在Cyberattacks,ISPS尝试清理互联网
如果您的计算机被黑了,Dale Drew可能会知道这一点。
Drew是3级通信的首席安全官,这是一家主要的互联网骨干提供商,即经常在网络级别的网络内攻击中常规。该公司已将超过1.5亿个IP地址与全球的恶意活动相关联。
德鲁说,这意味着所有这些IP地址都有可能涉及分布式拒绝服务攻击,电子邮件垃圾邮件或违反公司服务器的漏洞。
黑客已经设法劫持那些计算机“对互联网造成伤害”,但业主们始终知道,德鲁说。
第3级的跟踪功能突出了ISP可以在互联网上发现恶意活动模式,甚至针对网络犯罪的IP地址点。
在更极端的情况下,3级可以基本上阻止骚扰受害者的不良交通,并有效地关闭或扰乱黑客的攻击。
那么为什么不做的是更多地在网络犯罪上打击?问题是,isp的能力区分正常和恶意互联网流量的能力有限,并找到正确响应的方法可以打开整个蠕虫。
恶意模式
第3级建立了一个178亿个IP地址的数据库 - 其中大多数静态IP地址 - 它已连接到疑似恶意活动。德鲁说,它通过精确定位偏离“已知良好”互联网流量的模式来完成。他将它与邮局进行了比较。虽然第3级没有检查互联网流量的内容或通过“信封”的内容,但它确实知道谁在发送什么和向谁。
例如,“每次用户从人X获取红色信封时,他们会抱怨其垃圾邮件,”德鲁说。“所以我可以开始建立一个行为的启发式。”
坏行为模式帮助3级构建算法到身份可疑流量。在数百万的IP地址中,它一直在跟踪,60%可能与僵尸网络或可用于DDOS攻击的受感染计算机的军队相关联。
第3级与电子邮件网络钓鱼活动相应了22%。
人们可能想知道为什么3级不仅仅阻止来自Internet的这些IP地址。但这可能是有问题的。通常,黑客计算机的用户不知道他们的机器已经受到损害,可能尚不清楚这些机器是否也用于重要的目的,例如合法的金融交易。
德鲁说,阻止这些机器可能是潜在的意思是在交易中停止数百万美元。
3级戴尔德鲁,3级首席安全官员。
相反,公司试图向用户通知这些IP地址。在许多情况下,他们是企业,德鲁说,这可能很快回应。但是,涉及消费者时,没有将一个人联系到IP地址的电话簿。所以3级必须与托管提供商合作,以便到达用户。
面对极限
总的来说,这可能是一个艰难的战斗。“对于我们修复的每个IP地址,更多的IP地址受到泄露,”Drew说。
其他ISP,包括一些在欧洲,在他们的机器可能被感染时也通知了客户。这是剑桥大学的安全研究员Richard Clayton表示,它已成为历史悠久的,越来越越来越大的练习,但让用户无法简单,这是剑桥大学的安全研究员,也不总是简单。
即使ISP向用户发送警告消息,那么并非每只PC用户都知道如何解决恶意软件感染,克莱顿说。对于ISP,它也可能是一个成本问题。
“当然,我们希望看到ISP帮助,但他们在一个竞争激烈的市场中,”他说。“他们正试图在任何地方都可以削减成本,并与客户交谈并传递消息并不是便宜的事情。”
此外,ISP无法识别每种恶意网络角质。克莱顿说,大多数黑客攻击普遍流量甚至是ISP检测方法偶尔会产生错误。
“如果您在学术纸上有99%的检测率,这听起来很棒,”他说。“但这基本上意味着100次,你将是明白的。”
没有魔法子弹
这就是为什么取消怀疑黑客通常需要从执法和安全研究人员那里彻底调查威胁并证实它是真实的集体行动。政府和ISP也涉及创建网站和服务告诉用户如何有效清理其PC。
AntiVirus供应商趋势科学的主要网络安全官员表示,这是ISP的艰难平衡行动。“他们可以很容易地做大量的检测,”他说。“但阻挡的作品不是他们想要对此负责的东西。”
网络犯罪分子也在不断提升他们的游戏,使它们更加难以检测。“这个问题无处可在黑色和白色附近,”Cabrera说。“我们很快就说isps并不够做,但我觉得常常是不公平的。”
3级的德鲁说,认为世界的网络安全问题可以用魔法子弹解决世界的网络安全问题很容易。但是,现在,它将采取一项集体努力 - 伊斯普斯,政府,企业和消费者 - 清理互联网并确保今天的设备安全。
“即使我们能够部署详尽的技术来分析坏,丑陋的交通,它仍然不会修复受感染的设备,”德鲁说。“最终用户仍然具有正确修补该设备的角色。”
他还鼓励所有ISP参加3级的方法,并在其计算机被黑客劫持时通知客户。
如果更多的ISPS这样做,Drew说,“我们可能会产生一个凹陷。”