Sviluppato un tool che permette di identificare in anticipo gli attacchi da parte dei worm e di ridurre drasticamente il numero di falsi allarmi.
Si chiama Billy Goat, nome in codice che identifica un nuovo
strumento messo a punto da Ibm per il rilevamento delle intrusione.
Siamo
dunque in presenza di un tool di un tool di intrusion detection, che permette di
identificare in anticipo gli attacchi da parte dei worm e di ridurre
drasticamente il numero di falsi allarmi, caratteristica questa considerata
fondamentale per un sistema di rilevamento delle
intrusioni.
Mascherato come un server di rete, il tool si presenta
come un’esca per gli attacchi, ed è in grado di identificare tempestivamente il
server di origine e di isolarlo efficacemente, evitando che worm e virus possano
propagarsi ulteriormente.
Billy Goat minimizza i falsi allarmi grazie
all’utilizzo di una nuova architettura che combina una virtualizzazione completa
della rete, una interazione fittizia tra i servizi e le potenziali minacce ed un
focus sulla capacità di rilevazione di attacchi automatici.
Il sistema
identifica il software pericoloso rispondendo alle richieste inviate ad
indirizzi IP inutilizzati e presentando quella che agli occhi dei worm appare
come una rete completa di macchine e servizi: in altre parole, dà vita a un
ambiente virtuale per i worm.
La virtualizzazione, presentando servizi
fittizi e registrando i tentativi di connessione con essi, permette al sistema
di scoprire i worm rivelandone l’identità.
Billy Goat è stato sviluppato
dal team di IBM On Demand Innovation Services (ODIS), una partnership formata
dalle divisioni IBM Research e IBM Business Consulting Services.
