Rok 2018 v počítačové bezpečnosti. Od zombií k chytrým botnetům, úlům a rojům. Ransomware bude cílit na poskytovatele cloudu. Automatizace, segmentace, učení – zbraně na obou stranách.
Prakticky veškeré nové technologie světa IT využívají nejen systémy obrany, ale i útočníci; ti druzí obvykle ještě dříve. Prognóza bezpečnosti společnosti Fortinet pro rok 2018 proto předpokládá, že totéž bude platit pro nastupující technologie, umělou inteligenci, strojové učení a automatizaci.
Malware lze snadno upravovat
Polymorfní malware není sám o sobě žádnou novinkou, současné možnosti automatizace jej ale posunou na novou úroveň. Podvodníci mají k dispozici nástroje pro automatickou detekci a analýzu zranitelností, dokáží provádět komplexní analýzu dat i automatizovat tvorbu samotných útočných kódů. Poměr nových útočných kódů ve vztahu k základním rodinám malwaru se výrazně posune, ze současných „základních typů“ lze dnes snadno generovat nové varianty, které se budou lišit funkčností (cílové zařízení, zneužívané zranitelnosti…).
Výzkumný tým Fortinet FortiGuard Labs dále odhaduje, že současné botnety se budou dále vyvíjet ke clusterům kompromitovaných zařízení schopných odolávat mnohem lépe detekci, fungovat skrytěji a sofistikovaněji. Na této úrovni útočníci zapojí i techniky umělé inteligence, jednotlivé systémy kompromitovaných zařízení se tedy budou postupně učit odhalovat další zranitelná místa, sdílet informace a předávat si je mezi sebou – bez toho, aby správci botnetu příští generace museli tyto procesy přímo řídit. Společnost Fortinet označuje botnety příští generace jako Hivenets a Swarmots (úly a roje) – na rozdíl od „neinteligentních“ a spíše pasivních prvků současných botnetů („zombie“). I ty ovšem dokázaly způsobit celosvětové epidemie typu WannaCry.
Současně se budou vyvíjet i ekonomické modely počítačového zločinu. Jako služba budou poskytovány rozšiřující moduly, zahrnující umělou inteligenci, schopnost učení nebo „nedetekovatelnost“. Analýza darknetu a tržišť temného webu ukazuje, že se již dnes jedná v podstatě o realitu.
Ransomware, zneužívání zařízení Internetu věcí nebo útoky na kritickou infrastrukturu představují vedle toho metody z pohledu útočníků již úspěšně ověřené, takže právě je budou přednostně zdokonalovat s pomocí nových technik. Speciálně v oblasti ransomwaru lze očekávat, že kybernetický zločin se kromě podniků a koncových uživatelů zaměří ve větší míře i na poskytovatele cloudových služeb nebo další zastřešující sítě. Pro podvodníky je zde velmi lákavé, že jediný bod selhání takové infrastruktury může zasáhnout velké množství subjektů, do cloudu se přesouvají data a služby vládních institucí, provozovatelů kritické infrastruktury i zdravotnických systémů. Úspěšný útok na poskytovatele cloudu by měl drtivý dopad – a i bez vlastního úspěšného průniku lze takovou hrozbou vydírat. Tak lákavou možnost výdělků si útočníci určitě nenechají ujít.
Techniky ochrany
Podniky nemají mnoho jiných možností, než se chránit prostřednictvím obdobných technologií – i zde by měly a budou hrát stále větší roli systémy schopné se samy učit, v maximální míře by se měla implementovat automatizace, segmentace síťové infrastruktury i dat (oddělení jednotlivých částí). To vše je třeba provést napříč celou infrastrukturou: na vlastních serverech i koncových zařízeních stejně jako u dat v cloudu. Nutností je tedy viditelnost a jednotné řízení IT, přičemž současně část „inteligence“ je v zájmu rychlosti reakce ale třeba delegovat na jednotlivé segmenty podnikové sítě.
Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r. o.
