Big data-analys med Astraea

Astraea-tekniken är den huvudsakliga "cybersäkerhetshjärnan" i Kaspersky Security Network (KSN) – en ytterligare del av Kasperskys senaste säkerhetslösningar på flera nivåer. Systemet sammanställer insamlade data och metainformation relaterad till misstänkta aktiviteter och globala hot i realtid, och föreslår sedan lämpliga åtgärder för de skadliga objekten. Denna information blir sedan tillgänglig för samtliga användare via Kaspersky Security Network.

Över 80 miljoner användare nyttjar fördelarna med KSN-molntjänsterna varje dag. Kaspersky-produkterna begär och tar emot information om objektens rykte och delar statistik med metainformation om misstänkta objekt. Detta omfattar hundratals miljoner av meddelanden och hundratals gigabyte varje dag.

Dessa data vidarebefordras sedan till expertfiltrerings- och identifieringssystemet Astraea. Systemet kontrollerar om inkommande data är konsekventa för att minska risken för hypotetiska datamanipuleringsförsök. Dessa data överförs sedan till en big data-databas som innehåller objekt som filer, URL-adresser m.m. med motsvarande metainformation och sammankopplingar.

Produkten kan till exempel skicka information om misstänkta objekt som:

• Objekt 0xc9e13b88​a6f74509​6f7cf4b2​32aad4d4​1054b32d​464c5bed​95aa7de2​16bc22a0
• namnet på objektet är ”granskad faktura och packlista.docx.exe”
• objektet finns i arkivet ”granskad faktura och packlista.docx.zip”
• objektet startades via sökväg c:\windows\temp
• objektet är inte signerat
• etc.

När den inkommande informationen har sammanställts får du bättre överblick över:

• när en specifik fil blir globalt känd
• den fullständiga listan över de URL-adresser som filen hämtats från eller vem som begärde den
• den fullständiga listan över de sökvägar som använts för att spara den på disken
• den fullständiga listan över filupptäckter (om tillämpligt)
• den fullständiga listan över de processer som startat filen
• förekomsten av filen och hur den ändrats över tid.

Varje objekt verifieras gentemot en lång lista över indikatorer som sammanställts av experter och expertsystem. Du kan till exempel behöva kontrollera om:

• filen hade ett dubbelt tillägg vid körning (”Minabilder.jpg .exe”)
• filen fanns i C:\Windows\System32, även fast den var komprimerad med attributet ”dold”
• filen har ett inaktuellt tillägg som ”com”, ”pif” m.m.
• filen liknar en betrodd systemfil med en enda skillnad, till exempel ”svcnost.exe”
• om filen hämtats av ett objekt som är bevisat skadligt.
• etc.

Objekten kontrolleras gentemot regellistan och får ett riskresultat som används i Astraea för att ta ett välgrundat beslut om objektet är skadligt eller inte. Ju mer information som samlas in om objektet, desto bättre automatiskt beslut. I vissa fall krävs det mer information för att kunna göra en bedömning. Om så är fallet kommer resultatet att omvärderas när ny information tillkommer.

När Astraea-bedömningen är slutförd skickas informationen till KSN-molntjänsterna, så att användare över hela världen får åtkomst till den.

Det är viktigt att komma ihåg att systemlogik inte är statisk utan konstant lär sig nya saker. Utvecklarna av skadlig programvara strävar efter att göra sina koder osynliga för säkerhetslösningarnas identifieringsfunktioner och skapa nya sätt att utnyttja tekniken. Detta innebär att indikatorsystemen snabbt kan bli inaktuella, vilket leder till en mindre effektiv identifiering och fler falska positiva resultat. Effektiviteten hos de separata indikatorerna och listan över dessa (i sin helhet) bör därför kontrolleras och uppdateras dynamiskt baserat på den information som samlats in från Kasperskys databas och deras experter.

Sedan lanseringen 2012 och fram till slutet av 2016, ökade antalet upptäckter som gjordes av Astraea gentemot det totala antalet nya upptäckter från 7,53 till 40,5 % (323 000 nya upptäckter dagligen), vilket innebär en miljard unika skadliga filer.