„Doba před zhruba třemi lety byla zlomová. V té době získali hackeři stejné možnosti a často i prostředky, jako mají vlády,“ navazuje v rozhovoru pro E15.cz Michael Shaulov. Ten založil malou bezpečnostní firmu Lacoon, kterou nedávno Check Point koupil za 80 milionů dolarů. Lacoon patří mezi ty společnosti, které se snaží do živého oboru kyberbezpečnosti přinést nové pohledy a technologie.
V současné době tvoří standard pro ochranu počítačových sítí a systémů tradiční technologie jako firewall, VPN, IPS, DDoS ochrana, filtrování URL nebo třeba antispam. Je to roční trh o velikosti dvanácti miliard dolarů a odborníci ze světa kyberbezpečnosti je začínají považovat za nedostačující, respektive pouze za jednu z nutných částí.
Polymorfní viry
Tyto zavedené produkty často reagují pouze na známé a popsané hrozby, ale už si příliš neumí poradit s něčím novým a neprozkoumaným. Jsou tu nové oblasti jako takzvaný sandboxing, forenzní analýza, antibot technologie, threat intelligence a další. „Malware je úplně jiný, umí být polymorfní. Když se ho podaří objevit v jedné aplikaci, sám se modifikuje a přestěhuje jinam – do nové aplikace nebo třeba dokumentu,“ vysvětluje Gil Shwed. Je to i příklad nedávných útoků libanonské hackerské skupiny.
Mění se i způsoby, kudy a jak jsou cílené útoky vedeny. Aktuální průzkumy bezpečnostních společností říkají, že téměř polovina nově objevených útoků je vedena skrze mobilní zařízení. „Mobilní zařízení začínají být pro nové typy útoků naprosto klíčové, jsou to nová zadní vrátka,“ říká v rozhovoru viceprezident Check Pointu Gabi Reish.
Téměř polovina cílených útoků je vedena skrze mobilní zařízení.
Do zmiňovaných nových typů technologií, které alespoň částečně umí s novými hrozbami bojovat, se prozatím příliš neinvestuje. Ročně je to asi 600 milionů dolarů oproti 12 miliardám v technologiích zavedených. Celý kyberbezpečnostní trh každopádně roste. V roce 2013 vygeneroval 62 miliard dolarů, rok poté 67 miliard a v roce 2017 už se očekává 89 miliard dolarů. Investoři čím dále více investují do bezpečnostních startupů a na trhu se etablují netradiční značky a technologie jako FireEye, Fortinet, Palo Alto Networks nebo Sourcefire a Cognitive Security, které spadají pod Cisco.
„Kybernetická bezpečnost není pouze o technologiích, ale také o politice, psychologii, vojenské doktríně a dalších oblastech. Je to bitva mezi státy a je to také internet, který je morálně neutrální,“ popisuje novinář a spisovatel Misha Glenny, který vydal knihu Dark Market zaměřenou právě na počítačovou bezpečnost. „Otázkou je, jak bezpečnost udělat pro lidi zajímavou, pro většinu lidí je to nuda. Komunikace je největší selhání oboru jako takového.“
Silná role cloudu
Spolu s nárůstem mobilních zařízení a mobilních hrozeb je přitom povědomí uživatelů důležité. Velká část útoků je postavená na mobilních aplikacích a vést je mohou i ne úplně zdatní hackeři – stačí využít dostupné nástroje typu Dendroid, které škodlivý kód do aplikací umístí. S novými polymorfními a mobilními malwary je nutné hledat nové cesty, jak se vším bojovat.
Bojovat se známými útoky nestačí, je třeba nepouštět ke slovu i ty neznámé. V tom začíná hodně pomáhat cloud a jeho výpočetní výkon, schopnosti datové analytiky, konektivity a neustálého učení se. „Cloud do hry skutečně přinesl nové možnosti a velice v odhalování neznámých útoků pomáhá,“ souhlasí Gabi Reish. Cloud se postupně učí odhalovat neznámé hrozby a napojení zákazníci mohou provoz odklánět právě přes tuto inteligenci.
Myslíme si, že cloud je jediné řešení tohoto bezpečnostního problému.
„Vidíme, že roste počet mobilních zařízení a spolu s tím také složitost útoků a nároky na bezpečnost. Myslíme si, že cloud je jediné řešení tohoto problému,“ uvedli nedávno při návštěvě Česka zástupci Googlu. „Cloud výrazně zjednodušuje nasazování a rozšiřování bezpečnosti,“ souhlasí již zmiňovaný Michael Shaulov.
„Na to běžné signatury fungovat nikdy nebudou. Většina firem investuje pouze do tradičních protekčních technologií blokujících pouze známé útoky. To se musí změnit a je třeba se přesunout na pružnou ochranu,“ myslí si George Chiorescu z FireEye. Nové technologie, které něco takového umožňují, jsou velice zajímavé.
Odchytit vir procesorem
Konkrétně Check Point na akvizicích (Lacoon a Hyperwise) a vlastním výzkumu postavil funkce Threat Emulation a Threat Extraction. Ta první funguje jako sandbox. Například přílohy z e-mailů jsou posílány do cloudu, kde se emuluje skutečné prostředí a zkouší se, zda soubor neobsahuje škodlivý kód. Systém ve virtuálních strojích zjišťuje, co soubor dělá a jak se chová.
Viry lze odhalovat už na úrovni procesoru. Nehledají se přímo viry, ale odchylky.
Threat Extraction zase bere původní soubory a překlápí je do souborů nových. Příloha e-mailu ve formátu .docx je tak automaticky analyzována a je z ní vytvořen soubor nový, třeba PDF. Jde syrový přetisk informací, takže se lze vyhnout škodlivému kódu. Funkce umí také odstraňovat škodlivá makra a podobně. Check Point tuto funkci nabízí prozatím pouze pro e-maily, chystá se ale také zásuvný modul do prohlížeče.
Na ještě vyšší, respektive nižší úroveň pak míří funkce nazvaný CPU-level Threat Prevention. Ta už podle názvu detekuje škodlivý kód na úrovni procesoru. „Nehledáme malware samotný, ale začátky, které vznikají v úplných základech. Už na úrovni CPU vznikají odchylky,“ vysvětluje prezident Check Pointu Amnon Bar-Lev. Něco podobného už nabízí také Palo Alto Networks.
Právě tato práce s procesorem je výrazným dílem do skládačky. Zmiňovaný sandboxing a emulace útoků je časově poměrně náročná záležitost, která trvá i několik minut. V případě zapojení CPU jsou to sekundy. Izraelský podnik využil nových možností čipů Haswell od Intelu a funkce zavádí už na úrovni BIOSu. Tím, že funkci nabízí skrze cloud nebo skrze vlastní hardwarovou „krabici“, může docílit spolehlivého chodu.
Cestu autora na konferenci CPX 2015 hradila společnost Check Point.
