V roce 2019 vzroste množství útoků zero day
Bezpečnostní firmy začaly se zveřejňováním prognóz pro příští rok. Společnost Fortinet očekává mj. mnohem větší využití umělé inteligence v rukou útočníků, což jim mnohé procesy bohužel zautomatizuje a zefektivní. Analýza zdůrazňuje zejména techniku pro nalézání zero day exploitů pomocí tzv. fuzzingu.
Jedná se o techniku pro testování softwaru, kdy je aplikacím předkládán neočekávaný, neplatný nebo náhodný vstup. V důsledku chyb vývojářů může aplikace zareagovat neočekávaně, např. zhavarovat, nicméně v tomto režimu může dojít i k bezprostředním bezpečnostním problémům, např. přetečení (zásobníku…) nebo porušení/úniku paměti. Fuzzing měl dosud pro počítačové zločince jednu nevýhodu – provádění této techniky bylo pracné a vyžadovalo značné znalosti. Šlo spíše o práci pro technické nadšence. Fuzzing se proto významněji uplatňoval hlavně při útocích DDoS, když stačilo napadenou aplikaci zahltit.
Těžba zranitelností jako služba
Umělá inteligence/strojové učení a další nástroje pro automatizaci ale mohou fuzzing v rukou podvodníků značně zefektivnit. Očekává se, že v roce 2019 se opět zvýší množství útoků, které budou zneužívat nově objevené a dosud neopravené zranitelnosti. Tomu budou odpovídat i nové ekonomické modely (včetně dodávky zero-day-as-a-service, respektive masové „těžby“ zranitelností), jak na straně útočníků, tak i placení za zranitelnosti dodavateli softwaru nebo specializovanými firmami. Testování bezpečnosti pomocí umělé inteligence budou pochopitelně stále více používat i vývojáři nového softwaru. Ovšem i ve stávajících operačních systémech a aplikacích existuje řada chyb, které tímto způsobem lze odhalit. V řadě případů se to jako první povede útočníkům. Navíc tímto způsobem půjde efektivně nacházet i způsoby kombinující při zneužití více chyb, tj. např. zranitelnost v samotné aplikaci se podaří spojit s obcházením sandboxu a dalších technik obrany. Přitom platí, že pomocí starších bezpečnostních nástrojů se proti útokům zero day nelze efektivně bránit.
Fortinet rovněž předpokládá, že automatizované techniky vývoje malwaru s využitím AI povedou k vytváření specializovaných „rojů“ (swarms, hives…). Půjde vlastně o pokročilejší obdobu současných botnetů. Útočník v takových případech ovládá distribuované zdroje, které však navíc dokáží fungovat do značné míry autonomně a pružně reagovat podle situace. Dnes botnet např. rozesílá spam, šíří ransomware, provádí útoky DDOS nebo těží kryptoměny. Specializované roje se budou zaměřovat spíše na provádění dílčích činností, z nichž se bude skládat kriminální aktivita. Může jít např. o detekci zranitelností, narušování distribuce oprav, úvodní pronikání do systémů, zahlazování stop nebo kódy specializující se na vyřazování bezpečnostních nástrojů.
Podvržená data pro strojové učení
Obecně platí, že strojové učení je tak dobré, jak kvalitních dat využívá. Moderní bezpečnostní systémy se učí z incidentů (nejprve při vývoji, pak i v ostrém provozu). Podle prognóz se podvodníci proto budou snažit příslušné systémy „otrávit“ daty, na jejichž základě si adaptivní bezpečnostní systém vytvoří falešné vzory – například toho, co je běžná a co anomální aktivita, jaké anomální situace jsou náhodné a jaké znamenají riziko souvisejícího útoku, jak jsou jednotlivé pokusy o útok nebezpečné apod. Modely strojového učení navíc využívají celou řadu dat různé spolehlivosti včetně třeba dat ze sociálních médií. Tak jako se lze pokoušet manipulovat třeba vyhledávače, podobně lze podvrženými daty zkoušet mást i bezpečnostní systémy.
Jak na tuto situaci mohou reagovat dodavatelé zabezpečení i samotné podniky?
Problémem je velká nejistota o postupech útočníků, jimž nyní technologie dávají velké možnosti volby. Společným jmenovatelem je zřejmě pouze ekonomická rentabilita. Bezpečnostní řešení (z pohledu jeho dodavatele i podniku, kde je nasazeno) by mělo být proto silné alespoň relativně. Pokud jeho překonání bude pro útočníky příliš obtížné a drahé, soustředí se raději na snazší cíle. Nadějné je zde např. vytváření různých falešných stop a slepých uliček, kdy například v podnikové síti existuje celá řada entit plných náhodných dat nebo prázdných (databáze, virtuální stroje…). Navíc při útocích na tyto fiktivní/bezvýznamné cíle roste pravděpodobnost, že útok bude zaznamenán a aktivována obranná opatření. Čím více vrstev ochrany podnik využívá, tím bude útok složitější a nákladnější. Roste tak pravděpodobnost, že podvodníci při volbě cesty nejmenšího odporu nasměrují své úsilí jinam.
Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r. o.
