/ip firewall address-list
add list=ddos-attackers
add list=ddos-targets
/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddos-targets address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos
/ip firewall raw
add action=drop chain=prerouting dst-address-list=ddos-targets src-address-list=ddos-attackers

Вкратце, что оно тут делает: создает 2 списка, в которые потом попадают адреса злоумышленника и жертвы(кто такая жертва-ниже), создаем и отправляем в цепочку обработки detect-ddos (я и не знал, что можно создавать свои цепочки,оказывается, да не представлял зачем) новые соединения с нашим микротом, там мы определяем условия для действий над этим соединением/пакетом, возвращаемся из нее и далее пакеты идут куда там дальше в workflow определено. Тут же добавляем действия, которые мы будем делать, если условие в action=return сработало, в нашем случае добавляем адреса получателя и отправителя в соответствующие списки. У нас в примере указано, что если будет больше 32 пакетов новых соединений в секунду за 10 секунд, то занесем адресочки в списки айайай. Вот тут как раз возникает вопрос: а если мы хотим отслеживать что-то еще, кроме параметра dst-limit, например connection limit, и вот тогда правило будет срабатывать при соблюдении обоих условий, или хотя бы одного? В документации ответ на этот вопрос мне как-то не попался на глаза, может аудитория подскажет. Кстати, в обработке action=jump, рекомендую задать список доверенных адресов в Src.addr.list и поставить на него "!", чтобы эти адреса не попали в список злодеев, а то мало ли, сами себя забаните на микроте, а это никому не нужно. Об этом почему то в мане скромно умолчали, а об этот камень можно больно ударится. Но вернемся к основным действиям. Наши правила успешно создают списки, а уже они обрабатываются в правиле /ip firewall raw, в котором написано следующее: будем отбрасывать все пакеты, адреса которых содержатся в списках ddos-attackers И ddos-targets. Казалось бы, тут все понятно, однако есть нюанс, о котором опять умолчали: если у вас есть правило NAT, перенаправляющее порт 443 на внутренний сервер с адресом 192.168.168.10, то случится.. ничего, защита выше работать не будет и весь траф на наш бедный веб-сервер будет так же литься полноводным потоком . А почему? А потому что мы добавляем адрес жертвы в цепочке forward, а там маячит наш внешний IP, а никак не внутренний адресок сервера.
Так что либо вписывать адреса серверов за NAT ручками в список ddos-targets, либо правило втыкать в другое место цепочки обработки. Но и это еще не всё. Допустим мы где то у какого то клиента завели рассылку почты с нашего сервера, находящегося за нашем же микротом и который внезапно захотел разослать 10 писем одновременно. И что? А то что адресок клиента успешно попадет в список забаненых, т.к. по количеству одновременных коннектов успешно попадает в наш фильтр. Так что придется ставить фильтры со своими параметрами чуть ли не на каждый сервис, который есть за нашим микротом. Вот такие дела.. а казалось бы, что всё просто.

Информационная безопасность отвечает за то, чтобы важные сведения компании, личные дела и корпоративные тайны не попали не в те руки. Эта отрасль защищает данные от утечек, а программы, системы и сети — от взлома, порчи файлов или других видов атак. В коммерческих и государственных структурах сведения также необходимо охранять от шпионов или возможных злоумышленников внутри самого коллектива. Существующие методы обнаружения нелегальных пользователей занимают много времени и не всегда эффективны. Улучшить работу информационной безопасности можно с помощью искусственного интеллекта, который за короткое время способен анализировать большое количество данных. Ученые ПНИПУ обучили нейросеть быстро и точно выявлять нелегальных пользователей в сети. Разработка обеспечит укрепление информационного суверенитета России.

Статья опубликована в журнале «Master’s journal», 2023 год. Исследование выполнено в рамках программы стратегического академического лидерства «Приоритет 2030».

Важным инструментом обеспечения информационной безопасности компаний являются файлы журналов событий. Они представляют собой специальную базу данных, которая содержит всю информацию о различных событиях, происходящих в системе или сети, относящиеся к безопасности. Эти сведения позволяют анализировать и отслеживать активности в системе, выявлять потенциальные угрозы, определять аномальное поведение и принимать меры для защиты данных.

Сейчас актуальны статистические методы обнаружения злоумышленников в сети, которые на основе данных журнала событий изучают активность поведения легального пользователя системы и выделяют нелегальных пользователей. Но эти файлы содержат огромное количество неструктурированных данных. В крупных корпоративных системах число ежедневно создаваемых строк журнала доходит до миллиона. Их автоматический анализ занимает много времени и ресурсов. Из-за чего большинство инцидентов выявляется с опозданием и не всегда точно.

Поэтому необходим постоянный мониторинг системных журналов сразу после их создания, чтобы выявлять аномалии в поведении пользователей в режиме реального времени. Это позволяет своевременно реагировать на инциденты информационной безопасности и снижать вызванные ими риски. Для решения этой проблемы ученые Пермского Политеха предлагают использовать искусственный интеллект.

— Поведение злоумышленника отличается от поведения легального пользователя в информационной сети, и эти различия можно оценить количественно. Мы попытались отследить общие черты в их поведении и рассчитать вероятность ошибки. Проанализировав большой объем данных по действиям пользователя в информационной системе, мы обучили нейросеть использовать новую информацию. Это позволит быстрее выявлять вторжение нарушителя в систему, — объясняет кандидат физико-математических наук, доцент кафедры «Высшая математика» Пермского Политеха Елена Кротова.

В качестве основы политехники выбрали компьютерную модель перцептрон – простейший и удобный вид нейросети. Входные параметры представляют собой бинарные данные, характеризующие пользователя в системе (0 – легальный пользователь, 1 – нелегальный).  Для построения и обучения нейросети использовалось более 700 видов данных по более чем 1500 пользователям.

Для сравнения, ученые произвели те же действия с другим видом нейросети, который в результате ошибочно определил злоумышленников как легальных пользователей. Это говорит о том, что сеть на персептроне способна точнее справляется с этой задачей.

Для предложенного метода оценили вероятность ошибок и сравнили с результатами работы существующих систем обнаружения угроз. Рассматривались ошибки 1 и 2 рода, когда легального пользователя принимают за злоумышленника и наоборот. Результат показал, что вероятность ошибок 1 и 2 рода у нейросети ученых ПНИПУ меньше на 20%. А значит, ее использование увеличит надежность и поможет обнаружить нелегальных пользователей в информационной системе.

Разработка ученых Пермского Политеха показала, что метод, основанный на искусственном интеллекте, лучше всего подходит для реализации на предприятии. Он не требует большого объема памяти, обладает хорошим быстродействием и позволяет анализировать большие объемы данных.

Платформа Cywareness , управляемая искусственным интеллектом, имитирует электронные письма и текстовые сообщения из законных источников в попытке обмануть сотрудников, рассказал NoCamels генеральный директор Ори Аттар. Стартап может даже подключить USB-накопители, пытаясь получить доступ к компьютерам через аппаратное обеспечение.

«Мы создали инструмент, который был первым в своем роде в мире — используя ИИ, который сделает все за вас», — говорит он. 

Цель состоит в том, чтобы обмануть «цели» и заставить их загрузить вредоносное ПО на свои компьютеры или предоставить защищенную информацию, такую как пароли и финансовые данные, не создавая реальной опасности ни для оборудования компании, ни для протоколов безопасности, объясняет Аттар. 

«Наша миссия — свести к минимуму риск кибератак на организацию и повысить осведомленность — как человеческий брандмауэр», — говорит он.

«Мы делаем это, обучая их, нападая на них и поддерживая их осведомленность».

С разрешения компании Cywareness запустит фишинговую атаку – попытку получить деньги или конфиденциальную информацию путем обмана – с использованием электронной почты, SMS или сообщения WhatsApp.

По данным глобальной платформы данных и бизнес-аналитики Statista, 85 процентов организаций по всему миру подверглись одной или нескольким фишинговым атакам в период с 2021 по 2022 год.

Более того, по данным американской транснациональной технологической корпорации IBM, средняя глобальная стоимость утечки данных в 2023 году составила 4,45 миллиона долларов.

Стартап будет использовать ту же тактику, что и настоящие хакеры – имитировать логотип и веб-адрес авторитетного источника в попытке убедить жертву в том, что сообщение является законным.

Что отличает Cywareness от других компаний, предлагающих аналогичные услуги, по словам Аттара, так это ее уникальный конструктор искусственного интеллекта — платформа, которая позволяет стартапу генерировать сложные ложные атаки за считанные минуты, исходя из требований компании, обучающей свой персонал.

«Два месяца назад вам нужно было знать HTML или SQL, чтобы создать фишинговое письмо, и на его создание у вас уходило до 24 часов», — объясняет он.

«Теперь менее чем за минуту вы можете создать все, что захотите, и направить это любому сотруднику организации, которого захотите».

Он приводит пример фишингового электронного письма, для которого требуется несколько факторов, чтобы выглядеть подлинными, включая адрес, с которого оно было отправлено, ссылки, которые появляются в сообщении, а затем веб-сайт, на который направляется цель для предоставления конфиденциальных данных.

«Вы получаете электронное письмо с просьбой нажать что-нибудь», — говорит он. «Он направит вас на целевую страницу, где вы сможете предоставить личные данные или информацию о компании, [поэтому] нам нужно создать поддельное электронное письмо, которое заставит вас пойти по этому пути». 

По словам Аттара, все это создается с помощью платформы Cywareness AI за считанные минуты с использованием изображений и других данных, таких как подписи электронной почты, взятые из компании или другого законного источника, для усиления ощущения аутентичности.

Попытка фишинга произошла после того, как сотрудники уже прошли обучение по вопросам кибербезопасности, и стартап рассматривает это как проверку того, чему они на самом деле научились. 

«Мы создали учебную машину», — говорит Аттар, с такими ресурсами, как видеоролики, которые инструктируют персонал о том, как обнаруживать и избегать кибератак.

Компания со штаб-квартирой в Раанане была основана в 2020 году как часть BSW Group, израильской организации, чья академия кибербезопасности обучает компании по всему миру.

Cywareness также присутствует на международном уровне, работая с несколькими десятками партнеров, предоставляя учебные пособия по кибербезопасности компаниям и организациям, в том числе Национальной хоккейной лиге Северной Америки и израильскому фармацевтическому гиганту Teva. 

Старшие должностные лица Cywareness и BSW являются опытными специалистами в области кибербезопасности, имеющими опыт работы в этой области во время службы в израильской армии. Фактически, группу BSW возглавляет бывший начальник штаба Армии обороны Израиля Габи Ашкенази. 

Компания, обучающая свой персонал, определяет, насколько сложно обнаружить попытку фишинга по скользящей шкале от 1 до 5.

Самые простые попытки включают очевидные орфографические ошибки и подозрительные выражения, которые получатель должен легко заметить. Чем сложнее тест, тем меньше признаков того, что это вредоносное сообщение.

Сообщения также можно отправлять на любом языке, который запрашивает компания.

После завершения симуляции сотруднику сообщают, что он подвергся нападению в рамках учений, и получают обратную связь о любых допущенных ими ошибках или подсказках, которые они пропустили, которые могли бы указать на то, что это была кибератака.

«Мы хотим убедиться, что они понимают, что это была тренировка», — говорит Аттар. «Это тест, и мы хотим, чтобы они научились – мы не хотим, чтобы они их взломали!»

Перевод с английского

ИСТОЧНИК