Kyberválka je teprve na začátku a viry morfují

Škodlivý kód se umí přeměňovat a při odhalení se přesunout jinam. Staré bezpečností technologie už nestačí a je třeba hledat neznámé kusy kódu.
Kyberválka je teprve na začátku a viry morfují

Connect.cz z Amsterodamu: O situaci v posledních letech se dá bez problémů mluvit jako o kybernetické válce. Objevují se velké a finančně podporované cílené útoky, do kterých se vedle soukromých organizací zapojují i státy. Vlády včetně Česka řeší systémy pro ochranu kyberprostoru, kyberválku do priorit začlenilo i NATO. „I tak ale kyberválka teprve začala. Velké útoky, které jsme viděli v loňském roce, jsou pouze prvními vlaštovkami,“ upozorňuje šéf izraelské firmy Check Point Gil Shwed.

„Doba před zhruba třemi lety byla zlomová. V té době získali hackeři stejné možnosti a často i prostředky, jako mají vlády,“ navazuje v rozhovoru pro Connect.cz Michael Shaulov. Ten založil malou bezpečnostní firmu Lacoon, kterou nedávno Check Point koupil za 80 milionů dolarů. Lacoon patří mezi ty společnosti, které se snaží do živého oboru kyberbezpečnosti přinést nové pohledy a technologie.

V současné době tvoří standard pro ochranu počítačových sítí a systémů tradiční technologie jako firewall, VPN, IPS, DDoS ochrana, filtrování URL nebo třeba antispam. Je to roční trh o velikosti dvanácti miliard dolarů a odborníci ze světa kyberbezpečnosti je začínají považovat za nedostačující, respektive pouze za jednu z nutných částí.

Polymorfní viry

Tyto zavedené produkty často reagují pouze na známé a popsané hrozby, ale už si příliš neumí poradit s něčím novým a neprozkoumaným. Jsou tu nové oblasti jako takzvaný sandboxing, forenzní analýza, antibot technologie, threat intelligence a další. „Malware je úplně jiný, umí být polymorfní. Když se ho podaří objevit v jedné aplikaci, sám se modifikuje a přestěhuje jinam – do nové aplikace nebo třeba dokumentu,“ vysvětluje Gil Shwed. Je to i příklad nedávných útoků libanonské hackerské skupiny.

Klepněte pro větší obrázek
V posledních letech jasně vidíme, že útoky platí vlády, říkají odborníci.

Mění se i způsoby, kudy a jak jsou cílené útoky vedeny. Aktuální průzkumy bezpečnostních společností říkají, že téměř polovina nově objevených útoků je vedena skrze mobilní zařízení. „Mobilní zařízení začínají být pro nové typy útoků naprosto klíčové, jsou to nová zadní vrátka,“ říká v rozhovoru viceprezident Check Pointu Gabi Reish.

Do zmiňovaných nových typů technologií, které alespoň částečně umí s novými hrozbami bojovat, se prozatím příliš neinvestuje. Ročně je to asi 600 milionů dolarů oproti 12 miliardám v technologiích zavedených. Celý kyberbezpečnostní trh každopádně roste. V roce 2013 vygeneroval 62 miliard dolarů, rok poté 67 miliard a v roce 2017 už se očekává 89 miliard dolarů. Investoři čím dále více investují do bezpečnostních startupů a na trhu se etablují netradiční značky a technologie jako FireEye, Fortinet, Palo Alto Networks nebo Sourcefire a Cognitive Security, které spadají pod Cisco.

„Kybernetická bezpečnost není pouze o technologiích, ale také o politice, psychologii, vojenské doktríně a dalších oblastech. Je to bitva mezi státy a je to také internet, který je morálně neutrální,“ popisuje novinář a spisovatel Misha Glenny, který vydal knihu Dark Market zaměřenou právě na počítačovou bezpečnost. „Otázkou je, jak bezpečnost udělat pro lidi zajímavou, pro většinu lidí je to nuda. Komunikace je největší selhání oboru jako takového.“

Silná role cloudu

Spolu s nárůstem mobilních zařízení a mobilních hrozeb je přitom povědomí uživatelů důležité. Velká část útoků je postavená na mobilních aplikacích a vést je mohou i ne úplně zdatní hackeři – stačí využít dostupné nástroje typu Dendroid, které škodlivý kód do aplikací umístí. S novými polymorfními a mobilními malwary je nutné hledat nové cesty, jak se vším bojovat.

Bojovat se známými útoky nestačí, je třeba nepouštět ke slovu i ty neznámé. V tom začíná hodně pomáhat cloud a jeho výpočetní výkon, schopnosti datové analytiky, konektivity a neustálého učení se. „Cloud do hry skutečně přinesl nové možnosti a velice v odhalování neznámých útoků pomáhá,“ souhlasí Gabi Reish. Cloud se postupně učí odhalovat neznámé hrozby a napojení zákazníci mohou provoz odklánět právě přes tuto inteligenci.

„Vidíme, že roste počet mobilních zařízení a spolu s tím také složitost útoků a nároky na bezpečnost. Myslíme si, že cloud je jediné řešení tohoto problému,“ uvedli nedávno při návštěvě Česka zástupci Googlu. „Cloud výrazně zjednodušuje nasazování a rozšiřování bezpečnosti,“ souhlasí již zmiňovaný Michael Shaulov.

Bezpečnostní společnost Mandiant, kterou nedávno koupil FireEye, nabízí zajímavá čísla z praxe. Všechny společnosti, které byly napadeny malwarem, měly firewall a aktualizované signatury virů. Průměrně trvá i více než 200 dní, než se na útok v síti přijde a více než měsíc se pak na hrozbu reaguje. Více než 75 procent unikátních detekovaných škodlivých kódů navíc bylo spatřeno pouze jednou – umí se totiž měnit a znovu maskovat.

„Na to běžné signatury fungovat nikdy nebudou. Většina firem investuje pouze do tradičních protekčních technologií blokujících pouze známé útoky. To se musí změnit a je třeba se přesunout na pružnou ochranu,“ myslí si George Chiorescu z FireEye. Nové technologie, které něco takového umožňují, jsou velice zajímavé.

Odchytit vir procesorem

Konkrétně Check Point na akvizicích (Lacoon a Hyperwise) a vlastním výzkumu postavil funkce Threat Emulation a Threat Extraction. Ta první funguje jako sandbox. Například přílohy z e-mailů jsou posílány do cloudu, kde se emuluje skutečné prostředí a zkouší se, zda soubor neobsahuje škodlivý kód. Systém ve virtuálních strojích zjišťuje, co soubor dělá a jak se chová.

Threat Extraction zase bere původní soubory a překlápí je do souborů nových. Příloha e-mailu ve formátu .docx je tak automaticky analyzována a je z ní vytvořen soubor nový, třeba PDF. Jde syrový přetisk informací, takže se lze vyhnout škodlivému kódu. Funkce umí také odstraňovat škodlivá makra a podobně. Check Point tuto funkci nabízí prozatím pouze pro e-maily, chystá se ale také zásuvný modul do prohlížeče.

Na ještě vyšší, respektive nižší úroveň pak míří funkce nazvaný CPU-level Threat Prevention. Ta už podle názvu detekuje škodlivý kód na úrovni procesoru. „Nehledáme malware samotný, ale začátky, které vznikají v úplných základech. Už na úrovni CPU vznikají odchylky,“ vysvětluje prezident Check Pointu Amnon Bar-Lev. Něco podobného už nabízí také Palo Alto Networks.

Právě tato práce s procesorem je výrazným dílem do skládačky. Zmiňovaný sandboxing a emulace útoků je časově poměrně náročná záležitost, která trvá i několik minut. V případě zapojení CPU jsou to sekundy. Izraelský podnik využil nových možností čipů Haswell od Intelu a funkce zavádí už na úrovni BIOSu. Tím, že funkci nabízí skrze cloud nebo skrze vlastní hardwarovou „krabici“, může docílit spolehlivého chodu.

Cestu autora na konferenci CPX 2015 hradila společnost Check Point.

Diskuze (3) Další článek: Podrobný rozbor hlavního čipu Apple Watch i ceny komponent

Témata článku: Byznys, Bezpečnost, Kyberválka, Popsaný výzkum, Kyberbezpečnost, Jediné řešení, Haswell od Intelu, Kyberprostor, Alto, Útok, Kybernetický útok, První vlaštovka, Izraelský podnik, Libanon, Neznámá aplikace, Nová vláda, Fortinet, Skutečné prostředí, Check, Forenzní analýza, Point, Vlaštovka, Check Point, FireEye, Amsterodam


Určitě si přečtěte

3D tisk pro naprosté zelenáče: Co vyrobíte na laciném stroji za pár tisíc korun

3D tisk pro naprosté zelenáče: Co vyrobíte na laciném stroji za pár tisíc korun

** Domácí 3D tisk je dnes už finančně dostupný prakticky všem ** Lacinou tiskárnu pořídíte za pár tisíc korun ** Jak vlastně tisk probíhá a jak navrhnout, co vytisknout

Jakub Čížek | 66

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 98

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

** V Gmailu je řada užitečných funkcí, které možná všechny neznáte ** Odeslání mailu můžete například pozdržet či naplánovat na později ** Nad Gmailem můžete mít s několika triky daleko lepší kontrolu

Karel Kilián | 25

16 tipů a vychytávek, se kterými dokonale ovládnete komunitní navigaci Waze

16 tipů a vychytávek, se kterými dokonale ovládnete komunitní navigaci Waze

** Waze není jen navigace – je to i sociální síť s dopravními informacemi ** Mobilní aplikace skýtá široké možnosti nastavení ** Vybrali jsme pro vás 16 nejzajímavějších tipů a triků

Karel Kilián | 48

Hesla jsou zlo. Hackeři napáchali tolik škody právě proto, že vůbec existují

Hesla jsou zlo. Hackeři napáchali tolik škody právě proto, že vůbec existují

** Nikdo si je nepamatuje ** Žádné není zcela bezpečné ** Nejlepší by bylo je prostě zrušit

Jakub Čížek | 59

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

** Je to velké jako Raspberry Pi ** Ale je to až o několik řádů rychlejší ** Dorazil nám exotický Google Coral s akcelerátorem Edge TPU

Jakub Čížek | 18

Co všechno se spouští se startem Windows a proč by vás to mělo zajímat

Co všechno se spouští se startem Windows a proč by vás to mělo zajímat

** Společně s operačním systémem se spouští řada aplikací a služeb ** Mohou mít negativní dopad na celkovou dobu startu Windows ** Jak získat kontrolu nad automaticky spouštěnými programy?

Karel Kilián | 56

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Dnes proběhla další velká prezentační akce Applu, na které došlo k odhalení nových iPhonů a dalších novinek. Událost jsme sledovali online, a tak se můžete podívat na chronologický zápis těch nejdůležitějších informací.

David Polesný | 136