάτω.

Στη συνέχεια έχουμε το διάγραμμα το συστήματος SHARKSEER. Πρακτικά με το που φτάσουν τα δεδομένα από το διαδίκτυο σε ένα από τα IAP του αμερικανικού Υπουργείου Αμύνης, γίνεται πλήρης ανάλυση όλων των πακέτων δεδομένων και έλεγχος βάση κανόνων. Μετά περνάνε από ένα στάδιο που ελέγχονται από μία σειρά προϊόντων ασφαλείας της αγοράς και εάν κάτι ύποπτο εντοπιστεί, οδηγούνται σε εικονικά συστήματα όπου γίνεται αυτόματα εκτέλεση τους και έλεγχος της συμπεριφοράς και του ιστορικού τους. Τέλος, εάν είναι απαραίτητο ενημερώνεται το Κέντρο Επιχειρήσεων Ασφαλείας και άλλες υπηρεσίες που δέχονται ενημερώσεις από το σύστημα SHARKSEER.

Οι αναφορές που παράγει το SHARKSEER χρησιμοποιούν το πρότυπο δεδομένων STIX το οποίο χωρίζει τα δεδομένα σε προσωπικά δεδομένα, ιδιότητες, τρόποι αποτροπής, κτλ. και στέλνεται στους αντίστοιχους δέκτες του προγράμματος SHARKSEER μέσω του εργαλείου Ontology. Όπως διαβάζουμε, η κυβέρνηση των ΗΠΑ λαμβάνει σε πραγματικό χρόνο ενημερώσεις για δείκτες άμυνας αλλά με όλα τα προσωπικά στοιχεία παραποιημένα για προστασία του προσωπικού απορρήτου. Οι συνεργάτες μη χαρακτηρισμένων πληροφοριών λαμβάνουν τα ίδια δεδομένα αλλά όχι σε πραγματικό χρόνο και χωρίς καθόλου προσωπικά στοιχεία. Οι υπηρεσίες απόρρητης διαβάθμισης λαμβάνουν πληροφορίες πρόληψης και ελεγμένα προσωπικά στοιχεία. Τέλος, οι υπηρεσίες άκρως απόρρητης διαβάθμισης λαμβάνουν όλα τα στοιχεία για ενημέρωση κυβερνητικών υπηρεσιών πληροφοριών.

Όπως βλέπουμε παρακάτω, ο στόχος του SHARKSEER είναι η δημιουργία ενός κεντρικού αυτόματου συστήματος διαχείρισης διαδικτυακών απειλών. Ένα σύστημα ικανό να εντοπίζει, να αποτρέπει, να ενημερώνει και να ενημερώνεται από τρίτους. Η σχετική διαφάνεια είναι η ακόλουθη.

Αντίστοιχο τρόπο διαβάθμισης χρησιμοποιεί και κατά τον έλεγχο της συμπεριφοράς των απειλών στο ελεγχόμενο εικονικό περιβάλλον (sandbox). Μπορείτε να δείτε την εν λόγω διαφάνεια που περιγράφει αυτό παρακάτω.

Παρακάτω είναι ένας κύκλος διαμοιρασμού των πληροφοριών. Όπως βλέπουμε σε πραγματικό χρόνο είναι το Υπουργείο Αμύνης των ΗΠΑ και ακολουθούν άλλες υπηρεσίες πληροφοριών, κρατικοί φορείς, ιδιωτικές εταιρίες, πανεπιστήμια, κτλ. Βλέπουμε ότι οι δύο στόχοι που αναφέρθηκαν στην αρχή περιγράφονται ως ESSA (Enhanced Shared Situational Awareness, Βελτιωμένός Διαμοιρασμός Επίγνωσης Κατάστασης) και CNCI (Comprehensive National Cybersecurity Initiative, Πρωτοβουλία Σύντομης Εθνικής Κυβερνοασφάλειας).

Στη συνέχεια η παρουσίαση περιγράφει εν συντομία τη σπουδαιότητα των συνεργατών από τον ιδιωτικό τομέα λόγω της μεγαλύτερης κάλυψης που έχουν στο χώρο εντοπισμού κυβερνο-απειλών. Ενδεικτικά, αναφέρει τις εταιρίες McAfee, Symantec, Fortinet και Palo Alto Networks.

Η τελευταία διαφάνεια της παρουσίασης είναι λογική απεικόνιση των τμημάτων του SHARKSEER και πως επικοινωνούν με τις διαφορετικές οντότητες του συστήματος, ειδικά όσον αφορά τα δεδομένα ESSA.