Artikkel

De avslører hackere med smarte analyseverktøy

Siri Bromander, Martin Eian, Vasileios Mavroeidis, Audun Jøsang og Laszlo Erdödi
Denne gjengen mener det trengs store endringer innen IT-sikkerhet. Fra venstre Siri Bromander, Vasileios Mavroeidis, Martin Eian, Audun Jøsang og Laszlo Erdödi. Foto: Gunhild M. Haugnes/UiO Bruk bildet.

De avslører hackere med smarte analyseverktøy

Med industrisamarbeid, «big data»-analyse, maskinlæring og matematisk logikk som våpen håper forskerne å komme de IT-kriminelle i forkjøpet.

– De som står bak cyberangrep blir stadig smartere. Og vi må bli enda smartere enn dem, sier professor Audun Jøsang, som viser vei inn i det aller helligste – nemlig SecurityLab inne i lokalene til Institutt for informatikk ved UiO.

Rommet minner om et vanlig datarom, med PC'er strødd rundt. Men dette er hovedkvarteret for prosjektet Oslo Analytics, som utvikler løsninger som gjør det mulig å foreta en fullstendig analyse av datasikkerhetshendelser.

Etter for eksempel et hackerangrep får man tilgang til en stor mengde data. Hvilken type angrep er det, hvor leder sporene, hva er infisert, hvilke nettsider er involvert? Dette er blant spørsmålene som stilles. Det er ofte kaotisk og vanskelig å få oversikt.

Hvilke data kan vi stole på?

Forskerne utvikler et system som gjør at man automatisk kan gradere de ulike kildene som har data om hendelsen – det være seg sikkerhetsselskaper, ofre, myndigheter eller andre. Man vekter de ulike kildene ut fra hvor mye man stoler på dem.

– Responstiden etter en hendelse kan være kritisk. Med vårt system får man raskere oversikt over for eksempel angrepets karakter og hvor det kom fra. Det er første gang slike analyser automatiseres på denne måten, påpeker Jøsang.

Forskerne bruker nåtidens teknologier, som big data-analyse, maskinlæring og kunstig intelligens.

oslo analytics

Et prosjekt ved UiO i samarbeid med Mnemonic, Nasjonal Sikkerhetsmyndighet, Norsk Regnesentral, Forsvarets Etterretningshøyskole, The US Army Research Labs og TU Darmstat.

Prosjektet støttes av Forskningsrådet gjennom IKTPLUSS-programmet.

Det er flere parallellprosjekter, som TOCSA (Threat Ontologies for CyberSecurity Analytics) og ACT (Semi-Automated Cyber Threat Intelligence). Også i disse deltar flere universitets- og industripartnere.

Åpen kildekode og samarbeid

Sikkerhetstrusler kan komme i alle typer teknologiske formater og fra alle mulige kilder.

Bruk av leverandøruavhengig teknologi som åpen kildekode i bunn og utstrakt samarbeid mellom offentlige etater og private aktører om datautveksling er derfor viktig. 

En rekke partnere er med i Oslo Analytics, blant dem det norske IT-sikkerhetsselskapet Mnemonic, Norsk Regnesentral og US Army Research Labs. De samarbeider tett om å utvikle dagens og morgendagens våpen mot trusler på internett og i datasystemene.

Spillet må endres

Et brukerstyrt innovasjonsprosjekt om cybersikkerhet er ACT, ledet av Mnemonic, der man utvikler nye plattformer og verktøy for effektivt å følge spor etter hackere.

– Vi er ferd med å tape for de kriminelle, og vi trenger en «game changer», noe som endrer spillet, sier Martin Eian, senior sikkerhetsanalytiker i Mnemonic og prosjektleder i ACT.

Han mener dagens sikkerhetssystemer bygger på to misforståelser:

  • At man bare kan identifisere et dataangrep etter at det har skjedd
  • At vellykkede dataangrep skyldes feil på systemet

Forutse og forstå mulige trusler

– Vi ønsker å utvikle systemer som kan gjenkjenne og forutse reaksjonsmønstre og karakteristikker ved de kriminelle, sier han.

Viktig er det også å finne fram til sannsynlige ofre for angrep. For eksempel er det lite sannsynlig at russiske hackere vil angripe datamaskinen hos en frisør på Gjøvik.

– Statoil vil ofte være et opplagt mål, men også Statoils underleverandører. Det finnes mange eksempler på at hackere har brutt seg inn via slike bakdører, sier Eian, som mener målet må være å stanse angrepene før de skjer og også handle raskere etter et angrep.

Det handler om å kunne identifisere dem med urene hensikter på forhånd. Eian mener det kan sammenlignes med hvordan politiet og tollvesenet arbeider for å oppdage og forutsi når  noen prøver å smugle ulovlige varer inn i Norge.

Lærdom om hvordan smuglerne oppfører seg i forkant, kan gjøre det lettere å plukke ut faktiske smuglere ved grensen, der det handler om alt fra kroppsspråk og bevegelsesmønster til hvilke biler de kjører og hvilke land og miljøer de kommer fra.

For flere forskningsnyheter om teknologi og realfag: Følg oss på Facebook eller abonner på nyhetsbrevet vårt.

Matematisk logikk som håndterer uvisshet

Analyseverktøyet som ACT-prosjektet utvikler, benytter i tillegg såkalt subjektiv logikk. Dette er en type logikk som kan håndtere grader av tillit og uvisshet, noe som gjør det mulig å matematisk beregne tillit til indirekte kilder for cyberetterretning.

cyberangrep, hacking, datasikkerhet
De store ranene i framtiden vil være digitale. Foto: Colourbox

Forskerne tar også sikte på å utvikle modeller og verktøy for automatisk å klassifisere og oppdage trusler basert på såkalte ontologier, som handler om å modellere hvordan ulike typer data henger sammen.

– Med ontologier kan vi skape orden og se sammenhenger i hele spekteret av data om cyberangrep, slik at angrepene kan analyseres raskt og effektivt, sier stipendiat Siri Bromander, som jobber med cybersikkerhet i forskningsprosjektet TOCSA, som også er tilknyttet Oslo Analytics og ACT.

Hun har jobbet i Mnemonic i ti år og tar nå en doktorgrad ved UiO som en del av nærings-PHD-ordningen til Forskningsrådet. Både Jøsang, Eian og Bromander selv synes dette er en flott ordning.

– Akademia og industrien samarbeider og støtter hverandre. Og jeg får oppgradert min kompetanse ved siden av jobben, sier hun.

Dataangrep er framtidens ran

Det ble mye blest om det spektakulære Nokas-ranet i 2005 - ikke minst fordi en politimann ble drept.

Like mye oppmerksomhet fikk ikke et digitalt ran i 2016, hvor en bedrager utga seg for å være toppsjefen i et stort internasjonalt firma. De lurte en ansatt i det norske datterselskapet til å overføre 500 millioner kroner til ulike kontoer.

Svindelen ble ikke oppdaget før etter flere dager. Man klarte å stoppe mye av pengestrømmen, men rundt 100 millioner kroner skal ha kommet på avveie – som er omtrent det dobbelte av det Nokas-ranerne fikk med seg.

– Digitaliseringen har gjort at tiden for de store fysiske ranene er over. Det er digitale ran vi vil se mer av fremover, påpeker Jøsang.

Mer på Titan.uio.no:

Kontakt:

Professor Audun Jøsang ved Institutt for informatikk

Skriv ny kommentar

Verifiser deg (din epost-adresse vil ikke bli vist offentlig)

Les også

Teamet som har utviklet den nye elektrolysemodulen

Nye materialer produserer hydrogen mer effektivt og klimavennlig

Drømmen om å bruke en spesiell type keramiske materialer til elektrolyse ved høye temperaturer er snart 30 år gammel, men nå har professor Truls Norby og samarbeidspartnere fått det til. Metoden kan for eksempel omdanne en blanding av metan og vanndamp til hydrogengass og ren CO2, som kan deponeres offshore.