BotTROP zdobywa nagrodę Dowódcy Operacyjnego Rodzajów Sił Zbrojnych na MSPO 2023 w Kielcach
XXXI Międzynarodowy Salon Przemysłu Obronnego MSPO rozpoczął się 5 września i trwał do 9 września 2023 r. Na wystawie można było zobaczyć 10 projektów autorstwa naukowców Wojskowej Akademii Technicznej. Wydział Cybernetyki po raz kolejny wystawił do boju BotTROP, który swoją premierę miał w 2021r. Podczas jubileuszowego XXX MSPO, otrzymał wyróżnienie specjalne. W tym roku system wykrywania botów w sieci korporacyjnej BotTROP zdobył nagrodę Dowódcy Operacyjnego Rodzajów Sił Zbrojnych podczas XXXI Międzynarodowego Salonu Przemysłu Obronnego! Serdeczne gratulacje dla ppłk. dr. inż. Huberta Ostapa autora tego innowacyjnego systemu komputerowego.
Czym jest BotTROP?
Bot TROP- program komputerowy do walki z cyberzagrożeniami wykorzystuje sztuczną inteligencję. Gromadzony przez niego ruch sieciowy, analizowany jest pod kątem identyfikacji urządzeń zainfekowanych złośliwym oprogramowaniem. Dzięki możliwości graficznej prezentacji wyników wykrywa zagrożenia w trybie online, w szczególności na potrzeby Security Operations Center. Program został w pełni zaimplantowany i przetestowany, zarówno na symulowanym, jak i rzeczywistym ruchu złośliwym.
Co wyróżnia BotTROP spośród innych rozwiązań?
Identyfikuje zagrożenia bez konieczności analizy zawartości pakietów. Weryfikacji podlegają metadane (adres docelowy, adres źródłowy, czas wysłania pakietu), a nie informacje przesyłane przez użytkowników sieci.
Nie wymaga instalacji dodatkowego oprogramowania na urządzeniach, które mają podlegać ochronie.
Skuteczny wobec dowolnych protokołów komunikacyjnych, które mogą być wykorzystywane do zarządzania zainfekowanymi urządzeniami.
Działa również wobec zaszyfrowanego ruchu sieciowego.
Jak działa BotTROP?
Narzędzie wyszukuje znamiona aktywności synchronicznej w ruchu sieciowym na styku sieci lokalnej z Internetem. Aktywność synchroniczna występuje nie tylko w fazie ataku, lecz także w fazie tworzenia złośliwego oprogramowania i zarządzania nim. Ten fakt pozwala wykryć zagrożenie jeszcze przed pierwszym atakiem. Umożliwia to administratorowi działania proaktywne. To znaczna poprawa w porównaniu z dotychczasowymi metodami.
Po zidentyfikowaniu aktywności grupowej BotTROP nie tylko identyfikuje wszystkie zainfekowane urządzenia, lecz także – po integracji z firewallem – pozwala zablokować szkodliwy ruch sieciowy dla każdej z zainfekowanych maszyn bez blokowania ruchu legalnego.
Gdzie sprawdzi się BotTROP?
BotTROP z powodzeniem może zostać wykorzystany w środowisku produkcyjnym. Wystarczy jedynie udostępnić ruch sieciowy, który następnie będzie cyklicznie analizowany przez zaimplementowany w BotTROP autorski algorytm sztucznej inteligencji.
Dzięki wdrożonej wizualizacji zagrożeń zidentyfikowanych przez BotTROP administrator ma także możliwość prowadzenia ciągłej obserwacji ruchu sieciowego pod kątem złośliwej aktywności. Szybka identyfikacja nie tylko jest kluczowa dla rozpoznania złośliwego oprogramowania i ustrzeżenia się przed efektami jego działania – np. ekstrakcją wrażliwych informacji czy szyfrowaniem danych, lecz także pozwala zablokować możliwość zarządzania z zewnątrz zainfekowanymi urządzeniami i całkowicie usunąć zagrożenie z sieci.
System opracowano w ramach rozprawy doktorskiej oraz uczelnianego grantu badawczego Instytutu Systemów Informatycznych Wydziału Cybernetyki.
Źródło: WAT