Útočné metody využité při zmíněných incidentech pokrývají standardní škálu útoků zaměřených na zranitelnosti, útoky hrubou silou a různé typy podvodného jednání s prvky pokusů o manipulaci koncovým uživatelem. Podle výzkumné bezpečnostní divize společnosti IBM X-Force Research & Development roste počet odhalených zranitelností v rámci webových platforem. Nejfrekventovanějšími útoky proti webovým serverům se stávají metody cross-site scripting, které tak sesazují z první příčky útoky na principu SQL Injection. Pozitivní zprávou je naopak strmý pokles úrovně zranitelnosti formátu PDF. Dá se předpokládat, že tento fakt má silnou souvislost se zavedením Adobe Acrobat Reader X Sandbox. V tomto směru jsou cíle útočníků stále stejné. Zvyšující se povědomí o potřebě prevence vzniku bezpečnostních incidentů má za následek vyšší úroveň zabezpečení. Vyšší složitost systému ale naopak vede k rozšíření prostoru a pravděpodobnosti vzniku zranitelnosti.

V první polovině roku 2012 bylo 51 procent nalezených zranitelností spojeno s útoky cross-site scripting

Organizace veřejné správy jsou nuceny čelit stále užšímu prostoru pro investice a následovat obecný trend úspor. V oblasti IT se tento trend projevuje většími snahami o konsolidaci na různých úrovních. Cílem je zajistit vysokou míru přehledu a ochrany ve formě prevence a schopnosti aktivně čelit bezpečnostní události. Tento proces zde představuje nejen potenciální hrozbu, ale především příležitost zvýšit úroveň bezpečnosti v rámci aplikací, dat, uživatelů a infrastruktury.

Organizace všech typů se snaží ve větší či menší míře následovat obecný trend zavádění mobilních platforem a efektivnějších typů služeb. Vynucování bezpečnostní politiky je v takových případech stále složitější a požaduje zároveň mnohem vyšší úroveň granularity než kdy dříve. Pro potenciálního útočníka totiž složitost technologie často představuje z hlediska času a zdrojů velmi nákladnou cestu k cíli a hodnota odcizených dat se tak ani nemusí vyrovnat zmíněným nákladům. Logickou cestou je využití jednoduššího způsobu zahrnujícího manipulaci s legitimním uživatelem. Jak by mohlo vypadat pokrytí podobného problému?

Jednou z možností je nasazení řešení pro řízení přístupů k webovým zdrojům, sociálním sítím a dalším. Je velmi důležité, aby organizace zajistily dostatečně jemné řízení přístupu a nestavěly si samy překážky na cestě k vyšší produktivitě. Velké množství společností v soukromém sektoru (a nejen v něm) dnes využívá sociální média jako silný marketingový nástroj a přístup k němu tak představuje naprosto základní předpoklad. Pravidla pro přístup by se měla dát jednoduše zaměřit na celá oddělení, pracovní skupiny, a dokonce jednotlivce s jasnou definicí uživatelských akcí pro konkrétní webový zdroj. Dá se očekávat, že útoky na konkrétní uživatele a pokusy o manipulaci budou stále častější. Vhodným doplňkem ke schopnosti řízení přístupů bude odpovídající úroveň edukace koncových uživatelů. Stálým problémem na straně uživatele je mimo jiné nevhodné nakládání s hesly, kdy jejich nízká složitost a případná ztráta často vede ke vzniku bezpečnostních událostí s vážnými důsledky.

Výše zmíněným trendem v soukromém a veřejném sektoru je stále větší obliba chytrých telefonů. Podobně také roste obliba tvůrců malwaru v zaměření na mobilní platformy všeho druhu. Dobrou zprávou a příslibem do budoucna by mohl být fakt, že počet objevených zranitelností v rámci mobilních platforem byl v první polovině roku 2012 nejnižší od roku 2008. Naproti tomu však stále zůstávají problémem případy výskytu malwaru jako TigerBot nebo Bmaster. Jedním z prvních kroků pro úspěšné zavedení a provozování chytrých uživatelských zařízení je schopnost pokročilé centrální správy a efektivní distribuce patchů napříč nejběžnějšími mobilními platformami. Součástí by měla být také možnost provádět některé kritické akce v případě odcizení. Samozřejmostí se pak stává i nasazení nástrojů pro prevenci infekce škodlivým kódem a prevenci úniku citlivých dat. Zákazník by měl v rámci výběru řešení zohledňovat také modularitu a škálovatelnost řešení spolu s flexibilním licenčním modelem.

S větším příklonem útočníků k metodám sociálního inženýrství dává stále větší smysl nasazení řešení pro detekci anomálního chování aplikací a uživatelů. Velké množství organizací ve veřejné správě disponuje alespoň malou bezpečnostní infrastrukturou využívající prvky aktivní ochrany a vynucování bezpečnostní politiky. Tato infrastruktura však často rostla „živelně“ a je tvořena prvky různých výrobců, kde není zaručena dostatečná míra integrace. Jedním z řešení je nasazení dostatečně výkonného a škálovatelného řešení pro sběr, archivaci a analýzu bezpečnostních informací. Cílem takového řešení je sběr a archivace informací ze všech relevantních tříd zdrojů klientského IT prostředí (síťové prvky, bezpečnostní prvky, koncové stanice a servery atd.). Cílem je nasadit platformu schopnou analyzovat sesbíraná data v různém kontextu a provádět jejich archivaci po požadovanou dobu (různé nastavení retenční politiky pro různé typy logů a bezpečnostní informace). Velice důležité je pak zajistit schopnost korelace těchto informací například s informacemi o síťových tocích (v rámci obecných formátů na úroveň OSI L4 a pomocí specializovaných formátů na OSI L7). Tato schopnost, zvláště pak v kombinaci s možností pochopit povahu datového toku až na úroveň aplikační vrstvy, představuje významnou výhodu při prevenci podvodu nebo úniku citlivých dat. Systémy pro pokročilý log management, správu bezpečnostních informací a bezpečnostní analýzu představují účinný nástroj k zajištění kontinuální shody s regulacemi. Okamžitě dostupné informace o stavu konkrétních prvků infrastruktury a povaze datového toku tak představují nejlepší prevenci proti případnému nechtěnému nálezu nedostatků během auditu.

V případě, že je organizace schopna kombinovat nástroje pro správu uživatelských účtů a identit spolu s nástroji pro vynucování přístupu napříč vrstvami síťového modelu, je možno získat velmi významný benefit právě využitím nástroje pro detekci anomálního chování. Bezpečnostní specialista tak získá přehled o aktivitách konkrétních uživatelů v souvislosti s informací o využití „konkrétní aplikace“ a schopností analyzovat obsah datového toku na aplikační vrstvu. Další velmi významnou výhodou je fakt, že bezpečnostní prvky (zvláště pak složitější prvky aktivní ochrany a prevence proti průniku) generují při nevhodném nastavení bezpečnostní politiky obrovské množství bezpečnostních informací. Dochází tak ke zbytečnému zahlcování dalších analytických nástrojů a administrátor sám není schopen efektivně prověřit všechny „vyreportované“ incidenty. Cílem by měla být co nejvyšší míra eliminace irelevantních událostí a integrace často se opakujících událostí tak, aby byl počet událostí zvládnutelný a každý potenciální incident mohl být řádně vyšetřen.

Dušan Mondek
Autor působí jako security specialist společnosti IBM Česká republika.