Este ambicioso proyecto de Microsoft tiene como objetivo arreglar la seguridad de la computación en la nube


El Proyecto Freta de Microsoft Study tiene como objetivo encontrar malware invisible que se ejecuta en la nube.

Los seres humanos son perezosos y frugales. Tan pronto como podamos dejar de usar a una persona para hacer algo straightforward, lo hacemos. La gente está mucho más preparada para hacer cosas caras y complejas. Y así, más de 200 años después del inicio de la revolución industrial, seguimos automatizando el lugar de trabajo.

La última encarnación es la nube pública, que se ejecuta a una escala masiva, mucho más allá de la de nuestros propios centros de datos. Esa misma escala es tanto un beneficio como un riesgo: da acceso a grandes cantidades de computación y memoria, pero donde hay recursos, hay delincuentes que quieren obtener algo a cambio de nada, secuestrando su infraestructura en la nube para sus propios fines y abandonando usted con la factura a fin de mes.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Es un gran problema, y ​​uno que se hará más grande, a medida que nuestras infraestructuras virtuales crezcan y agreguen escala automáticamente. Hemos pasado de un mundo en el que los servidores eran mascotas muy queridas, cuidadosamente cuidados y con nombres individuales, a uno en el que los tratamos como cobertizos llenos de pollos, donde todo lo que nos importa es lo que se entrega. Ese enfoque de no intervención es atractivo para los atacantes, que pueden colocar rootkits en imágenes y robar recursos ejecutando mineros de criptomonedas o rastreando datos en busca de fragmentos valiosos. Con miles de servidores, ¿quién buscará señales de un ataque de malware en uno o dos, en una docena o en un centenar?

Los atacantes han invertido en malware más inteligente que puede sortear las herramientas de seguridad tradicionales, escondiéndose debajo del sistema operativo en la memoria, enmascarando firmas indicadoras e incluso eliminándose a sí mismo tan pronto como detecta sistemas de seguridad en acción. Hay mucho valor en la escala masiva de la nube de hiperescala, y ese valor es lo que los atacantes quieren robar.

Escaneando la nube: todo

Un proyecto de investigación de Microsoft, Proyecto Freta, tiene como objetivo cambiar eso, proporcionando herramientas para identificar el malware que se ejecuta en máquinas virtuales en la nube. Se necesita un enfoque económico para administrar el malware, que solo es valioso para los delincuentes siempre que no se detecte: una vez identificado en un sistema, el código de malware ya no es reutilizable, ya que su firma se puede agregar a las herramientas de escaneo activas. Pero si queremos tener éxito, necesitamos poder escanear muchos miles de dispositivos con solo presionar un botón.

La escala industrial de la nube significa que las técnicas de escaneo tradicionales son demasiado lentas y buscan una o dos imágenes comprometidas en una flota en constante crecimiento. Es un recordatorio del viejo adagio de la Guerra Fría: tus atacantes solo deben tener suerte una vez, debes tener suerte siempre.

Los especialistas en seguridad de Microsoft Investigation han estado pensando en este problema y Venture Freta encapsula gran parte de este pensamiento en una prueba de concepto centrada en la nube. Diseñado para buscar malware en la memoria, proporciona un portal donde puede escanear instantáneas de memoria de máquinas virtuales Linux y Windows. Inicialmente se centró en instancias de máquinas virtuales, su intención es mostrar las técnicas y herramientas que se pueden usar para escanear en busca de malware a escala masiva.

microsoft-project-freta-screenshot.jpg

Undertaking Freta proporciona inspección automatizada de memoria volátil de sistema completo de sistemas Linux. Sus capacidades de detección incluyen nuevo software package malicioso, rootkits de kernel y ocultación de procesos.

Imagen: Microsoft

Bajo el capó del Proyecto Freta

Una parte clave del pensamiento del Proyecto Freta gira en torno al concepto de &#39sesgo de supervivencia &#39. Estamos acostumbrados a pensar que los dispositivos que no muestran signos de malware están limpios, no que puedan ser los hosts de malware no detectado. Los atacantes quieren sortear nuestros sentidos, ya que dejamos caer nuestras defensas cuando confiamos en que nuestras herramientas están haciendo el trabajo necesario por nosotros. Pero existe un problema elementary en la forma en que buscamos malware: gran parte de lo que usamos está diseñado para funcionar en un mundo previo a la virtualización, y una investigación reciente ha demostrado que es posible que el malware detecte si está siendo monitoreado por herramientas de seguridad de hipervisor que son trabajando fuera de la máquina virtual.

Eso llevó al equipo del Proyecto Freta a repensar la seguridad desde cero, tratándola como un campo verde. El equipo ideó cuatro principios para desarrollar herramientas de detección para atacar el malware moderno. Primero: el malware no puede detectar un sensor antes de instalarlo. Segundo: ningún malware puede esconderse fuera del alcance de los sensores. Tercero: ningún malware puede cambiarse a sí mismo antes de ser muestreado. Cuarto: ningún malware puede cambiar un sensor para evitar su detección y adquisición. El objetivo es tener un entorno de seguridad resistente que pueda probar rápidamente muchos miles de máquinas físicas y virtuales, haciendo imposible que funcione el malware sigiloso.

Captura de instantáneas de la memoria

El Proyecto Freta se basa en estos principios al aceptar que lo perfecto es enemigo de lo bueno y que las compensaciones son necesarias para lograr estos objetivos. Lo primero y más importante fue darse cuenta de que la única forma de cumplir con los objetivos del proyecto period capturar toda la memoria utilizada, sin ejecutar ningún código en el espacio de memoria capturado. Esa captura luego se analizaría fuera de línea, utilizando recursos de la nube para la velocidad y la capacidad de probar muchas capturas en paralelo, con todo el sistema construido utilizando lenguajes y técnicas de programación seguros para la memoria.

VER: Lista de comprobación: protección de los sistemas Home windows 10 (TechRepublic Premium)

La nube es necesaria aquí, ya que evita tener que esperar horas o días para que se finish el análisis, lo que reduce el riesgo typical para sus sistemas. Hay otra razón por la que el uso de la nube es esencial, ya que las técnicas modernas de protección de la memoria aleatorizan el uso de la memoria y la copia para decodificar la memoria rápidamente podría alertar al malware de que está siendo atacado, por lo que el análisis requiere importantes recursos informáticos para descifrar y decodificar la memoria mediante técnicas de fuerza bruta. Microsoft ha tenido cierto éxito aquí, trabajando inicialmente con Linux y rápidamente brindando soporte para más de 4,000 versiones diferentes del kernel.

Usando el portal experimental

Microsoft ha enviado ahora un portal prototipo que funciona con instantáneas de memoria de hipervisor, que se ejecutan en Azure. Se ha probado con Hyper-V, pero también funciona con VMware y con instantáneas de memoria AVML y LiME. Sin embargo, solo se confía en Hyper-V en esta etapa, ya que puede, como lo expresó el equipo de Challenge Freta, «proporcionar una aproximación razonable del elemento sorpresa» que se necesita.

Una vez cargada en el portal, se analiza el contenido de una instantánea, lo que le permite examinar lo que está sucediendo en una máquina digital en un momento específico. Puede ver qué procesos están en la memoria, junto con las llamadas al sistema actuales y abrir sockets y archivos Unix. Es una herramienta interesante que da una idea del tipo de datos que Venture Freta puede obtener de una imagen, con un indicador de posible malware oculto para un análisis más detallado. No espere que sea particularmente fácil de usar, ya que este es el primer pase público en este tipo de herramientas de seguridad y el equipo tiene mucho más trabajo por hacer.

Es fácil imaginar una versión futura más centrada en el usuario de Project Freta que muestrea continuamente todas las máquinas virtuales que se ejecutan en Azure, brindándole información sobre imágenes comprometidas y, al mismo tiempo, brindando a Microsoft la información necesaria para fortalecer sus imágenes foundation. A esa escala, Microsoft necesitará utilizar técnicas de inteligencia artificial para analizar y rastrear malware en miles, o incluso millones de imágenes. Es una visión intrigante de un futuro en el que la economía de la seguridad en la nube ha cambiado, lo que hace que sea barato fortalecer las máquinas virtuales y caro atacarlas.

Ver también



Enlace a la noticia unique