Kyberválka je teprve na začátku a viry morfují

Škodlivý kód se umí přeměňovat a při odhalení se přesunout jinam. Staré bezpečností technologie už nestačí a je třeba hledat neznámé kusy kódu.

Connect.cz z Amsterodamu: O situaci v posledních letech se dá bez problémů mluvit jako o kybernetické válce. Objevují se velké a finančně podporované cílené útoky, do kterých se vedle soukromých organizací zapojují i státy. Vlády včetně Česka řeší systémy pro ochranu kyberprostoru, kyberválku do priorit začlenilo i NATO. „I tak ale kyberválka teprve začala. Velké útoky, které jsme viděli v loňském roce, jsou pouze prvními vlaštovkami,“ upozorňuje šéf izraelské firmy Check Point Gil Shwed.

„Doba před zhruba třemi lety byla zlomová. V té době získali hackeři stejné možnosti a často i prostředky, jako mají vlády,“ navazuje v rozhovoru pro Connect.cz Michael Shaulov. Ten založil malou bezpečnostní firmu Lacoon, kterou nedávno Check Point koupil za 80 milionů dolarů. Lacoon patří mezi ty společnosti, které se snaží do živého oboru kyberbezpečnosti přinést nové pohledy a technologie.

V současné době tvoří standard pro ochranu počítačových sítí a systémů tradiční technologie jako firewall, VPN, IPS, DDoS ochrana, filtrování URL nebo třeba antispam. Je to roční trh o velikosti dvanácti miliard dolarů a odborníci ze světa kyberbezpečnosti je začínají považovat za nedostačující, respektive pouze za jednu z nutných částí.

Polymorfní viry

Tyto zavedené produkty často reagují pouze na známé a popsané hrozby, ale už si příliš neumí poradit s něčím novým a neprozkoumaným. Jsou tu nové oblasti jako takzvaný sandboxing, forenzní analýza, antibot technologie, threat intelligence a další. „Malware je úplně jiný, umí být polymorfní. Když se ho podaří objevit v jedné aplikaci, sám se modifikuje a přestěhuje jinam – do nové aplikace nebo třeba dokumentu,“ vysvětluje Gil Shwed. Je to i příklad nedávných útoků libanonské hackerské skupiny.

Klepněte pro větší obrázek
V posledních letech jasně vidíme, že útoky platí vlády, říkají odborníci.

Mění se i způsoby, kudy a jak jsou cílené útoky vedeny. Aktuální průzkumy bezpečnostních společností říkají, že téměř polovina nově objevených útoků je vedena skrze mobilní zařízení. „Mobilní zařízení začínají být pro nové typy útoků naprosto klíčové, jsou to nová zadní vrátka,“ říká v rozhovoru viceprezident Check Pointu Gabi Reish.

Do zmiňovaných nových typů technologií, které alespoň částečně umí s novými hrozbami bojovat, se prozatím příliš neinvestuje. Ročně je to asi 600 milionů dolarů oproti 12 miliardám v technologiích zavedených. Celý kyberbezpečnostní trh každopádně roste. V roce 2013 vygeneroval 62 miliard dolarů, rok poté 67 miliard a v roce 2017 už se očekává 89 miliard dolarů. Investoři čím dále více investují do bezpečnostních startupů a na trhu se etablují netradiční značky a technologie jako FireEye, Fortinet, Palo Alto Networks nebo Sourcefire a Cognitive Security, které spadají pod Cisco.

„Kybernetická bezpečnost není pouze o technologiích, ale také o politice, psychologii, vojenské doktríně a dalších oblastech. Je to bitva mezi státy a je to také internet, který je morálně neutrální,“ popisuje novinář a spisovatel Misha Glenny, který vydal knihu Dark Market zaměřenou právě na počítačovou bezpečnost. „Otázkou je, jak bezpečnost udělat pro lidi zajímavou, pro většinu lidí je to nuda. Komunikace je největší selhání oboru jako takového.“

Silná role cloudu

Spolu s nárůstem mobilních zařízení a mobilních hrozeb je přitom povědomí uživatelů důležité. Velká část útoků je postavená na mobilních aplikacích a vést je mohou i ne úplně zdatní hackeři – stačí využít dostupné nástroje typu Dendroid, které škodlivý kód do aplikací umístí. S novými polymorfními a mobilními malwary je nutné hledat nové cesty, jak se vším bojovat.

Bojovat se známými útoky nestačí, je třeba nepouštět ke slovu i ty neznámé. V tom začíná hodně pomáhat cloud a jeho výpočetní výkon, schopnosti datové analytiky, konektivity a neustálého učení se. „Cloud do hry skutečně přinesl nové možnosti a velice v odhalování neznámých útoků pomáhá,“ souhlasí Gabi Reish. Cloud se postupně učí odhalovat neznámé hrozby a napojení zákazníci mohou provoz odklánět právě přes tuto inteligenci.

„Vidíme, že roste počet mobilních zařízení a spolu s tím také složitost útoků a nároky na bezpečnost. Myslíme si, že cloud je jediné řešení tohoto problému,“ uvedli nedávno při návštěvě Česka zástupci Googlu. „Cloud výrazně zjednodušuje nasazování a rozšiřování bezpečnosti,“ souhlasí již zmiňovaný Michael Shaulov.

Bezpečnostní společnost Mandiant, kterou nedávno koupil FireEye, nabízí zajímavá čísla z praxe. Všechny společnosti, které byly napadeny malwarem, měly firewall a aktualizované signatury virů. Průměrně trvá i více než 200 dní, než se na útok v síti přijde a více než měsíc se pak na hrozbu reaguje. Více než 75 procent unikátních detekovaných škodlivých kódů navíc bylo spatřeno pouze jednou – umí se totiž měnit a znovu maskovat.

„Na to běžné signatury fungovat nikdy nebudou. Většina firem investuje pouze do tradičních protekčních technologií blokujících pouze známé útoky. To se musí změnit a je třeba se přesunout na pružnou ochranu,“ myslí si George Chiorescu z FireEye. Nové technologie, které něco takového umožňují, jsou velice zajímavé.

Odchytit vir procesorem

Konkrétně Check Point na akvizicích (Lacoon a Hyperwise) a vlastním výzkumu postavil funkce Threat Emulation a Threat Extraction. Ta první funguje jako sandbox. Například přílohy z e-mailů jsou posílány do cloudu, kde se emuluje skutečné prostředí a zkouší se, zda soubor neobsahuje škodlivý kód. Systém ve virtuálních strojích zjišťuje, co soubor dělá a jak se chová.

Threat Extraction zase bere původní soubory a překlápí je do souborů nových. Příloha e-mailu ve formátu .docx je tak automaticky analyzována a je z ní vytvořen soubor nový, třeba PDF. Jde syrový přetisk informací, takže se lze vyhnout škodlivému kódu. Funkce umí také odstraňovat škodlivá makra a podobně. Check Point tuto funkci nabízí prozatím pouze pro e-maily, chystá se ale také zásuvný modul do prohlížeče.

Na ještě vyšší, respektive nižší úroveň pak míří funkce nazvaný CPU-level Threat Prevention. Ta už podle názvu detekuje škodlivý kód na úrovni procesoru. „Nehledáme malware samotný, ale začátky, které vznikají v úplných základech. Už na úrovni CPU vznikají odchylky,“ vysvětluje prezident Check Pointu Amnon Bar-Lev. Něco podobného už nabízí také Palo Alto Networks.

Právě tato práce s procesorem je výrazným dílem do skládačky. Zmiňovaný sandboxing a emulace útoků je časově poměrně náročná záležitost, která trvá i několik minut. V případě zapojení CPU jsou to sekundy. Izraelský podnik využil nových možností čipů Haswell od Intelu a funkce zavádí už na úrovni BIOSu. Tím, že funkci nabízí skrze cloud nebo skrze vlastní hardwarovou „krabici“, může docílit spolehlivého chodu.

Cestu autora na konferenci CPX 2015 hradila společnost Check Point.

Diskuze (3) Další článek: Podrobný rozbor hlavního čipu Apple Watch i ceny komponent

Témata článku: Byznys, Bezpečnost, Kyberválka, Point, Alto, Kyberbezpečnost, Sandbox, Neznámá aplikace, Forenzní analýza, Jediné řešení, Amsterodam, FireEye, Tep, Mor, Threat Intelligence, Kybernetický útok, První vlaštovka, Dark, Úplný základ, Kybernetická bezpečnost, Palo Alto, Extraction, Izraelský podnik, Náročná záležitost, Skutečné prostředí



Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Konec českého poskytovatele internetu v přímém přenosu. Připomíná to krachující energetické firmy
Lukáš Václavík
CETINPoskytovatelé internetuPřipojení k internetu
Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

** Dnešní telefony se předhánějí v tom, který z nich bude větší ** Malé telefony na trhu skoro vyhynuly... ** Čínská značka si připravila telefon do dlaně s třípalcovým displejem

Martin Chroust
InfraportKompaktní velikostSmartphony
Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

** Smartphone s Androidem dnes využijete i pro autodiagnostiku ** Jednotku OBD-II dnes pořídíte za pár stovek ** Co se vše dokáže diagnostika s bezplatným SW v češtině?

Martin Chroust
DiagnostikaPro řidiče
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

** Sdílení účtů mezi kamarády je jen začátek ** Dnes letí nákupy předplatných v Indii nebo na Aliexpressu ** Superlevné „netflixy“ ale mohou nakonec spíš škodit

Lukáš Václavík
PředplatnéNetflixSpotify
15 praktických tipů a triků pro Mapy.cz, které možná neznáte

15 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme 15 tipů a triků, o kterých možná nevíte

Karel Kilián
Mapy.czMapyTipy