Úsloví „poznej svého nepřítele stejně, jako znáš sám sebe“, platí ve světě IT bezpečnosti dvojnásob. Podniky čelí stále novým protivníkům, kterých každým dnem přibývá. Chtějí útočit, narušovat provoz a nenápadně získávat důvěrné informace, k čemuž využívají úžasné spektrum škodlivých kódů. Poznání nepřítele se tedy mění ve velmi náročný, ale nutný úkol.
Z kybernetické kriminality se stal velký byznys, stejně jako z každého jiného oboru. Zločinci chtějí navyšovat své příjmy i teoretický tržní podíl. Svými útoky tedy cílí na stovky či tisíce společností a chtějí zvýšit pravděpodobnost úspěchu. Nejčastěji používanou útočnou technikou je neviditelný malware, který má velmi nízkou pravděpodobnost detekce bezpečnostními systémy a operuje mimo viditelné spektrum IT týmů.
Pro dokreslení představy o průmyslovém měřítku současné kybernetické kriminality poslouží počty nových vzorků malwaru, které byly vytvořeny a distribuovány každý den v roce 2012 – šlo o 70 až 100 tisíc škodlivých kódů denně. Oproti roku 2011 se jejich počet zdesetinásobil, ve srovnání s rokem 2006 došlo k více než stonásobnému nárůstu. Pro konvenční anti-malwarové přístupy je nemožné držet tempo s tímto masivním růstem. Studie Check Point 2013 Security Report zjistila, že 63 procent organizací bylo infikováno boty a více než polovina se každý den nakazila novým škodlivým kódem.
Mimo vizuální kontakt
Bojový kodex valné většiny nových infekcí má podobu běžně využívaných typů souborů, které každý využívá k práci. Jde například o e-maily, dokumenty Word nebo PDF soubory, tabulky Excel a podobně. Hackeři mají vypracovány postupy a disponují nástroji, kterými ukryjí vykonavatelné skripty v těchto souborech a zamaskují jejich škodlivou činnost. Znamená to, že změní registry v infikovaném počítači nebo stáhnou spustitelný program, který následně infikuje celou síť. S rostoucím objemem přenosů v podnikových sítích a s rostoucími počty distribuovaného a do neškodně vyhlížejících souborů ukrývaného malwaru se organizace stávají velmi zranitelné na tzv. útoky nultého dne (zero-day attacks). A i když obranné vrstvy v podobě řešení IPS a IDS mohou pomoci s blokací některých aktivit malwaru, přece jen nezabrání infekcím, které dorazily do sítě a šíří se v ní.
Už vzhledem k počtu a komplexnosti nových útoků můžeme jen stěží doufat, že víme vše o našich nepřátelích. Můžeme však pochopit jejich záměry a poznat metody, které k útokům pravděpodobně využijí. Získáme tak životně důležité informace, které mohou být využity pro identifikaci a eliminaci nových rizik.
Stejně jako bude hraniční kontrola využívat řadu technik k pozorování vstupujících lidí a k identifikaci těch, kteří představují hrozbu, i nové bezpečnostní techniky umožnily kontrolovat e-maily, soubory a data vstupující do sítě. Dokáží i izolovat škodlivé soubory na síťové hranici. K infekci tudíž nedojde a nebude ani nijak ovlivněn chod byznysu.
Pozorovat, emulovat, sdílet, chránit
Výše popsaného efektu lze dosáhnout s pomocí techniky zvané emulace hrozeb. Podobně jako rentgenové skenery na hraničních kontrolách umožňuje i tato metoda nahlížet do nitra vyšetřovaných souborů, které dorazí ke vstupní bráně podnikové sítě. Jejich obsah je kontrolován ve virtualizovaném a odděleném prostředí, označovaném jako „sandbox“. V něm dochází k otevření nebo spuštění podezřelého souboru, následně je v reálném čase sledováno jeho chování, respektive chování neobvyklé. Může jít například o pokusy o abnormální změny v registrech, případně o síťová spojení. Je-li chování souboru shledáno podezřelým nebo škodlivým, dojde k jeho přesunu do karantény a k zablokování. V podstatě jde o prevenci jakýchkoli možných infekcí předtím, než vstoupí do sítě a způsobí škodu.
Po detekci a blokaci škodlivého souboru mohou organizace sdílet informace o nových hrozbách. Pomohou tak dalším v obraně před infekcemi. Díky tomu se šíří získaná znalost nových nepřátel, což je podobné spolupráci globálních zdravotních organizací v boji s šířícími se nákazami. Minimalizuje se tak časové okno mezi objevením nového útoku a přípravou k obraně proti němu.
Studie z roku 2012 zjistila, že u 85 procent narušení kybernetickými útoky trvalo týdny nebo ještě déle, než byly alespoň objeveny. Pokud mohou společnosti sdílet on-line informace o pokročilých hrozbách ve chvíli, kdy jsou identifikovány a předtím, než infikují další sítě, míra infekcí se může dramaticky snížit. Širší podnikové komunitě lze tímto způsobem pomoci k tomu, aby se o společném nepříteli dozvěděla alespoň něco ještě předtím, než dojde k útoku. Emulace se může stát jednou z nejsilnějších metod ochrany proti novým hrozbám.