V roce 2019 vzroste množství útoků zero day

Aleš Pikora, , 12. December 2018 14:30
V roce 2019 vzroste množství útoků zero day

Bezpečnostní firmy začaly se zveřejňováním prognóz pro příští rok. Společnost Fortinet očekává mj. mnohem větší využití umělé inteligence v rukou útočníků, což jim mnohé procesy bohužel zautomatizuje a zefektivní. Analýza zdůrazňuje zejména techniku pro nalézání zero day exploitů pomocí tzv. fuzzingu.

Jedná se o techniku pro testování softwaru, kdy je aplikacím předkládán neočekávaný, neplatný nebo náhodný vstup. V důsledku chyb vývojářů může aplikace zareagovat neočekávaně, např. zhavarovat, nicméně v tomto režimu může dojít i k bezprostředním bezpečnostním problémům, např. přetečení (zásobníku…) nebo porušení/úniku paměti. Fuzzing měl dosud pro počítačové zločince jednu nevýhodu – provádění této techniky bylo pracné a vyžadovalo značné znalosti. Šlo spíše o práci pro technické nadšence. Fuzzing se proto významněji uplatňoval hlavně při útocích DDoS, když stačilo napadenou aplikaci zahltit.

Těžba zranitelností jako služba
Umělá inteligence/strojové učení a další nástroje pro automatizaci ale mohou fuzzing v rukou podvodníků značně zefektivnit. Očekává se, že v roce 2019 se opět zvýší množství útoků, které budou zneužívat nově objevené a dosud neopravené zranitelnosti. Tomu budou odpovídat i nové ekonomické modely (včetně dodávky zero-day-as-a-service, respektive masové „těžby“ zranitelností), jak na straně útočníků, tak i placení za zranitelnosti dodavateli softwaru nebo specializovanými firmami. Testování bezpečnosti pomocí umělé inteligence budou pochopitelně stále více používat i vývojáři nového softwaru. Ovšem i ve stávajících operačních systémech a aplikacích existuje řada chyb, které tímto způsobem lze odhalit. V řadě případů se to jako první povede útočníkům. Navíc tímto způsobem půjde efektivně nacházet i způsoby kombinující při zneužití více chyb, tj. např. zranitelnost v samotné aplikaci se podaří spojit s obcházením sandboxu a dalších technik obrany. Přitom platí, že pomocí starších bezpečnostních nástrojů se proti útokům zero day nelze efektivně bránit.

Fortinet rovněž předpokládá, že automatizované techniky vývoje malwaru s využitím AI povedou k vytváření specializovaných „rojů“ (swarms, hives…). Půjde vlastně o pokročilejší obdobu současných botnetů. Útočník v takových případech ovládá distribuované zdroje, které však navíc dokáží fungovat do značné míry autonomně a pružně reagovat podle situace. Dnes botnet např. rozesílá spam, šíří ransomware, provádí útoky DDOS nebo těží kryptoměny. Specializované roje se budou zaměřovat spíše na provádění dílčích činností, z nichž se bude skládat kriminální aktivita. Může jít např. o detekci zranitelností, narušování distribuce oprav, úvodní pronikání do systémů, zahlazování stop nebo kódy specializující se na vyřazování bezpečnostních nástrojů.

Podvržená data pro strojové učení
Obecně platí, že strojové učení je tak dobré, jak kvalitních dat využívá. Moderní bezpečnostní systémy se učí z incidentů (nejprve při vývoji, pak i v ostrém provozu). Podle prognóz se podvodníci proto budou snažit příslušné systémy „otrávit“ daty, na jejichž základě si adaptivní bezpečnostní systém vytvoří falešné vzory – například toho, co je běžná a co anomální aktivita, jaké anomální situace jsou náhodné a jaké znamenají riziko souvisejícího útoku, jak jsou jednotlivé pokusy o útok nebezpečné apod. Modely strojového učení navíc využívají celou řadu dat různé spolehlivosti včetně třeba dat ze sociálních médií. Tak jako se lze pokoušet manipulovat třeba vyhledávače, podobně lze podvrženými daty zkoušet mást i bezpečnostní systémy.

Jak na tuto situaci mohou reagovat dodavatelé zabezpečení i samotné podniky?
Problémem je velká nejistota o postupech útočníků, jimž nyní technologie dávají velké možnosti volby. Společným jmenovatelem je zřejmě pouze ekonomická rentabilita. Bezpečnostní řešení (z pohledu jeho dodavatele i podniku, kde je nasazeno) by mělo být proto silné alespoň relativně. Pokud jeho překonání bude pro útočníky příliš obtížné a drahé, soustředí se raději na snazší cíle. Nadějné je zde např. vytváření různých falešných stop a slepých uliček, kdy například v podnikové síti existuje celá řada entit plných náhodných dat nebo prázdných (databáze, virtuální stroje…). Navíc při útocích na tyto fiktivní/bezvýznamné cíle roste pravděpodobnost, že útok bude zaznamenán a aktivována obranná opatření. Čím více vrstev ochrany podnik využívá, tím bude útok složitější a nákladnější. Roste tak pravděpodobnost, že podvodníci při volbě cesty nejmenšího odporu nasměrují své úsilí jinam.

Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r. o.

Aleš Pikora,

Aleš Pikora,

Autor je ředitelem divize DataGuard spol. PCS, spol. s r. o.


RSS 

Komentujeme

Chvála černých skřínek

Pavel Houser , 20. April 2019 10:30
Pavel Houser

Umělé inteligenci, respektive strojovému učení, se poslední dobou často vytýká, že nikdo přesně neví...

Více

Kalendář

14. 05.

17. 05.
FESPA 2019
19. 05.

23. 05.
IEEE SP 2019
20. 05.

22. 05.
VeeamON 2019







RSS 

Zprávičky

Ericsson se v prvním čtvrtletí vrátil k zisku

ČTK , 20. April 2019 12:38

Finanční ředitel firmy C. Mellander uvedl, že situace Huawei zatím objednávky neovlivnila. ...

Více 0 komentářů

Kvůli iPhonům čelí Apple obvinění z podvodu s cennými papíry

ČTK , 20. April 2019 09:00

Žaloba požaduje odškodné pro investory, kteří nakoupili akcie Applu během dvou měsíců před snížením ...

Více 0 komentářů

Akcie Pinterestu posílily první den obchodování o 25 %

ČTK , 19. April 2019 17:14

Další firmou, která nabídne své akcie do veřejného prodeje, by se letos měl stát Uber. ...

Více 0 komentářů

Starší zprávičky

Šéf Foxconnu chce kandidovat ve volbách prezidenta na Tchaj-wanu

ČTK , 19. April 2019 09:00

V Česku působí kromě Foxconnu také tchajwanské firmy Acer nebo Asus....

Více 0 komentářů

Samsung má problémy se svým ohebným telefonem

ČTK , 18. April 2019 13:30

Galaxy Fold se podobá běžnému chytrému telefonu, ale otevírá se jako kniha, aby se objevil druhý dis...

Více 0 komentářů

Servery Dell EMC PowerEdge vylepšují škálovatelnost i zabezpečení

Pavel Houser , 18. April 2019 10:00

Servery PowerEdge s novými škálovatelnými procesory Intel Xeon 2. generace poskytují nyní mj. vyšší ...

Více 0 komentářů

Nordic Telecom získá 100 % v Libli

Pavel Houser , 18. April 2019 09:00

50 % vlastní Nordic Telecom již od konce roku 2017, 50 % nyní kupuje od DRFG....

Více 0 komentářů