Sieć to kluczowy element infrastruktury IT w każdej firmie, a bezpieczeństwo firmowych zasobów w znacznym stopniu zależy od poziomu jej zabezpieczenia i odporności na ataki. Jakie są najnowsze koncepcje zwiększania bezpieczeństwa sieci? Przede wszystkim jest to automatyzacja mechanizmów obrony przed zagrożeniami, a w niedalekiej perspektywie również możliwość wykorzystania sztucznej inteligencji. Są to perspektywiczne metody, które mogą istotnie zwiększyć poziom bezpieczeństwa infrastruktury sieciowej.

Wiele firm już ma zainstalowane systemy wyposażone w oprogramowanie do wykrywania zagrożeń oraz analizy incydentów bezpieczeństwa. Ale w większości są to rozwiązania tylko dostarczające informacji, a odpowiednie działania prewencyjne zależą od decyzji podejmowanych przez ludzi – administratorów i analityków odpowiedzialnych za bezpieczeństwo systemów IT.

Wzrost liczby zagrożeń i częstości ich pojawiania powodują, że reakcja oparta na decyzjach podejmowanych przez ludzi, a więc z nieuniknionym opóźnieniem, staje się problemem. Dlatego technologie wykorzystujące mechanizmy automatycznej rekacji na ataki przy ewentualnym wsparciu systemów sztucznej inteligencji i uczenia maszynowego wydają się obecnie jedną z najbardziej perspektywicznych i potencjalnie bardzo efektywnych koncepcji walki z cyberprzestępcami.

Niestety automatyzacja wciąż stwarza problemy

Rozwiązania umożliwiające automatyzację detekcji i reakcji na pojawiające się zagrożenia są obecnie jednym z najważniejszych kierunków rozwoju technologii bezpieczeństwa. Ale automatyzacja reakcji na zagrożenia zarówno w systemie sieciowym, jak i urządzeniach końcowych wciąż stwarza poważne problemy. Dotyczy to między innymi takich zadań, jak automatyczne odtworzenie stanu zaatakowanego urządzenia, eliminacja szkodliwego oprogramowania, izolacja zarażonych urządzeń od sieci firmowej lub automatyczne blokowanie tych sieciowych procesów, które stwarzają zagrożenia.

Na rynku są już dostępne narzędzia do automatyzacji tego typu procesów, ale obecnie jesteśmy wciąż w początkowej fazie rozwoju technologii. „Narzędzia takie mają duży potencjał, ale użytkownicy muszą się z nimi zapoznać i sprawdzić w praktyce jaki jest ich wpływ na działanie systemu IT zanim tego typu rozwiązania zaczną znajdować szerokie zastosowania” mówi Joseph Blankenship, analityk z Forrester Research. Uważa on, że na systemy bezpieczeństwa zapewniające pełną i efektywną automatyzację reakcji na incydenty zagrażające bezpieczeństwu trzeba będzie jeszcze zaczekać co najmniej 3-5 lat.

Obecnie dostępne narzędzia do automatyzacji wciąż budzą kontrowersje i nie znajdują jeszcze szerokiego zastosowania. Niektórzy specjaliści mają wątpliwości czy automatyzacja mechanizmów obrony i ich funkcjonowanie bez udziału człowieka w ogóle może być metodą efektywną. Ale inni zauważają, że wzrost zagrożeń i szybka ewolucja technik wykorzystywanych przez cyberprzestępców do przeprowadzania ataków nie dają wyboru i automatyzacja reakcji jest obecnie jedynym wyjściem.

Jednocześnie rozwój technik detekcji i aktywnego przeciwdziałania zagrożeniom powoduje, że liczba fałszywych alarmów, które mogą zaburzyć funkcjonowanie systemów produkcyjnych istotnie się zmniejsza co jest istotnym warunkiem efektywnego działania systemu bezpieczeństwa.

Obecnie dostępne i powszechnie wykorzystywane narzędzia koncentrują się z reguły na wykrywaniu szkodliwych kodów lub aktywności zagrażającej bezpieczeństwu i generowaniu alarmów, które są podstawą dla decyzji i działań podejmowanych przez analityków odpowiedzialnych za bezpieczeństwo. W ich przypadku praca manualna nie została więc wyeliminowana.

Dobrą wiadomością jest jednak to, że narzędzia takie umożliwiają istotne zwiększenie efektywności i wydajności analityków. Złą natomiast to, że nie ma pewności, czy tego typu rozwiązania będą w stanie nadążyć za innowacjami wprowadzanymi przez cyberprzestępców.

Ochrona całościowa

Choć automatyzacja wykrywania i reakcji na zagrożenia jest kluczowym elementem pomysłów na zwiększenie bezpieczeństwa systemów sieciowych, ale do efektywnego działania wymaga by wszystkie elementy funkcjonujące w sieci dostarczały informacji o transmisji danych i aktywności użytkowników.

Stąd też pojawiły się takie koncepcje, jak promowane m.in. przez Cisco „sieci intuicyjne” IBN (Intent-Based Networking) lub SDSN (Software-Defined Secure Networks), jak określa to Juniper Networks. Są to tylko przykłady, bo tego typu pomysłów jest znacznie więcej.

IBN lub SDSN to architektury przekształacające firmową sieć w jednolitą domenę, której wszystkie elementy są wyposażone we współpracujące mechanizmy bezpieczeństwa. Pozwala to na efektywne zbieranie informacji z całego systemu sieciowego i po ich analizie automatyczne reagowanie na większość pojawiających się problemów, nie tylko tych związanych z bezpieczeństwem.

SDN i bezpieczeństwo

Sterowane programowo sieci SDN zyskują coraz większą popularność. Ale trzeba pamiętać, że pod względem bezpieczeństwa architektura ta ma pewne słabości. Jej podstawą jest kontroler zarządzający działaniem systemu. Często jest to jeden, centralny kontroler sterujący infrastrukturą. W przypadku takiej architektury udany atak może pozwolić hakerom na przejęcie kontroli nad systemem oraz niepożądaną zmianę jego działania lub nawet całkowite sparaliżowanie funkcjonowania. Bo w sieci SDN przełączniki i routery nie są w stanie prawidłowo funkcjonować bez efektywnie działającego kontrolera. Każde jego uszkodzenie może spowodować istotny spadek wydajności systemu, a nawet całkowity brak możliwości transmisji nowych strumieni danych.

Pod tym względem znacznie bezpieczniejsze są systemy SDN wykorzystujące wiele kontrolerów oraz mechanizmy pozwalające na automatyczne wykrywanie niepożądanych zmian i automatyczne lub ręczne odtwarzanie oprogramowania zainfekowanego kontrolera do prawidłowego stanu.

Dlatego też koncentrując się na zaletach SDN związanych z efektywnością, skalowalnością i elastycznością sterowanej programowo infrastruktury podczas planowania wdrożeń nie należy zapominać o bezpieczeństwie i pamiętać o przygotowaniu mechanizmów zapewniających odporność sieci na uszkodzenia i ataki.

Pułapki na hakerów

Technologia wykrywania ataków przez umieszczanie w firmowej sieci pułapek, które udając, że zawierają wartościowe dla włamywaczy dane jest znana od dawna i stosowana wcześniej przede wszystkim w formie tzw. pułapek Honeypots, czyli serwerów pasywnie oczekujących na ewentualne próby ataku.

Obecnie rozwijane są Honeypots nowej generacji najczęściej określane mianem Deception Technology. Są to systemy pozwalające na dynamiczne umieszczanie w firmowej sieci fałszywych informacji lub zasobów, które mają oszukać włamywaczy i zachęcić ich do próby wykradzenia spreparowanych danych. Zdaniem specjalistów są to rozwiązania bardzo obiecujące, jako efektywny mechanizm umożliwiający wykrywanie i przeciwdziałanie zagrożeniom.

Choć cyberprzestępcy wiedzą, że takie pułapki istnieją i starają się ich uniknąć, ale rozwój technologii Deception spowodował, że pozwala ona na uzyskanie istotnej przewagi nad włamywaczami, bo nie są oni w stanie wychwycić co jest pułapką, a co prawdziwym zasobem.

Większość dostępnych na rynku narzędzi pozwalających na uruchomienie systemu pułapek, choć jest efektywna w zakresie wykrywania ataków, ale ogranicza się do generowania alarmów pozostawiając przeciwdziałanie administratorom ds. bezpieczeństwa lub czasami współpracuje z innymi, oferowanymi przez niezależnych producentów programami, które mają możliwości blokowania połączeń, izolacji urządzeń itp., czyli zapobiegania i eliminacji zagrożeń.

Umieszczenie w systemie produkcyjnym zestawu fałszywych danych, które nie mają praktycznego wpływu na jego działanie, ale są wabikiem dla włamywaczy to efektywna metoda wykrywania prób włamań do systemu.

Można jednak oczekiwać, że rozwój tego typu oprogramowania będzie podążał w kierunku integracji mechanizmów aktywnej eliminacji zagrożeń, co już ma miejsce. Dobrym przykładem może być Attivo Deception and Response Platform, rozwiązanie oferowane przez firmę Attivo Networks w formie urządzenia appliance lub usługi chmurowej.

Umożliwia ono stworzenie do 384 pułapek, które z zewnątrz wyglądają, jak rzeczywiste zasoby systemu. Mogą to być fałszywe komputery klienckie, serwery, a także specjalizowane urządzenia branżowe, np. sprzęt medyczny lub kasy fiskalne. Pułapki są tworzone na podstawie obrazów rzeczywistych urządzeń komputerowych działających w sieci, a następnie stale, dynamicznie modyfikowane w sposób, który sprawia wrażenie, że są to urządzenia znajdujące się w ciągłym użyciu.

Producent systematycznie rozszerza liczbę fałszywych urządzeń, które system może udawać. A jak twierdzą przedstawiciele firmy, jeśli klient zgłosi wymagania dotyczące zabezpieczenia nietypowego, nie wykorzystywanego powszechnie typu zasobów, to przygotowanie nowego wzorca pułapki trwa 30-60 dni.

Najnowsza wersja platformy Attivo została też wyposażona w dodatkowe użyteczne funkcje ogólnego zastosowania umożliwiające automatyzację reakcji na zagrożenia. Są to na przykład fałszywe konta pocztowe. Analizują one wszystkie docierające wiadomości e-mail w izolowanym module sandbox, a jeśli zawierają one załączniki lub linki stwarzające zagrożenie automatycznie blokują odpowiednie adresy IP lub e-mail eliminując szkodliwe treści ze skrzynek odbiorczych użytkowników. Oprogramowanie udostępnia też instalowaną w programie pocztowym funkcję, która pozwala jego użytkownikom lub administratorom systemu na przesłanie podejrzanego maila do szczegółowej analizy.