Platforma Mobile Threat Defense (MTD) do ciągłej, zautomatyzowanej i wielowymiarowej oceny poziomu zagrożenia bezpieczeństwa urządzeń (SKAM)

Urządzenia mobilne zyskują coraz większe znaczenie w procesie uwierzytelniania użytkownika (cyfrowa tożsamość, operacje bankowe), dlatego jak nigdy wcześniej konieczne jest dbanie o bezpieczeństwo urządzeń mobilnych użytkowników. Tymczasem jest ono w znacznym stopniu zagrożone.

Tylko w 2021 roku zidentyfikowano ponad 2 mln próbek aplikacji złośliwych na urządzenia z systemem operacyjnym Android. W efekcie ok. 23% urządzeń z Androidem miało do czynienia z aplikacjami złośliwymi. Niestety, aplikacje złośliwe, również te najbardziej niebezpieczne, są dostępne w oficjalnym sklepie aplikacji Google Play.

Nasz projekt powstał, aby chronić użytkowników urządzeń mobilnych. Celem projektu było umożliwienie wykrywania złośliwego zachowania nowych aplikacji lub nowych wersji znanych aplikacji, zanim zostaną one dodane do baz szkodliwego oprogramowania.

Wykorzystaliśmy metody uczenia maszynowego do zamodelowania charakterystyki złośliwych aplikacji. Pozwala to na wykrywanie złośliwego charakteru aplikacji zanim zostanie ona umieszczona w bazach malware. Wysoka jakość modeli związana jest z wysoką jakością danych, dlatego w ramach projektu zintegrowaliśmy dane z wielu źródeł, tworząc m.in. laboratorium do monitorowania nowych wersji popularnych aplikacji. Ponieważ charakterystyka aplikacji złośliwych podlega dużej dynamice, dane z tych źródeł są pobierane w trybie ciągłym. Aby uwzględnić pojawianie się nowych zagrożeń, zaprojektowaliśmy i zaimplementowaliśmy automatyczny proces ciągłego odświeżania modelu, ze szczególnym naciskiem na automatyczną walidację budowanych modeli. Szczególną uwagę zwróciliśmy na zachowanie prywatności danych użytkownika i szybkość jego informowania o zagrożeniu. Obie te cechy uzyskaliśmy dzięki lekkiemu modelowi, który pozwala na ocenianie aplikacji bezpośrednio na urządzeniu użytkownika. Dzięki temu informacja o zainstalowanych aplikacjach nie wydostaje się poza jego urządzenie, a informacja o zainstalowaniu potencjalnej złośliwej aplikacji jest dostępna kilka sekund po instalacji.

Wyniki projektu SKAM zostaną wkrótce wdrożone w oferowanym od 2018 roku produkcie BotSense Mobile. Dzięki temu klienci produktu otrzymają możliwość wykrywania bezsygnaturowego opartego na metodach i narzędziach opracowanych w ramach projektu SKAM oprócz dotychczasowego sygnaturowego wykrywania aplikacji szkodliwych. Pozwoli to na detekcję zarówno nowych zagrożeń, jak i tych wywodzących się ze znanych wcześniej źródeł.

Aktualnie BotSense Mobile chroni około 9 mln użytkowników aplikacji mobilnych instytucji rządowych i finansowych. Liczymy, że dzięki nowym metodom ochrony liczba ta zwiększy się, a NASK będzie dysponował kompleksowym rozwiązaniem zabezpieczającym urządzenia mobilne.

Zdaniem kierownika projektu Andrzeja Sikory:

W ostatnich latach obserwujemy, że rola urządzeń mobilnych systematycznie wzrasta. Niestety wraz ze wzrostem dostępności różnorodnych usług na platformach mobilnych, wzrasta liczba cyberataków skierowanych przeciwko ich użytkownikom i dostawcom. Kluczowe wydaje się szybkie wykrywanie i przeciwdziałanie nowym metodom ataków, co stało się możliwe dzięki metodom sztucznej inteligencji.