Cisco se zabývá mnoha oblastmi síťové komunikace a bezpečnosti jak z pohledu hardwaru, tak i softwaru. Navštívili jsme výzkumné centrum firmy v Praze, kde se řeší hlavně oblast analýzy síťového provozu.
Čeští Cognitive Security se v Ciscu neztratí a budou mít značný vliv
Pražská pobočka Cisca se tak podobně jako další po celém světě zabývá technologiemi proti pokročilým kybernetickým hrozbám.
Hlídání podivného chování na síti
Když Cisco kupovalo Cognitive Security v roce 2013, jednalo se o přibližně 28 lidí. Nyní už v kancelářích pracuje kolem 50 lidí a v cílem je tým ještě dále rozšiřovat.
Pražské kanceláře výzkumného centra společnosti Cisco
S akvizicí nepřišla ani tak změna druhu práce, jako spíše přizpůsobení po stránce produktu, které musely zapadat do nabídky Cisca. Hlavní posun je přechod do cloudu, kde probíhá veškeré zpracovávání dat a běží neustále vylepšovaná „inteligence“ zacílená na sledování chování jednotlivých zařízení v průběhu času.
Vyvíjený bezpečnostní systém zjednodušeně funguje tak, že hlídá anomálie, které jsou neobvyklé a díky tomu odhalí, jaké počítače či části infrastruktury v síti jsou infikované a je potřeba je řešit. Dle vyjádření zástupců Cisca většina útoků probíhá dlouhodobě, kdy například malware využívá nakažený počítač v botnetu a podobně. Samotné nakažení ale může být v rámci desítek sekund z nakažené stránky, která například využije chybu ve flashi.
Víc dat víc ví
Technologie Cisco CTA (Cognitive Threat Analytics) umožňuje nebezpečí a útoky rozdělit na několik úrovní a tak prioritizovat, jaké problémy musí daný bezpečnostní tým ve firmě řešit co nejdříve a co jsou pouze menší nebezpečí.
Ukázka dashboardu Cisco CTA
Může se také stát, že incidenty se postupně dostanou z menšího nebezpečí na větší, typicky například když uživateli do pošty dorazí spam. To je poměrně malé nebezpečí. Jakmile ale klikne na link v daném e-mailu a stáhne soubor, riziko se zvýší. Nakonec se může nakazit prohlížeč a dojít k dalšímu zvýšení úrovně nebezpečí.
Veškerá analýza probíhá v rámci síťového provozu a data se posílají do cloudu. Cisco má data z několika milionů počítačů a z mnoha set firem, díky tomu lze porovnat bezpečnost firmy s ostatními v dané kategorii.
Pokud se tak například jedná o banku, může daný bezpečnostní tým porovnat hrozby a množství rizik vůči jiným bankám. Data jsou pochopitelně anonymizovaná v několika vrstvách a hashovaná, přičemž dochází i k „rozšumování“, kdy se zákazníkovi ukáže, že takový problém má například „méně než 10 zákazníků v podobném oboru“ a podobně.
Pokud by útočník chtěl zmást tento systém, bude to mít těžké. Jak Cisco upřesnilo, síťových provoz sleduje přibližně 70 algoritmů a i když by se útočníkovi podařilo „hacknout“ například nějaké hardwarové prvky sloužící jako senzory, stále by zbývalo dost algoritmů, které by si anomálií všimly. Algoritmy se tak navzájem chrání proti manipulaci.
Největší hrozba? Krádež dat
Nebezpečí je mnoho a samotné Cisco je proto řadí a označuje do jednotlivých kategorií, které jsou v přehledném dashboardu i jednoduše prezentovaná. Dle zástupců Cisca považuje za největší hrozbu krádež dat (kategorie 10).
„Data jsou dnes základem každého byznysu. Ať už jsou to data o transakcích platebních karet, data o tom, kolik vyrobím, prodám automobilů a za kolik nebo plány na stavbu jaderného reaktoru. Vždycky je to většinou to nejcennější, co firma má. V druhé řadě je to ransomware – zašifrování dat, což je problém hlavně u menších firem. Větší firmy většinou dokážou obnovit stroj do původní podoby poměrně rychle, protože mají pokročilé zálohování.“ upřesnil Martin Rehák z české pobočky firmy.
Úroveň 8 a 9 je dle klasifikace Cisca kompromitace počítače, která umožňuje útočníkovi si s počítačem dělat, co chce – zjednodušeně kompletní prolomení. Útočník tak například může měnit DNS, ovládat počítač na dálku a další věci.
Na úrovni 6 a 7 je běžný malware, který obsahuje nějaký škodlivý kód – například různé toolbary v prohlížeči a podobně. Lištička může být potenciálně nebezpečná i z pohledu přístupu do internetové banky a dalších systémů, kde s vyšším přístupem může sledovat data v rámci celého prohlížeče. Může se jednat o hrozbu, která potenciálně může infikovat počítač i mimo samotný prohlížeč.
Hardware je stále závislejší na softwaru
Nejnovější napadení NSA ukázalo, že vybrané skupiny mají k dispozici chyby v samotných hardwarových zařízení, které lze využít k prolomení do sítě. Takový hardwarový firewall se v takovém případě stává zbytečnou věcí.
Hackli hackery NSA a chtějí milión Bitcoinů
V uniklých souborech byla zmíněná i zařízení od Cisca (například hardwarový firewall a další), které ale už dle vyjádření dostala ve většině případů nový firmware s opravenou chybou. Problém je ale pochopitelně u hardwaru, na který výrobce nevydává aktualizace a útočníci tak mají od objevení chyby cestu takřka navždy volnou.
Aby bezpečnost vůbec fungovala v dlouhodobém hledisku i do budoucna, musí být hardware silně spojený se softwarem, který je pravidelně aktualizován. I to je jeden z důvodů, proč vlastně dochází k přechodu z prodeje produktu a samotného hardwaru na službu s nějakým pravidelným poplatkem. Už totiž končí doba, kdy stačilo koupit firewall a bylo vyřešeno. Dnes a do budoucna je nutná neustálá správa a aktualizace, což znamená právě službu od samotného výrobce.
Zástupci Cisca tento trend potvrdili, protože bezpečnostních oprav je nutné dělat stále více a častěji a i kdyby si je měl instalovat zákazník sám, nebylo by to ekonomicky efektivní, protože by nedělal nic jiného. Při modelu služby (pronájmu) zákazník nic neřeší, vše se řeší přes cloud (Cisco), které zajišťuje neustálou aktuálnost firmwaru, analýzu dat a podobně.
Cílem je ekonomicky znevýhodnit útok
Analýzy útoku a podezřelého chování využívají umělé inteligence, ale tu pochopitelně mohou stále více používat i samotní útočníci. Kdo tedy nakonec vyhraje?
„Je to samozřejmě závod ve zbrojení, ale matematicky se dá prokázat, že pokud by měl být malware absolutně nedetekovatelný, tak by nesměl přenášet žádnou informaci. Je to nerovnost – čím víc a pravidelněji komunikuje, tím snadněji se dá detekovat, ale čím víc randomizuje, tím méně informací přenáší a tím hůře se dá detekovat. V takovém případě je ale méně užitečný – nemůže infiltrovat data. Naše snaha je dostat útočníky do té meze, že se to ekonomicky nevyplatí,“ upřesnil Jaroslav Gergic.
Útočníci, kteří jsou zaměření na výdělek, musí také řešit další část ekonomiky útoku – dobu návratnosti. Vše je tak závislé na výdělku peněz a efektivity, protože existují různé skupiny s různou specializací, které mezi sebou prodávají vlastní část celé skládanky. Tvůrci malwaru prodají kompromitovaný počítač těm, kteří dokáží monetizovat jeho úpravu a ti ho zase například prodají skupině se specializací na podvodné reklamní sítě, botnety a podobně.
Zabránit útoku nejde, odhalit infiltraci ano
Dle vyjádření není možné zcela zabránit útoku, a to ani s nejlepším hardwarem a softwarem na přístupových bodech. Ale právě monitoring ve stylu Cisco CTA umožňuje odhalit útočníka, který by mohl dlouhodobě fungovat v infrastruktuře bez odhalení běžných antivirů a podobného softwaru.
Větší společnosti tak sice mohou zavirovaný počítač kompletně smazat s tím, že by teoreticky mělo být vše vyřešeno. Útočník už ale zatím využívá infrastrukturu pro sběr a posílání dat. Samotná ochrana přístupových bodů a počítačů tak dnes už není dostatečné zabezpečení, obzvláště pokud jde o společnost, která je pro útočníky zajímavá (banky a podobně).
Podle Jaroslava Gergice lze očekávat, že se bezpečnostní software do budoucna stane komplexním balíkem služeb v cloudu, podobně jako se to třeba stalo v minulosti s kancelářským softwarem na desktopu, kdy došlo ke spojení aplikací jako Word, Excel, PowerPoint do jednoho ucelené řešení.
Podpora mladých mozků
Výzkumné centrum v Praze se snaží značně podporovat studenty z oblasti matematiky, programování, statistiky nebo bezpečnosti (Matfyz, ČVUT a dalších univerzit), kteří spolupracují například na strojovém učení a umělé inteligence.
Součástí kanceláří je i terasa
Část týmu lokální pobočky Cisco tak sice pracuje v rámci výzkumu, zároveň ale dokáže přispívat i do kódové báze a vyvíjet tak software, který je na špici v rámci celosvětového výzkumu. „Pořád hledáme lidi a studenty, kteří s námi budou pracovat v budoucnosti. Pracujeme se studenty velmi brzy – vybíráme diplomové a bakalářské práce a investujeme do lidí, abychom vychovali nové talenty pro nás i pro ostatní.“ dodal Martin Rehák.
