Компания Vigilant применила теорию информации для борьбы с угрозами

Николай Головко 29 Февраля 2012 - 12:19

...

Специалисты фирмы намерены применять для противодействия вредоносному программному обеспечению математические методы измерения энтропии. Вычисляя степень неопределенности фрагментов в потоке данных, можно обнаруживать аномалии, которые, в свою очередь, способны указать на присутствие опасных приложений или активности злоумышленников.

Так, если последующий фрагмент полностью предсказуем на основании сведений о предыдущих, то можно говорить, что энтропия в рассматриваемом случае имеет нулевое значение. При равновесном выборе из двух вариантов (как в общеизвестном примере с подбрасыванием монеты) степень случайности соответствует одному биту энтропии, и так далее. В защите информации энтропию можно привлекать, скажем, для оценки надежности паролей: если абсолютно случайное кодовое слово, состоящее из восьми произвольных и ни разу не повторяющихся символов, может характеризоваться 52 битами энтропии, то при использовании определенных слов степень неопределенности пароля снижается в среднем до 18 битов - а, следовательно, взломщик может испробовать не все 2⁵² комбинаций, а лишь наиболее вероятные 2¹⁸ (существенно снизив тем самым время подбора).

Vigilant, однако, использует энтропию для других целей, а именно - для выявления атипичных образцов данных, которые могут быть соотнесены с вредоносным кодом. Похожая тактика успешно применяется в службах защиты от спама: если одна учетная запись отправляет письма на тысячи адресов, не имеющих никакой явной связи ни с ней, ни друг с другом, то можно с высокой степенью уверенности заключить, что рассылка является нежелательной. Эксперты компании уверены, что расчет показателя энтропии может быть столь же эффективно использован для отсеивания вредоносных объектов (поскольку многие инфекции генерируют случайные имена файлов), а также доменов. В частности, по данным Vigilant, степень неопределенности обычного доменного имени изменяется в пределах от 2,5 до 3,9 битов; следовательно, если энтропия превышает уровень в 4 бита, то перед нами, скорее всего, продукт работы вредоносного генератора случайных имен.

Еще один вариант применения соответствующих расчетов - борьба с программными шпионами, которые используются в долговременных атаках повышенной сложности (APT). Чтобы скрыть факт утечки сведений, шпионы часто шифруют информацию перед ее отправкой хозяину, но при передаче используют стандартный протокол HTTP, а не защищенное соединение. Обычный текст на естественном языке имеет невысокие показатели энтропии (например, для английского языка - от 0,6 до 1,5 бит); напротив, шифртекст по самой своей сущности должен характеризоваться как можно более высокой степенью непредсказуемости. Соответственно, если по обычному исходящему соединению вдруг начинают идти потоки данных с высоким показателем энтропии, то это явственно сигнализирует о попытке передать криптованные сведения - что, в свою очередь, вызывает обоснованные подозрения.

PC World

Письмо автору

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Июня 2026 - 15:20

Общее Системы защиты от утечек конфиденциальной информации (DLP) R-Vision Security Vision ООО «УЦСБ»

На IT IS conf 2026 обсудили жизнь ИБ после эпохи импортозамещения

В Екатеринбурге прошла седьмая конференция IT IS conf, посвященная актуальным вопросам ИТ и информационной безопасности. Организатором мероприятия выступил системный интегратор УЦСБ при поддержке Министерства цифрового развития и связи Свердловской области.

Одной из центральных тем конференции стала так называемая «Эпоха постоптимизма» — ситуация, в которой компаниям приходится искать баланс между растущим количеством киберугроз, ужесточением требований регуляторов и ограниченными бюджетами.

Участники пленарной дискуссии сошлись во мнении, что сокращение затрат на информационную безопасность не должно приводить к появлению новых уязвимостей. Вместо постоянного наращивания закупок всё большее значение приобретают автоматизация процессов, грамотная настройка уже внедренных средств защиты и повышение квалификации специалистов.

Отдельное внимание эксперты уделили искусственному интеллекту. По их мнению, ИИ ускоряет действия не только защитников, но и злоумышленников, поэтому организациям приходится пересматривать подходы к мониторингу событий безопасности и реагированию на инциденты.

Практическая часть конференции включала киберпоединок, круглый стол по противодействию атакам с использованием ИИ, а также серию технических воркшопов. Участники разбирали реальные сценарии поиска уязвимостей, изучали методы Threat Hunting, расследовали инциденты с использованием DLP-систем и анализировали безопасность открытых больших языковых моделей.

Отдельный блок был посвящен защите экосистемы 1С и изменениям в регулировании объектов критической информационной инфраструктуры.

Помимо деловой программы, конференция стала площадкой для развития технологического сотрудничества. УЦСБ и R-Vision подписали соглашение о совместной работе над проектами на базе платформы R-Vision EVO, а УЦСБ и Security Vision оформили технологическое партнерство в области автоматизации мониторинга угроз прикладного уровня.

Еще одним заметным событием стала презентация книги «Хакерская самооборона» специалиста по анализу защищенности УЦСБ Андрея Жукова. Автор представил подходы к активной защите, основанные на изучении и использовании слабых мест инструментов самих злоумышленников.

В целом IT IS conf 2026 показала, что российский рынок ИБ постепенно смещает фокус с экстренного реагирования на долгосрочное повышение устойчивости. Главным вопросом становится уже не выбор очередного средства защиты, а умение эффективно использовать имеющиеся ресурсы и регулярно проверять свою готовность к реальным атакам.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!