Kyberválka je teprve na začátku a viry morfují

Škodlivý kód se umí přeměňovat a při odhalení se přesunout jinam. Staré bezpečností technologie už nestačí a je třeba hledat neznámé kusy kódu.

Connect.cz z Amsterodamu: O situaci v posledních letech se dá bez problémů mluvit jako o kybernetické válce. Objevují se velké a finančně podporované cílené útoky, do kterých se vedle soukromých organizací zapojují i státy. Vlády včetně Česka řeší systémy pro ochranu kyberprostoru, kyberválku do priorit začlenilo i NATO. „I tak ale kyberválka teprve začala. Velké útoky, které jsme viděli v loňském roce, jsou pouze prvními vlaštovkami,“ upozorňuje šéf izraelské firmy Check Point Gil Shwed.

„Doba před zhruba třemi lety byla zlomová. V té době získali hackeři stejné možnosti a často i prostředky, jako mají vlády,“ navazuje v rozhovoru pro Connect.cz Michael Shaulov. Ten založil malou bezpečnostní firmu Lacoon, kterou nedávno Check Point koupil za 80 milionů dolarů. Lacoon patří mezi ty společnosti, které se snaží do živého oboru kyberbezpečnosti přinést nové pohledy a technologie.

V současné době tvoří standard pro ochranu počítačových sítí a systémů tradiční technologie jako firewall, VPN, IPS, DDoS ochrana, filtrování URL nebo třeba antispam. Je to roční trh o velikosti dvanácti miliard dolarů a odborníci ze světa kyberbezpečnosti je začínají považovat za nedostačující, respektive pouze za jednu z nutných částí.

Polymorfní viry

Tyto zavedené produkty často reagují pouze na známé a popsané hrozby, ale už si příliš neumí poradit s něčím novým a neprozkoumaným. Jsou tu nové oblasti jako takzvaný sandboxing, forenzní analýza, antibot technologie, threat intelligence a další. „Malware je úplně jiný, umí být polymorfní. Když se ho podaří objevit v jedné aplikaci, sám se modifikuje a přestěhuje jinam – do nové aplikace nebo třeba dokumentu,“ vysvětluje Gil Shwed. Je to i příklad nedávných útoků libanonské hackerské skupiny.

Klepněte pro větší obrázek
V posledních letech jasně vidíme, že útoky platí vlády, říkají odborníci.

Mění se i způsoby, kudy a jak jsou cílené útoky vedeny. Aktuální průzkumy bezpečnostních společností říkají, že téměř polovina nově objevených útoků je vedena skrze mobilní zařízení. „Mobilní zařízení začínají být pro nové typy útoků naprosto klíčové, jsou to nová zadní vrátka,“ říká v rozhovoru viceprezident Check Pointu Gabi Reish.

Do zmiňovaných nových typů technologií, které alespoň částečně umí s novými hrozbami bojovat, se prozatím příliš neinvestuje. Ročně je to asi 600 milionů dolarů oproti 12 miliardám v technologiích zavedených. Celý kyberbezpečnostní trh každopádně roste. V roce 2013 vygeneroval 62 miliard dolarů, rok poté 67 miliard a v roce 2017 už se očekává 89 miliard dolarů. Investoři čím dále více investují do bezpečnostních startupů a na trhu se etablují netradiční značky a technologie jako FireEye, Fortinet, Palo Alto Networks nebo Sourcefire a Cognitive Security, které spadají pod Cisco.

„Kybernetická bezpečnost není pouze o technologiích, ale také o politice, psychologii, vojenské doktríně a dalších oblastech. Je to bitva mezi státy a je to také internet, který je morálně neutrální,“ popisuje novinář a spisovatel Misha Glenny, který vydal knihu Dark Market zaměřenou právě na počítačovou bezpečnost. „Otázkou je, jak bezpečnost udělat pro lidi zajímavou, pro většinu lidí je to nuda. Komunikace je největší selhání oboru jako takového.“

Silná role cloudu

Spolu s nárůstem mobilních zařízení a mobilních hrozeb je přitom povědomí uživatelů důležité. Velká část útoků je postavená na mobilních aplikacích a vést je mohou i ne úplně zdatní hackeři – stačí využít dostupné nástroje typu Dendroid, které škodlivý kód do aplikací umístí. S novými polymorfními a mobilními malwary je nutné hledat nové cesty, jak se vším bojovat.

Bojovat se známými útoky nestačí, je třeba nepouštět ke slovu i ty neznámé. V tom začíná hodně pomáhat cloud a jeho výpočetní výkon, schopnosti datové analytiky, konektivity a neustálého učení se. „Cloud do hry skutečně přinesl nové možnosti a velice v odhalování neznámých útoků pomáhá,“ souhlasí Gabi Reish. Cloud se postupně učí odhalovat neznámé hrozby a napojení zákazníci mohou provoz odklánět právě přes tuto inteligenci.

„Vidíme, že roste počet mobilních zařízení a spolu s tím také složitost útoků a nároky na bezpečnost. Myslíme si, že cloud je jediné řešení tohoto problému,“ uvedli nedávno při návštěvě Česka zástupci Googlu. „Cloud výrazně zjednodušuje nasazování a rozšiřování bezpečnosti,“ souhlasí již zmiňovaný Michael Shaulov.

Bezpečnostní společnost Mandiant, kterou nedávno koupil FireEye, nabízí zajímavá čísla z praxe. Všechny společnosti, které byly napadeny malwarem, měly firewall a aktualizované signatury virů. Průměrně trvá i více než 200 dní, než se na útok v síti přijde a více než měsíc se pak na hrozbu reaguje. Více než 75 procent unikátních detekovaných škodlivých kódů navíc bylo spatřeno pouze jednou – umí se totiž měnit a znovu maskovat.

„Na to běžné signatury fungovat nikdy nebudou. Většina firem investuje pouze do tradičních protekčních technologií blokujících pouze známé útoky. To se musí změnit a je třeba se přesunout na pružnou ochranu,“ myslí si George Chiorescu z FireEye. Nové technologie, které něco takového umožňují, jsou velice zajímavé.

Odchytit vir procesorem

Konkrétně Check Point na akvizicích (Lacoon a Hyperwise) a vlastním výzkumu postavil funkce Threat Emulation a Threat Extraction. Ta první funguje jako sandbox. Například přílohy z e-mailů jsou posílány do cloudu, kde se emuluje skutečné prostředí a zkouší se, zda soubor neobsahuje škodlivý kód. Systém ve virtuálních strojích zjišťuje, co soubor dělá a jak se chová.

Threat Extraction zase bere původní soubory a překlápí je do souborů nových. Příloha e-mailu ve formátu .docx je tak automaticky analyzována a je z ní vytvořen soubor nový, třeba PDF. Jde syrový přetisk informací, takže se lze vyhnout škodlivému kódu. Funkce umí také odstraňovat škodlivá makra a podobně. Check Point tuto funkci nabízí prozatím pouze pro e-maily, chystá se ale také zásuvný modul do prohlížeče.

Na ještě vyšší, respektive nižší úroveň pak míří funkce nazvaný CPU-level Threat Prevention. Ta už podle názvu detekuje škodlivý kód na úrovni procesoru. „Nehledáme malware samotný, ale začátky, které vznikají v úplných základech. Už na úrovni CPU vznikají odchylky,“ vysvětluje prezident Check Pointu Amnon Bar-Lev. Něco podobného už nabízí také Palo Alto Networks.

Právě tato práce s procesorem je výrazným dílem do skládačky. Zmiňovaný sandboxing a emulace útoků je časově poměrně náročná záležitost, která trvá i několik minut. V případě zapojení CPU jsou to sekundy. Izraelský podnik využil nových možností čipů Haswell od Intelu a funkce zavádí už na úrovni BIOSu. Tím, že funkci nabízí skrze cloud nebo skrze vlastní hardwarovou „krabici“, může docílit spolehlivého chodu.

Cestu autora na konferenci CPX 2015 hradila společnost Check Point.

Témata článku: Byznys, Bezpečnost

3 komentářů

Nejnovější komentáře

  • Marek Novak 4. 5. 2015 5:25:23
    AmsterOdam?
Určitě si přečtěte

Veronika Brázdilová z Xeroxu: snažíme se zákazníkům ušetřit čas

Veronika Brázdilová z Xeroxu: snažíme se zákazníkům ušetřit čas

** Tisk i přes silnou digitální vlnu stále přežívá ** Trh tiskového hardwaru meziročně klesá velmi pozvolna ** U velkých firem roste přechod na pronájem a tisk jako služby

Včera | Javůrek Karel | 5

Vojenská rozvědka se promění v NSA. Bude nás moci všechny sledovat. Přinášíme detailní rozbor novely zákona

Vojenská rozvědka se promění v NSA. Bude nás moci všechny sledovat. Přinášíme detailní rozbor novely zákona

** Vláda připravila novelu o Vojenském zpravodajství ** Agenti se dostanou do každé sítě ** Operátoři o tom budou muset mlčet

Včera | Čížek Jakub | 66