Na pokročilé hrozby je potřeba vyspělá technologie

Martin Řehák je spoluzakladatelem společnosti Cognitive Security, která je od loňského roku součástí síťařského gigantu Cisco Systems.

Na pokročilé hrozby je potřeba vyspělá technologie


Jaké hrozby jsou v současném IT nejzávažnější?

Prvním vzrůstajícím trendem je profesionalita útočníků v oblasti byznys modelu. Většina útoků je dnes přesně zaměřená na konkrétní cílovou skupinu jako například na klienty konkrétní banky. Útočníci se tak snaží lépe a pomocí stále pokročilejších technik zpeněžit prolomené zdroje. Také se neustále zlepšuje technická kvalita útoků, malware je sofistikovanější, preciznější v komunikaci a je schopen se přizpůsobovat novým technologiím obrany. To je další výrazný trend – útočníci se snaží cíleně vyhýbat nasazovaným bezpečnostním řešením a maximalizovat tak šanci na dlouhodobé vytěžování infikovaných počítačů a dalších zařízení, jako například smartphonů. Obecně jsou trendem takzvané APT, neboli Advanced Persistent Threat

S jistou úrovní nadsázky lze tvrdit, že útočníci využívají techniky z oblasti strategického marketingu, yield managementu, teorie her a znalosti bezpečnostního trhu k velmi racionální optimalizaci svých zisků. V tomto ohledu průmysl malwaru dozrává a stabilizuje se.

Jak k bezpečnosti přistupuje Cognitive Security?

Cisco využívá technologií, které vznikají v pražském výzkumném centru, pro robustní detekci neznámých a neobvyklých útoků. Tyto techniky umožňují rychle reagovat na změny chování ze strany útočníků tak, aby byly skutečně účinné. V první řadě jde ale o techniky odhalující útoky v pozdějších fázích jejich cyklu, podle konceptu „Before, During and After“.

O jaký jde koncept?

Tento koncept upozorňuje na stále zřetelnější fundamentální proměnu bezpečnostního průmyslu. Cílem bezpečnostních řešení není jen ochrana perimetru v okamžiku útoku (During), ale je třeba přikročit k několikafázové ochraně.

V první fázi (Before) je nutno definovat a vynutit takové politiky bezpečnosti, které maximalizují šanci na odhalení útočníka ve fázi průniku a v případě jeho úspěchu umožní jeho identifikaci a zneškodnění jeho přítomnosti v síti před tím, než způsobí závažnou škodu. Ve fázi pokusu o průnik (During) je nutné odhalit a zneškodnit maximum útoků. A ve třetí fázi (After) je nutné odhalit probíhající útoky aktivní v síti a zneškodnit je. To je fáze, ve které je klíčová role technologií vyvíjených v pražském centru spolu s technologiemi získanými akvizicí společnosti Sourcefire.

Zmínil jste APT, o co jde?

APT, neboli Advanced Persistent Threat, je souhrnné označení používané pro přesně zacílené útoky prováděné pomocí sofistikovaných postupů a zaměřené na získání přístupu ke konkrétnímu zdroji informací či kontroly nad konkrétními technickými prostředky.

Lze se proti nim účinně bránit?

Pro obranu proti APT jsou velmi důležité preventivní působení ve fázi „Before“ a neustálá analýza ve fázi „After“.

Jakou roli hraje při obraně síť?

Ochrana sítě a analýza provozu v reálném čase mají nezastupitelnou úlohu zejména z důvodů nezávislé kontroly. Zneškodnění prostředků ochrany na napadeném zařízení je standardním operačním postupem většiny útočníků. Prostředky umístěné na síti jsou i v tomto případě schopny nebezpečnou komunikaci či jiné chování detekovat. Ideální je nasadit kombinaci několika prvků, například IDS pro odhalení sekundárních útoků v rámci sítě nebo řešení založená na technologiích Cognitive Security.

Lze skutečně zjistit hrozby jen na základě souhrnných informací pocházejících ze sítě?

Na základě analýzy síťové komunikace lze hrozby velmi efektivně detekovat, a často je tato detekce jednodušší a spolehlivější než v případě nasazení detektorů přímo na chráněné počítače. Na druhou stranu většina útočníků důsledně šifruje komunikaci mezi malwarem a řídicí infrastrukturou, a tak sekundární podrobná analýza často vyžaduje přístup k nakaženému zařízení.

Čtěte také:
→ „České“ bezpečnostní řešení Cognitive Threat Analytics jde do světa
Společnost Cisco implementovala bezpečnostní technologii, kterou získala akvizicíí pražského start-upu Cognitive Security.
→ Cisco a ČVUT se dohodly na výzkumné spolupráci v oblasti kybernetické bezpečnosti
Finanční hodnota pětileté spolupráce dosahuje téměř 500 000 EUR.


Úvodní foto: archiv redakce

Vyšlo v CIO Business World 1/2013
Časopis lze koupit se slevou 20 %





Komentáře