facebook LinkedIN LinkedIN - follow
IT SYSTEMS 4/2018 , IT Security

Strojové učení a viditelnost provozu v síti jsou základní pilíře moderní kyberbezpečnosti

Petr Černohorský


CiscoZ historie víme, že pouze velká armáda často k ovládnutí království nestačila a vládci i jejich nepřátelé využívali různých lstí, či dokonce najímali vrahy, aby dosáhli svého cíle. Podobně fungují i moderní kyberútoky. Snaží se využít slabé body obrany a skrytě se dostat k informacím, které potřebují. Moderní bezpečnostní řešení proto musí reagovat i na zcela nové útoky (tzv. zero day) s minimální prodlevou, a zároveň počítat s vývojem jednotlivých kmenů malwaru. A čas, který útočníci potřebují ke změně ve způsobu doručení malwaru (tzv. TTE z anglického time to evolve), je mnohdy nižší než 24 hodin. Stejně jako vládci nemohli spoléhat pouze na své vojáky, ale budovali síť špionů, potřebuje bezpečnostní architektura prvek, který bude systém informovat o součastném stavu. Jak do tohoto přirovnání zapadají nejpokročilejší technologie? I ony musejí poskytnout kompletní informace o tom, co se vlastně v systému děje.


Vidět znamená reagovat

Nastoupili byste k pěstnímu zápasu se zavázanýma očima? Předpokládám, že nikoliv. Stejně tak ale nemůžete chránit podnik, pokud nevidíte, co se v jeho systému děje. Průměrným bezpečnostním řešením v současné době trvá v průměru 100 až 200 dní než dokážou odhalit probíhající útok v síti. Pokud se do vašeho domu dostane zloděj, za půl roku stihne napáchat mnoho škod. Stejně tak útočník v síti po uplynutí takové doby pravděpodobně získá, co potřeboval. Ochrana dat je také stále klíčovějším tématem nejenom z hlediska budování důvěry se zákazníky, ale větší tlak na spolehlivost bezpečnostních zařízení kladou i legislativní pravidla. A pouze pokud má organizace možnost sledovat, co se v její síti děje, může podniknout patřičné kroky.

Nejenom sledování provozu, ale i vlastní bezpečnostní řešení dnes mají svůj základ přímo v síti. Rozvoj mobilních zařízení, senzorů internetu věcí či neustále se měnící kyberútoky vyžadují automatizovanou obranu v místě, kam útočníci míří. Ta musí dokázat reagovat i na zero-day útoky maximálně v řádu několika hodin. Samozřejmě již dávno není v lidských silách hrozby sledovat, detekovat a podnikat dedikované protiakce. Proto se již dnes žádné moderní bezpečnostní řešení neobejde bez zapojení strojového učení a umělé inteligence. Úspěšné nasazení těchto metod je ale možné pouze za předpokladu dostupnosti enormního množství dat, nad kterými lze detekční algoritmy odladit. Pro zajímavost, naše algoritmy zaměřené na analýzu síťového provozu globálně zkoumají každý den zhruba 20 miliard unikátních síťových spojení. V nich naleznou několik desítek tisíc infekcí, které organizace ještě nezaznamenaly. Průměrně se v síti organizace vyskytuje 1 % zařízení, na kterém se nachází zatím nedetekovaná nákaza. Nicméně právě toto 1 % způsobuje 99 % škod.

Strojové učení: nepostradatelný partner

Umělá inteligence nasazená v prostředí, kde je denně vystavena desetitisícům různých hrozeb, jejichž chování dokáže kategorizovat a přiřadit mu konkrétní míru rizika, umožní nový útok rozpoznat mnohem přesněji než manuální analýza. Moderní přístup k bezpečnosti spočívá v behaviorální analýze. Soustředíme se nikoliv na konkrétní data procházející síťovými prvky, ale na charakteristiky chování uživatelů a zařízení v síti. Vlastní obsah komunikace je při behaviorální analýze skrytý, soukromí uživatelů tak není nikterak narušeno. Díky pochopení kontextu a vzorců škodlivého chování poskytuje takové bezpečnostní řešení rychlé výsledky, které zkracují dobu vyšetřování k určení příčiny incidentů. Klíčové přitom je, že moderní technologie využívající strojového učení a dalších souvisejících metod dokážou fungovat i retrospektivně. Mohou tedy zpětně identifikovat počáteční fázi útoku, což je podstatné ze dvou důvodů: zaprvé to umožňuje přesně zmapovat chování útoku v síti a způsobené škody, zadruhé bude příště útok rychleji rozpoznán. Pokud se umělá inteligence takto naučí jednou rozpoznat nový útok, obvykle jeho projevy dokáže zobecnit a umožní nadále detekovat i případné další mutace od tohoto útoku odvozené. Tím se dostávám ke druhé obrovské výhodě umělé inteligence. Dokáže totiž nové poznatky implementovat v reálném čase.

Šifrovaný malware: další stupeň vývoje

Jednou z klíčových oblastí, kterou musí bezpečnostní řešení pokrýt, je šifrovaná komunikace. Tu organizace využívají stále častěji. Podle odhadů analytické společnosti Gartner bude do roku 2019 tvořit 80 % veškerého datové provozu. Ten podle studie Cisco Visual Networking Index v tomto roce dosáhne téměř 155 zettabytů. V tom už se ukryje mnoho nebezpečného malwaru. Avšak úspěšně jej detekovat je dnes bez technologií využívajících behaviorální analýzu a umělou inteligenci nemožné. Jde o podobný princip jako u nástrojů pro viditelnost v síti. Technologie analyzují jednotlivé charakteristiky paketů (například délku či čas mezi odesláním paketu zdrojem a jeho přijetí cílem, frekvence paketů) a na základě toho definuje, zda se jedná o legitimní provoz či o potenciálně nebezpečnou komunikaci.

Celý proces odhalování malwaru v šifrované komunikaci lze přirovnat k letištní kontrole. Personál díky rentgenům také pozná, zda převážíte něco nebezpečného, či nikoliv, a to na základě předchozí zkušenosti a konkrétním znakům převážených věcí – aniž by musel otevřít váš kufr. Podobně to funguje i v tomto případě. Bezpečnostní řešení nezná obsah komunikace, ale podle vnější charakteristiky této komunikace dokáže vyhodnotit související rizika.

Fungování behaviorální metody

Umělá inteligence a strojové učení se zapojuje v určitých fázích detekce. To můžeme rozdělit do 3 vrstev, abychom se mohli zaměřit na analýzu nejpokročilejších hrozeb. První vrstva funguje jako hlavní síto. Poté, co jím všechna spojení projdou, vyloučí se zhruba 95 % z nich, neboť jsou vyhodnoceny na základě definovaných znaků jako legitimní provoz a neprobíhá u nich další analýza. V této vrstvě ještě nedochází k určení hrozeb, ale pouze se detekují vzorky vykazující nějakou anomálii. Některé procesy totiž mohou vykazovat anomálii chování. Například aktualizace softwaru firemních zařízení probíhá tak, že se v nepředvídatelných vlnách stahují do zařízení větší objemy dat. U řady typu malwaru totiž také vidíme pokusy o stahování a instalaci aktualizované verze. Pro srovnání, například exploit kit DNSChanger využíval ke svému šíření zařízení, která byla dříve infikována trojanem Mamba.

Druhá fáze se soustředí na anomální požadavky a využívá několik technik strojového učení, například systém několika stovek klasifikátorů, kdy se každý z nich se zaměřuje na specifické chování. Využívají se zde tzv. „lesy“ rozhodovacích stromů. V této vrstvě se již navazuje anomální provoz na konkrétní zařízení. Vyhodnotí-li umělá inteligence, že v zařízení probíhá škodlivá aktivita, je automaticky vygenerováno upozornění. Nicméně tím ještě celý proces nekončí. Dostáváme se totiž ještě do 3. vrstvy, kde dochází k modelování vztahů mezi konkrétní detekovanou hrozbou s obdobnými útoky na všechna monitorovaná zařízení po celém světě. Díky tomu lze na globální kyberútoky reagovat také v globálním měřítku.

Hackeři: konkurence, nikoliv pouzí vyděrači

Vrcholný management firem by měl dnešní útočníky vnímat jako konkurenci a podle toho připravovat i strategii firmy. Ať již jsou útočníci najímáni státy, organizovaným zločinem či maximalizují svůj finanční zisk, mají jasný a promyšlený důvod útoku. V mnohém se totiž podobají klasickým firmám. Mají svoji strategii, automatizují technologie pro svůj business, inovují své postupy a snaží se měnit své procesy, aby byli stále efektivnější a vždy dosáhli svých cílů. A tam, kde napadená organizace ztratí, oni získají. Nicméně, i když organizované skupiny často spolupracují na zdokonalování útoků, i ony si často konkurují. A tak některé typy malwaru, které se dostanou do sítě, vyhledávají jiné infekce a snaží se je vymazat, aby nad zařízením získaly exkluzivní kontrolu.

Co bude dál?

Stavební kámen moderního bezpečnostního řešení leží v síti, organizace ale musí budovat celou bezpečnostní architekturu, která zahrnuje koncové body, síť a cloud. Nicméně pokud má být systém chráněný před neznámými útoky, je zviditelnění komunikace (nikoliv však konkrétního obsahu) klíčové. Síť totiž funguje jako nestranný arbitr, který dokáže garantovat, co se mezi jednotlivými zařízeními skutečně děje. Pokud je totiž nějaké zařízení infikované, nelze 100% důvěřovat nainstalované bezpečnostní vrstvě v něm. Proto je síť jediným aktérem, který dokáže na útok s jistotou poukázat. Její význam bude stoupat s rozšiřováním šifrované komunikace. Ta na jednu stranu lépe chrání soukromí uživatelů, ale zároveň ztěžuje odhalování malwaru. Využívání behaviorálních technik (jako je například metoda encrypted traffic analytics) bude hrát stále významnější roli.

Petr Černohorský Petr Černohorský
Autor článku je produktový manažer pro oblast Cybersecurity & Machine Learning ve společnosti Cisco.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.