Internet je nebezpečné místo

Jak ví každý, kdo se někdy byť jen zběžně zabýval kyberbezpečností, Internet je plný útočníků. Běžní uživatelé to často necítí, Internet je pro ně prohlížení webu, případně instant messaging aplikace v telefonu, ale nás, co jsme měli odvahu nahlédnout pod pokličku, občas budí ze spaní myšlenka na zapomenuté otevřené porty na perimetru vnitřní sítě. Všichni si ještě velmi živě pamatujeme na hrozivý kybernetický útok na Benešovskou nemocnici z roku 2019. Očekávání, že tato událost povede ke zlepšení ochrany podobných krizových zařízení se ukázala jako mylná v okamžiku, kdy byla úspěšně napadena Fakultní nemocnice Brno, a to o pouhý jeden rok později.

Nastává doba neviditelná

Nedá se předpokládat, že by zvyšující se počet bezpečnostních incidentů v České republice byl chybou správců sítí. Každá organizace, včetně obou zmiňovaných, má firewall, který se stará o ochranu vnitřní sítě. Problémem je, že principy ochrany, na kterých současná bezpečnostní řešení pracují, přestávají fungovat. Nové standardy protokolů pro šifrovanou komunikaci, jako například TLS 1.3, DNS over HTTPS nebo DNS over TLS, sice skrývají uživatelskou komunikaci před útočníky, ale bezpečnostním expertům komplikují práci úplně stejně. Kontrola obsahu provozu na perimetru sítě je čím dál složitější, a my jsme přesvědčeni o tom, že do budoucna přestane být možná úplně.

Jak rozpoznat útočníka?

Jak tedy kontrolovat síťový provoz? Stále navyšovat výkon hardwaru, aby byl schopen rozlamovat čím dál složitější šifrovací protokoly, je nejen ekonomicky náročné, ale hlavně to brzy nebude mít žádný efekt. Komplexnost bezpečnostních protokolů se zvyšuje mnohonásobně rychleji než výkon firewallů.

Pro řešení tohoto problému je nutné začít o bezpečnosti přemýšlet úplně novým způsobem. Pokud je aktuálně největším zádrhelem šifrování, proč se nepodívat na informace, které máme a které se nešifrují? Takovými informacemi jsou například IP adresy komunikujících stran. Pokud bychom byli schopni rozhodnout o každé IP adrese, zda se za ní skrývá útočník nebo ne, nebylo by vůbec potřeba dívat se do obsahu komunikace. Jak ale zjistit, kdo je za IP adresou a jak je nebezpečný?

Řešením je adaptivnost

Adaptivnost je vlastnost bezpečnostního řešení Kernun Adaptive Firewall, která přesně tohle umí. Na základě reputace komunikujících IP adres je schopna okamžitě rozhodnout, zda se má komunikace zablokovat, nebo povolit. Pro získání této informace používá databázi aktivních hrozeb, kterou vytváří a spravuje Kernun CSIRT. Databáze aktivních hrozeb je unikátním výsledkem spolupráce Kernun CSIRT týmu s národními bezpečnostními autoritami, správci páteřní sítě českého Internetu a dalšími CSIRT týmy státní správy i komerčních firem.

Pro tvorbu této databáze jsou využívány tisíce sond rozmístěných po střední Evropě, které monitorují nebezpečné aktivity v Internetu a reportují je. Na základě těchto informací potom inteligentní algoritmus vyhodnocuje například četnost výskytu jednotlivých IP adres, nebezpečnost jejich chování a neustále tak adaptivně upravuje jejich reputaci. Takto získané reputace jsou potom vstupem pro Kernun Adaptive Firewall, který má díky tomu aktuální informace o všech útočnících, kteří se v českém Internetu pohybují a je schopen je identifikovat a zablokovat.

Na kontextu záleží

Že znalost širšího kontextu chování IP adresy v Internetu je klíčová pro určení její nebezpečnosti si můžeme demonstrovat následujícím příkladem. Představte si několik krátkých SSH spojení z jedné adresy na druhou, která proběhla v rámci krátkého časového úseku. Je to útok nebo není? Může jít o útočné pokusy uhodnout heslo, anebo o legitimní zkopírování několika menších souborů. Standardní IPS systém to může buď odmítnout nebo povolit. V každém z těchto případů jde o riziko vzniku false-positive nebo false-negative, případně systém vytvoří pouze varování a rozhodnutí nechá na člověku.

Oproti tomu má Kernun Adaptive Firewall díky databázi aktivních hrozeb navíc informaci, že se tato adresa pokusila provést obdobná SSH spojení také na tisíce jiných adres. V takovém případě ji považuje za útočnou a spojení nepovolí už při prvním pokusu, protože adresa má špatnou reputaci. Naopak absence jakéhokoliv podezřelého chování zdrojové adresy ve sledované páteřní síti českého Internetu ukazuje, že adresa bude s vysokou pravděpodobností neškodná. Situace se může ale rychle změnit. Pokud se začnou z této adresy objevovat spojení pochybná, její reputace se rapidně sníží a další spojení s ní už nebudou povolena.

Plug and Protect

Zapojení firewallu, jeho konfigurace, zvolení a nastavení správných bezpečnostních politik je často komplikovaná činnost, které se správci sítí obávají. S myšlenkou na vysokou uživatelskou přívětivost a zároveň silné zabezpečení chráněného subjektu jsme Kernun Adaptive Firewall připravili tak, aby byl už ve výchozí konfiguraci nastaven v duchu best practices a ochrana byla okamžitá a silná.

Administrátor se tak nemusí obávat dlouhého konfigurování bezpečnostních služeb. Zařízení funguje ve smyslu plug and protect. Po zapojení jsou automaticky zapnuty všechny důležité prvky ochrany, jako je výše zmiňovaná adaptivnost, tradiční IPS modul zajišťující pokročilou kontrolu paketů, webový filtr Clear Web, který se stará o filtraci webového provozu, a v neposlední řadě stavový firewall se základními ochrannými mechanismy, jako je zajištění směrování, blokování podvržených paketů a podobně.

Adaptivnost funguje

O tom, že nový přístup k řešení síťové bezpečnosti je validní a funkční, se již mohli přesvědčit uživatelé a organizace, se kterými jsme adaptivní firewall společně testovali. Ve všech případech se efekt dostavil okamžitě. V síťovém provozu byly detekovány nebezpečné prvky, které klasickými firewally bez obtíží prošly.

Stejných výsledků testování bylo dosaženo i v případech, kdy bylo nasazení nového aktivního síťového prvku do stávající infrastruktury klienta z různých důvodů neschůdné. V těchto případech jsme nabídli a provedli kontrolu provozu tzv. pasivně. Testování probíhalo formou analýzy logovacích souborů provozu, který prošel jejich stávajícím bezpečnostním řešením, a který byl porovnán s naší databází aktivních hrozeb. Ve všech případech došlo k nalezení několika stovek, v některých případech i tisíců, IP adres, o kterých již Kernun Adaptive Firewall věděl, že jsou nebezpečné.

V českém kyberprostoru bezpečněji

Je třeba si uvědomit, že pro úspěšný průnik do sítě stačí útočníkům jediná nebezpečná IP adresa, která projde. Příklady toho, že útočníci mají navrch vidíme v médiích stále častěji. Pokud ale budou na těchto místech přítomna data o aktivních hrozbách, půjde se včas a efektivně chránit.

Jak jsme zjistili při testování, nasazení adaptivního firewallu v ostrém provozu je oproti běžným bezpečnostním řešením mimořádně účinné, a to právě díky unikátní znalosti aktivních hrozeb. Jestliže v českém Internetu probíhá nějaký cílený kybernetický útok, Kernun Adaptive Firewall se o něm záhy dozví a útok automaticky zablokuje. Chrání tak konkrétní cíle přímo v místě svého nasazení.