Automatizace, strojové učení a další pokročilé technologie využívají nejen tvůrci bezpečnostních nástrojů, ale i svět kybernetické kriminality. K dalším trendům letošního roku v oblasti IT bezpečnosti budou patřit metody extrémně rychlého vývoje malwaru a sandbox jako nástroj útočníků. Stále lákavějším cílem jsou cloudové služby/datová centra.
Podle studie laboratoří FortiGuard Labs společnosti Fortinet začnou v letošním roce útočníci ve stále větší míře sami používat technologie umělé inteligence a strojového učení. Výsledkem bude větší účinnost útoků. Postupující digitalizace, respektive digitální transformace podniků vede k tomu, že se otevírají nové cesty, kudy lze proniknout do infrastruktury. Stejně tak se objevují i zcela nové kategorie zranitelností. Rychlé změny a rozšiřování infrastruktur také vedou k tomu, že podniky nemají nad prostředím svého IT vždy přehled. Často ho nedokáží jednotně řídit. Kromě samotných podniků bude pro útočníky zajímavé také rostoucí množství zařízení internetu věcí, propojené domácnosti, automobily či chytrá města.
Další generace botnetů: roje
Namísto botnetů dnešního typu začnou útočníci stále více využívat jejich sofistikovanější podobu – „inteligentní“ clustery kompromitovaných zařízení, někdy označované termínem hivenet nebo swarmbot (české ekvivalenty úly a roje se zřejmě neujmou, ale lze z nich pochopit, co slova vyjadřují). Taková síť bude decentralizovaná. Současně ale dokáže bez lidského zásahu sdílet informace a pátrat po zranitelných cílech. Automaticky reagující systémy budou schopny rychlého růstu i adaptivní reakce na obranná opatření. Útoky budou probíhat obrovskou rychlostí a zranitelné body budou často napadány současně z více směrů – lze tedy očekávat i zvyšující se množství soubojů různých typů malwaru mezi sebou (přičemž tato válka bude jen v omezené míře přímo řízena lidmi, kteří za podvodnými aktivitami stojí, ale půjde o výsledek samovolné „evoluce“).
Ransomware stabilně roste (za poslední rok řádově), jednou však narazí jeho výtěžnost na své limity a útočníci začnou hledat nové cíle. V nedávné době se objevil ransomware pro mobilní zařízení nebo chytrou elektroniku. Letos budou jako další na řadě zřejmě především poskytovatelé cloudových služeb, v nichž se shromažďuje stále větší množství dat. Selhání jediného datového centra může najednou zasáhnout velké množství podniků, vládních agentur, provozovatelů kritické infrastruktury nebo i zdravotnických systémů. Pro podvodníky zde existuje šance na velké zisky. Útočníci se tak cíleně soustředí na vyhledávání zranitelností cloudových infrastruktur a služeb.
Simulace bezpečnostních nástrojů i penetračních testů
Brzy se dočkáme malwaru, který bude vytvářen kompletně strojově – na základě automatické analýzy zranitelností a dalších dat. Polymorfní malware sám o sobě není žádnou novinkou, ale s pomocí umělé inteligence/strojového učení se dokáže stále lépe přizpůsobovat a unikat detekci. Laboratoře FortiGuard Labs již loni zaznamenaly obrovské množství různých variant téhož malwaru a řady typů odvozených z několika základních rodin škodlivých kódů. Zatím však byly tyto vzorky produkovány poměrně jednoduchými algoritmy. Šlo spíše o náhodné varianty než o škodlivé kódy vytvářené přizpůsobováním vzhledem k mechanismům obrany.
Nové technologie změní také ekonomické modely kybernetické kriminality a fungování temného webu. Již dnes se zde objevuje stále více nabídek právě na poskytování automatizace. Jednou z nových placených služeb nabízených na kriminálních fórech je i tzv. FUD (Fully Undetectable). Tvůrci malwaru zde mohou nahrávat za poplatek své útočné kódy a obdrží zprávu, zda (a jak) dokáží tyto kódy detekovat bezpečnostní nástroje různých dodavatelů.
Při vývoji malwaru se podobných nástrojů bude využívat v kombinaci se strojovým učením čímž se výrazně zkrátí doba potřebná k vyvinutí kódů, proti nimž není k dispozici ochrana (tedy určitá obdoba zranitelností typu zero day). Podobně jako bezpečnostní výzkumníci využívají simulované prostředí sandboxu, budou i útočníci svůj malware stále více upravovat např. na základě penetračních testů spuštěných právě v simulovaném (virtuálním) prostředí.
Jak se bránit: Rychlost a autonomní reakce
Z popsaných trendů vyplývají i doporučené strategie ochrany. Podniky by podobně jako útočníci měly využívat pokročilé technologie, umělou inteligenci a strojové učení. Klíčová je rychlost reakce a tedy maximální automatizace. Přehled o fungování podnikové IT infrastruktury jako celku musí být doplněn o její segmentaci a schopnost různých částí reagovat na útok nezávisle, autonomně. To současně znamená schopnost automaticky izolovat části zasažené útokem od ostatních systémů a během řešení incidentu zajistit kontinuitu služeb.
Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r. o.