Ochrana před novými kyberhrozbami

Tradiční bezpečnostní řešení využívající databáze vzorků škodlivého kódu jsou proti moderním kyberhrozbám neúčinné. Doplňují je proto technologie založené na umělé inteligenci.

Ochrana před novými kyberhrozbami


Společnost Accenture již devátým rokem sestavuje studii nákladů, které firmám způsobují kybernetické útoky. Zatím poslední výsledky studie, dotazující přes 2 600 manažerů z více než 350 firem v 11 zemích světa, ukazují jak setrvalý růst počtu kybernetických útoků, tak i výše škod, které jsou jejich následkem způsobené.

V průměru se podniky zúčastněné v průzkumu potýkají se 145 případy narušení bezpečnosti svého IT ročně (zatímco o rok dříve šlo o 130 případů) a průměrné náklady firem spojené s kybernetickým zločinem vzrostly o 1,4 milionu dolarů na současných 13 milionů dolarů ročně. Analytici Accenture uvádějí, že zlepšující se technologie na ochranu před kybernetickými hrozbami nejenže snižují náklady na bezpečnostní incidenty, ale zároveň otevírají nové příležitosti k dosahování zisku – v následujících pěti letech je podle Accenture v této souvislosti ve hře až 5,2 bilionu dolarů.

Vnitřní i vnější nepřítel

Počet případů narušení IT bezpečnosti firem a organizací vzrostl během uplynulých pěti let o 67 %. Mezi lety 2017 a 2018 zaznamenaly největší nárůst (o 21 %) útoky prostřednictvím ransomwaru a také narušení bezpečnosti způsobené samotnými zaměstnanci (o 15 %). Největší hrozbou zůstávají útoky prostřednictvím škodlivého softwaru (mal­waru).

Nové varianty malwaru přitom vznikají prakticky denně a pro současné antimalwarové nástroje je velmi problematické s nimi bojovat, jelikož úspěšnost detekce malwaru je založená na aktuálnosti databází škodlivého softwaru. Nehledě na to je pro klasický antimalware prakticky nemožné detekovat vysoce sofistikované, cílené útoky na sítě firem a organizací. Současně velmi rychle roste také okruh zařízení, na která se kyberzločinci zaměřují.

Po mobilních zařízeních jde především o zařízení internetu věcí, jejichž ochrana je zatím velmi podceňovaná. Také z těchto důvodů globální průzkum kyberbezpečnosti od společnosti PwC uvádí, že 27 % firem a organizací plánuje investovat do řešení kybernetické bezpečnosti, zahrnujících prvky umělé inteligence a strojového učení.

Detekce neznámých útoků

Mezi nejdůležitější úkoly kybernetické bezpečnosti, respektive tvůrců bezpečnostních řešení, je včasné odhalení zatím nepopsaných typů útoků, které je třeba odlišit od legitimního síťového provozu. Za tímto účelem se v bezpečnostních řešeních začínají stále více prosazovat technologie umělé inteligence a strojového učení.

Ty dokážou se zvyšující se úrovní pravděpodobnosti odlišovat běžný provoz v síti od anomálií, které mohou být průvodním jevem probíhajícího kybernetického útoku, případně neoprávněného jednání zaměstnanců připojených k podnikové síti.

Strojové učení se využívá také při analýze podezřelých souborů, které mohou obsahovat zatím neznámé typy malwarové nákazy. Díky tomu je možné v krátké době analyzovat obrovské množství souborů a automatizovaně posoudit, zda-li skutečně obsahují škodlivý kód, nebo je jejich otevření a použití bezpečné.

Technologie strojového učení dokáže identifikovat nakažené soubory se spolehlivostí přes 90 % a díky propojení s antimalwarovým softwarem lze na nové typy kyberútoků reagovat (aktualizací databází škodlivého kódu) v řádu minut či hodin namísto dní. Strojové učení také na základě zpracování obrovského množství dat identifikují obvyklé vzorce kybernetických útoků a pomáhají proti nim vyvinout účinnou strategii obrany.

AI jako nový standard

Na integrování technologií umělé inteligence (Artificial Intelligence, AI) a strojového učení pracují v současné době všichni hlavní dodavatelé bezpečnostních řešení pro podnikové sítě. Tradiční poskytovatelé bezpečnostních řešení mají přitom velkou výhodu v instalované bázi svých produktů, ze kterých mohou nepřetržitě čerpat obrovská množství telemetrických dat k analýze.

Výsledkem je jednak detekce nových typů škodlivého softwaru a identifikace vzorců průběhu kybernetických útoků, ale také označení potenciálně nebezpečných souborů, které je nutné dále prozkoumat, aby bylo možné s konečnou jistotou prohlásit, zdali je jejich obsah bezpečný, či nikoli.

Kybernetické útoky jsou stále častější a sofistikovanější a jejich původci se učí neustále měnit mechanismy útoků a zametat po sobě stopy. Šance, že by bylo možné běžnými metodami odhalovat souvislosti mezi různými typy kyberútoků, je velmi nízká, ale pro současné technologie zpracování dat s využitím strojového učení je taková úloha řešitelná i ve velmi krátkém čase. To umožňuje aktivně reagovat i na tzv. zero day útoky, zneužívající čerstvě objevené mezery v zabezpečení aplikací a systémů.

Technologii umělé inteligence využívají také některá pokročilá řešení typu Endpoint Detection and Response (EDR), jejichž úlohou je bezpečnostní kontrola nad celou sítí, respektive všemi jejími koncovými body. EDR řešení představují další úroveň zabezpečení nad běžnými antimalwarovými prostředky, která umožňuje mnohem detailněji analyzovat bezpečnostní incidenty, vystopovat aktivity kyberútočníků v rámci podnikové sítě a samozřejmě také reagovat na probíhající útoky, a minimalizovat tak jejich následky.

V rámci všech počítačů, serverů a mobilních zařízení spravovaných ve firemní síti využívají pokročilé EDR systémy k analýze událostí technologii umělé inteligence, aby týmu zodpovědnému za IT bezpečnost předkládaly jen konkrétní zpracované bezpečnostní incidenty. Inteligentní analýza umožňuje automatizovat reakce na incidenty, takže je například možné napadené zařízení automaticky izolovat od zbytku sítě, upozornit na něj všechna ostatní zařízení a uskutečnit na něm sběr dat pro důkladnou analýzu.

Podobně se technologie umělé inteligence a strojového učení stávají součástí například i řešení prevence kybernetických útoků (Intrusion Prevention System, IPS), kdy je jejich úlohou vyvíjet a nasazovat preventivní opatření před všemi různými typy kybernetických útoků.

Proaktivní ochrana

Technologie umělé inteligence a strojového učení hrají v boji proti kyberzločincům a stále novým typům útoků zásadní roli, když umožňují eliminovat náskok útočníků, který mají oproti běžným bezpečnostním řešením.
Tak jako útočníci dokážou rychle měnit styl svých útoků, umějí se i moderní bezpečnostní řešení rychle a proaktivně přizpůsobit a tyto útoky detekovat a zastavit. Stinnou stránkou silnějšího zabezpečení podnikových systémů je rostoucí úsilí kyberzločinců při vývoji technik útoků, proti kterým bude i takto posílená obrana, alespoň v prvních okamžicích útoků, neúčinná.


Úvodní foto: Adobe Stock




Komentáře