Przyszłość bezpieczeństwa sieci

Automatyzacja mechanizmów obrony przed zagrożeniami to perspektywiczna metoda, która może istotnie zwiększyć poziom bezpieczeństwa infrastruktury sieciowej, a w efekcie również systemów IT.

Sieć to kluczowy element infrastruktury IT w każdej firmie, a bezpieczeństwo firmowych zasobów w znacznym stopniu zależy od poziomu jej zabezpieczenia i odporności na ataki. Jakie są najnowsze koncepcje zwiększania bezpieczeństwa sieci? Przede wszystkim jest to automatyzacja mechanizmów obrony przed zagrożeniami, a w niedalekiej perspektywie również możliwość wykorzystania sztucznej inteligencji. Są to perspektywiczne metody, które mogą istotnie zwiększyć poziom bezpieczeństwa infrastruktury sieciowej.

Wiele firm już ma zainstalowane systemy wyposażone w oprogramowanie do wykrywania zagrożeń oraz analizy incydentów bezpieczeństwa. Ale w większości są to rozwiązania tylko dostarczające informacji, a odpowiednie działania prewencyjne zależą od decyzji podejmowanych przez ludzi – administratorów i analityków odpowiedzialnych za bezpieczeństwo systemów IT.

Zobacz również:

Wzrost liczby zagrożeń i częstości ich pojawiania powodują, że reakcja oparta na decyzjach podejmowanych przez ludzi, a więc z nieuniknionym opóźnieniem, staje się problemem. Dlatego technologie wykorzystujące mechanizmy automatycznej rekacji na ataki przy ewentualnym wsparciu systemów sztucznej inteligencji i uczenia maszynowego wydają się obecnie jedną z najbardziej perspektywicznych i potencjalnie bardzo efektywnych koncepcji walki z cyberprzestępcami.

Niestety automatyzacja wciąż stwarza problemy

Rozwiązania umożliwiające automatyzację detekcji i reakcji na pojawiające się zagrożenia są obecnie jednym z najważniejszych kierunków rozwoju technologii bezpieczeństwa. Ale automatyzacja reakcji na zagrożenia zarówno w systemie sieciowym, jak i urządzeniach końcowych wciąż stwarza poważne problemy. Dotyczy to między innymi takich zadań, jak automatyczne odtworzenie stanu zaatakowanego urządzenia, eliminacja szkodliwego oprogramowania, izolacja zarażonych urządzeń od sieci firmowej lub automatyczne blokowanie tych sieciowych procesów, które stwarzają zagrożenia.

Na rynku są już dostępne narzędzia do automatyzacji tego typu procesów, ale obecnie jesteśmy wciąż w początkowej fazie rozwoju technologii. „Narzędzia takie mają duży potencjał, ale użytkownicy muszą się z nimi zapoznać i sprawdzić w praktyce jaki jest ich wpływ na działanie systemu IT zanim tego typu rozwiązania zaczną znajdować szerokie zastosowania” mówi Joseph Blankenship, analityk z Forrester Research. Uważa on, że na systemy bezpieczeństwa zapewniające pełną i efektywną automatyzację reakcji na incydenty zagrażające bezpieczeństwu trzeba będzie jeszcze zaczekać co najmniej 3-5 lat.

Obecnie dostępne narzędzia do automatyzacji wciąż budzą kontrowersje i nie znajdują jeszcze szerokiego zastosowania. Niektórzy specjaliści mają wątpliwości czy automatyzacja mechanizmów obrony i ich funkcjonowanie bez udziału człowieka w ogóle może być metodą efektywną. Ale inni zauważają, że wzrost zagrożeń i szybka ewolucja technik wykorzystywanych przez cyberprzestępców do przeprowadzania ataków nie dają wyboru i automatyzacja reakcji jest obecnie jedynym wyjściem.

Jednocześnie rozwój technik detekcji i aktywnego przeciwdziałania zagrożeniom powoduje, że liczba fałszywych alarmów, które mogą zaburzyć funkcjonowanie systemów produkcyjnych istotnie się zmniejsza co jest istotnym warunkiem efektywnego działania systemu bezpieczeństwa.

Pieniądz jest nerwem wojny

„Pieniądz jest nerwem wojny” – to sławne powiedzenie Cycerona przez 2000 lat jest wciąż aktualne. Jednak tradycyjne konflikty militarne straciły nieco na znaczeniu, ponieważ to wiedza stanowi teraz najwyższą wartość, a nie zasoby naturalne. Nie zmieniło się to, że wojnę zarówno w świecie cyfrowym, jak i rzeczywistym wygrać może tylko ten, kto sprawi, że dla przeciwnika koszty wojny będą wyższe niż zyski.

Rozważając przyszłość bezpieczeństwa sieci, kluczowe jest spojrzenie na piramidę bólu, która określa, jak wielkie koszty są w stanie spowodować nasze systemy obrony po stronie hakera. Na jej dole, z najniższym poziomem bólu zadawanego atakującemu, znajdziemy systemy opierające swoje działania na sumach kontrolnych plików. Choć dają 100-proc. pewność detekcji, to jednak koszt zmiany złośliwego programu, aby miał inny „hash”, jest dla hakera bliski zeru. Nieco wyżej w hierarchii znajdziemy adresy IP, również bardzo łatwe do zmiany. Dalej, bliżej środka piramidy, znajdziemy rozwiązania działające na podstawie list domen o złej reputacji. Będą to m.in. serwery DNS z wbudowaną funkcjonalnością Response Policy Zone. Są to całkiem skuteczne rozwiązania, jednak nadal hakerzy mogą obchodzić je dość niskim kosztem, korzystając np. z zaszytych w malware algorytmów Domain Generation Algorithm (DGA) oraz Dictionary DGA. Dopiero sięgnięcie po metody uczenia maszynowego dają możliwość uderzenia w najwyższy punkt piramidy, a więc wymuszenia największych kosztów po stronie atakującego. Chodzi tutaj o taktykę, technikę i procedury (TTP).

Przykładem obrony na tym poziomie jest analiza behawioralna zapytań DNS. Badając m.in. poziom entropii czy analizując N-gramy, serwer DNS jest w stanie wykryć transmisję danych w zwykłych zapytaniach DNS. Zablokowanie wycieku danych bądź komunikacji C2 przez protokół DNS wymusza na atakującym całkowitą zmianę techniki, konieczność wymyślenia i stworzenia nowego oprogramowania, a tym samym generuje największe koszty. Podobnie zastosowanie grafu słów do analizy słownikowych algorytmów DGA sprawia, że nie wystarczy zamiana w malware słowników używanych do tworzenia domen, gdyż serwer DNS będzie w stanie automatycznie wyodrębnić te słowniki z zapytań DNS, bez potrzeby manualnej inżynierii wstecznej malware. Ponownie po stronie atakującego powstają duże koszty stworzenia nowej strategii oraz nowych narzędzi walki. Stosowane przez Infoblox algorytmy dowodzą słuszności tezy, że obecnie to wiedza ma najwyższą wartość.

Piotr Głaska

Senior Systems Engineer

Infoblox

Obecnie dostępne i powszechnie wykorzystywane narzędzia koncentrują się z reguły na wykrywaniu szkodliwych kodów lub aktywności zagrażającej bezpieczeństwu i generowaniu alarmów, które są podstawą dla decyzji i działań podejmowanych przez analityków odpowiedzialnych za bezpieczeństwo. W ich przypadku praca manualna nie została więc wyeliminowana.

Dobrą wiadomością jest jednak to, że narzędzia takie umożliwiają istotne zwiększenie efektywności i wydajności analityków. Złą natomiast to, że nie ma pewności, czy tego typu rozwiązania będą w stanie nadążyć za innowacjami wprowadzanymi przez cyberprzestępców.

Ochrona całościowa

Choć automatyzacja wykrywania i reakcji na zagrożenia jest kluczowym elementem pomysłów na zwiększenie bezpieczeństwa systemów sieciowych, ale do efektywnego działania wymaga by wszystkie elementy funkcjonujące w sieci dostarczały informacji o transmisji danych i aktywności użytkowników.

Stąd też pojawiły się takie koncepcje, jak promowane m.in. przez Cisco „sieci intuicyjne” IBN (Intent-Based Networking) lub SDSN (Software-Defined Secure Networks), jak określa to Juniper Networks. Są to tylko przykłady, bo tego typu pomysłów jest znacznie więcej.

IBN lub SDSN to architektury przekształacające firmową sieć w jednolitą domenę, której wszystkie elementy są wyposażone we współpracujące mechanizmy bezpieczeństwa. Pozwala to na efektywne zbieranie informacji z całego systemu sieciowego i po ich analizie automatyczne reagowanie na większość pojawiających się problemów, nie tylko tych związanych z bezpieczeństwem.

SDN i bezpieczeństwo

Sterowane programowo sieci SDN zyskują coraz większą popularność. Ale trzeba pamiętać, że pod względem bezpieczeństwa architektura ta ma pewne słabości. Jej podstawą jest kontroler zarządzający działaniem systemu. Często jest to jeden, centralny kontroler sterujący infrastrukturą. W przypadku takiej architektury udany atak może pozwolić hakerom na przejęcie kontroli nad systemem oraz niepożądaną zmianę jego działania lub nawet całkowite sparaliżowanie funkcjonowania. Bo w sieci SDN przełączniki i routery nie są w stanie prawidłowo funkcjonować bez efektywnie działającego kontrolera. Każde jego uszkodzenie może spowodować istotny spadek wydajności systemu, a nawet całkowity brak możliwości transmisji nowych strumieni danych.

Pod tym względem znacznie bezpieczniejsze są systemy SDN wykorzystujące wiele kontrolerów oraz mechanizmy pozwalające na automatyczne wykrywanie niepożądanych zmian i automatyczne lub ręczne odtwarzanie oprogramowania zainfekowanego kontrolera do prawidłowego stanu.

Dlatego też koncentrując się na zaletach SDN związanych z efektywnością, skalowalnością i elastycznością sterowanej programowo infrastruktury podczas planowania wdrożeń nie należy zapominać o bezpieczeństwie i pamiętać o przygotowaniu mechanizmów zapewniających odporność sieci na uszkodzenia i ataki.

Pułapki na hakerów

Technologia wykrywania ataków przez umieszczanie w firmowej sieci pułapek, które udając, że zawierają wartościowe dla włamywaczy dane jest znana od dawna i stosowana wcześniej przede wszystkim w formie tzw. pułapek Honeypots, czyli serwerów pasywnie oczekujących na ewentualne próby ataku.

Obecnie rozwijane są Honeypots nowej generacji najczęściej określane mianem Deception Technology. Są to systemy pozwalające na dynamiczne umieszczanie w firmowej sieci fałszywych informacji lub zasobów, które mają oszukać włamywaczy i zachęcić ich do próby wykradzenia spreparowanych danych. Zdaniem specjalistów są to rozwiązania bardzo obiecujące, jako efektywny mechanizm umożliwiający wykrywanie i przeciwdziałanie zagrożeniom.

Choć cyberprzestępcy wiedzą, że takie pułapki istnieją i starają się ich uniknąć, ale rozwój technologii Deception spowodował, że pozwala ona na uzyskanie istotnej przewagi nad włamywaczami, bo nie są oni w stanie wychwycić co jest pułapką, a co prawdziwym zasobem.

Większość dostępnych na rynku narzędzi pozwalających na uruchomienie systemu pułapek, choć jest efektywna w zakresie wykrywania ataków, ale ogranicza się do generowania alarmów pozostawiając przeciwdziałanie administratorom ds. bezpieczeństwa lub czasami współpracuje z innymi, oferowanymi przez niezależnych producentów programami, które mają możliwości blokowania połączeń, izolacji urządzeń itp., czyli zapobiegania i eliminacji zagrożeń.

Umieszczenie w systemie produkcyjnym zestawu fałszywych danych, które nie mają praktycznego wpływu na jego działanie, ale są wabikiem dla włamywaczy to efektywna metoda wykrywania prób włamań do systemu.

Można jednak oczekiwać, że rozwój tego typu oprogramowania będzie podążał w kierunku integracji mechanizmów aktywnej eliminacji zagrożeń, co już ma miejsce. Dobrym przykładem może być Attivo Deception and Response Platform, rozwiązanie oferowane przez firmę Attivo Networks w formie urządzenia appliance lub usługi chmurowej.

Umożliwia ono stworzenie do 384 pułapek, które z zewnątrz wyglądają, jak rzeczywiste zasoby systemu. Mogą to być fałszywe komputery klienckie, serwery, a także specjalizowane urządzenia branżowe, np. sprzęt medyczny lub kasy fiskalne. Pułapki są tworzone na podstawie obrazów rzeczywistych urządzeń komputerowych działających w sieci, a następnie stale, dynamicznie modyfikowane w sposób, który sprawia wrażenie, że są to urządzenia znajdujące się w ciągłym użyciu.

Producent systematycznie rozszerza liczbę fałszywych urządzeń, które system może udawać. A jak twierdzą przedstawiciele firmy, jeśli klient zgłosi wymagania dotyczące zabezpieczenia nietypowego, nie wykorzystywanego powszechnie typu zasobów, to przygotowanie nowego wzorca pułapki trwa 30-60 dni.

Najnowsza wersja platformy Attivo została też wyposażona w dodatkowe użyteczne funkcje ogólnego zastosowania umożliwiające automatyzację reakcji na zagrożenia. Są to na przykład fałszywe konta pocztowe. Analizują one wszystkie docierające wiadomości e-mail w izolowanym module sandbox, a jeśli zawierają one załączniki lub linki stwarzające zagrożenie automatycznie blokują odpowiednie adresy IP lub e-mail eliminując szkodliwe treści ze skrzynek odbiorczych użytkowników. Oprogramowanie udostępnia też instalowaną w programie pocztowym funkcję, która pozwala jego użytkownikom lub administratorom systemu na przesłanie podejrzanego maila do szczegółowej analizy.

Czy Polska jest oazą bezpieczeństwa IT?

Orange Polska wraz Kantar TNS i HBR Polska przeprowadziły ostatnio badanie ankietowe Cyber Security Survey, które objęło ponad 300 polskich firm.

Wyniki badania są nieco zaskakujące. Aż 62% respondentów ocenia poziom bezpieczeństwa IT w ich firmach jako wysoki, a ponad 80% deklaruje, że w ciągu ostatnich 12-stu miesięcy nie odnotowała, ani jednego incydentu związanego z bezpieczeństwem. Tylko przedstawiciele niektórych firm mających powyżej 100 stanowisk komputerowych przyznają, że odnotowali od 1 do 4 incydentów bezpieczeństwa w ostatnim roku.

Oprócz tego 37% ankietowanych firm nie planuje w najbliższym czasie żadnych inwestycji w systemy bezpieczeństwa.

„Rzeczywiście Polska nie jest obecnie celem dużej ilości ataków” przyznaje Andrzej Gab, Dyrektor Integracji Rozwiązań IT w Integrated Solutions. Ale można przypuszczać, że część z firm jest nieświadoma zaistniałych incydentów lub też nie chce udzielać informacji o ich wystąpieniu.