MIT descobre como manter aplicações em funcionamento sob ataque

Investigadores do MIT criaram um software que mantém em funcionamento as aplicações durante ataques, enquanto localiza e instala correcções permanentes às vulnerabilidades detectadas.

O novo sistema, baptizado com o nome de ClearView, detecta os ataques, percebendo quando as aplicações se comportam de forma diferente aos seus padrões normais, o que interpreta como indício de algum tipo de ataque. Para os combater, testa uma diversidade de correcções para a vulnerabilidade, acabando por seleccionar a que melhor faça regressar a aplicação ao seu comportamento normal.
Actualmente, os investigadores estão a realizar um estudo de viabilidade para decidir se é possível desenvolver o sistema para que se torne num produto comercial, como explicou Martin Rinard, investigador líder do projecto.
O que diferencia o ClearView de outros mecanismos de mitigação de ataques é que, com este software, as aplicações não deixam de funcionar durante o processo em que o sistema procura e aplica as correcções, como sublinha Rinard.
Durante a realização de testes exigidos pela DARPA, o ClearView fez frente a ataques especialmente concebidos pela empresa de segurança SPARTA, tendo conseguido evitar a execução de quaisquer códigos maliciosos na aplicação.
O sistema funciona com recurso a uma ferramenta de monitorização do ClearView em máquinas remotamente alojadas, que vigia a aplicação à medida que esta é executada e define o seu padrão normal. Quando o ClearView detecta que a aplicação está a comportar-se de forma invulgar, inicia uma procura de correcções junto de uma biblioteca de modelos instalada num servidor, para encontrar a que melhor assegure o regresso da aplicação ao seu normal comportamento.
O sistema classifica cada correcção de acordo com a sua eficácia em eliminar os comportamentos anormais e selecciona a que possui a melhor classificação. Esse patch é, então, aplicado a todas as instâncias da aplicação dentro da rede que está a ser protegida, uma táctica que tem por objectivo prevenir qualquer impacto do ataque à aplicação junto de dispositivos da rede que não tenham sido afectados.




Deixe um comentário

O seu email não será publicado