Ešte pred takými desiatimi rokmi bol za vrchol počítačovej ochrany považovaný antivírusový program, prípadne nejaký jednoduchý firewall. Dnešné podnikové informačné architektúry však predstavujú rozsiahle a veľmi rôznorodé prostredie. Medzi koncové body patrí široká škála zariadení, infraštruktúrne prvky sú čoraz inteligentnejšie a informačné technológie sú využívané inak ako v minulosti.
Ochrana vyžaduje rôznorodé techniky
Antivírusy boli vždy primárne určené na ochranu pracovných staníc pred škodlivým softvérom a s ním spojenými nežiaducimi aktivitami. Doba však pokročila, útoky sú sofistikovanejšie a s antivírusom si dokážu ľahko poradiť. Aby bola ochrana firmy a jej dát dostatočná, musí bezpečnostné riešenie využívať rôznorodé moderné techniky a technológie. Jednoúčelové riešenia sú dobrým základom, ale už zo svojej podstaty nestačia. Nič na tom nemení ani fakt, že najčastejším miestom vstupu útočníkov bývajú koncové body – osobné počítače, smartfóny, tlačiarne a podobne. Práve naopak.
Evolúciu nezastavíte
V súčasnosti môže mať počítačový útok množstvo podôb. Môže to byť čisto všeobecný technický pokus na úrovni sieťového perimetra (je to hranica medzi súkromnou, lokálne riadenou sieťou a verejnou stranou, ktorú zvyčajne spravuje poskytovateľ siete). No môže mať aj črty sociálneho inžinierstva, zacieleného na koncových používateľov, alebo to môžu byť vysoko špecializované a presne cielené aktivity, zamerané na konkrétnu spoločnosť.
Pri úspešnom preniknutí do podnikovej informačnej architektúry má útočník širokú škálu ďalších možností, napríklad postupné prechádzanie infraštruktúry, podvrhnutie základných sieťových služieb, zahltenie a podobne. K tomu pripočítajme „zero-day“ hrozby, ktoré využívajú dosiaľ neodhalené chyby v systémoch a na ich objavenie a zastavenie nie je možné aplikovať bežné detekčné mechanizmy.
Tajomstvo úspechu antivírusov
Ako je možné, že sa antivírusovému priemyslu darí napriek tomu, že súčasné počítačové hrozby sú také rozsiahle a bežný antivírus na ich odrazenie nestačí? Hlavné dôvody sú dva. Prvým je fakt, že hoci sú antivírusy z pohľadu komplexnej ochrany nedostatočné, s určitým spektrom hrozieb si predsa dokážu poradiť. Druhým dôvodom je marketing, ktorý zákazníka presviedča o tom, že kúpou antivírusového programu sú jeho bezpečnostné starosti vyriešené. No rovnako, ako existuje celý rad útokov, existuje aj množstvo technológií, ktoré ich dokážu zastaviť. Pozrime sa preto na tie najzaujímavejšie.
Učiaci sa stroj
Machine Learning je jednou z podoblastí umelej inteligencie, ktorá je založená na neustálom zdokonaľovaní. Môže napríklad kombinovať informácie o počítačových hrozbách s podrobnou analýzou súborov, vrátane stanovenia miery podobnosti s existujúcimi hrozbami. Posudzuje jednotlivé funkcie a na základe matematických modelov určuje, do akej miery je daný súbor (ne-)bezpečný. Tieto matematické modely sa neustále zdokonaľujú na základe spätnej väzby a vstupných dát, pokrývajúcich škodlivý i bezpečný kód. Nechýba ani podpora zo strany behaviorálnych analýz.
Aj dáta majú svoju povesť
Ďalšou zaujímavou technikou je vyhodnocovanie reputácie spúšťaného programu. Na základe celosvetových štatistík je možné posúdiť dôveryhodnosť konkrétneho súboru a odporučiť používateľovi najvhodnejší postup. Globálne štatistiky zahŕňajú údaje o počte výskytov daného súboru vrátane umiestnenia v čase a mieste. Napríklad, pri pokuse spustiť program, s ktorým sa počas uplynulých dvoch mesiacov stretla iba tisícka počítačov, je potenciálne riziko vysoké. Rovnako ako v prípade súboru, ktorý síce za posledný rok otvorilo desať miliónov používateľov, ale 99,9 percenta z nich pochádzalo z Číny. Jednotlivé scenáre môžu byť, samozrejme, omnoho komplexnejšie a zohľadňovať i veľmi špecifické situácie.
Ako oklamať útočníka
Technológia sandboxingu si dokáže poradiť s ťažko zistiteľnými hrozbami vďaka možnosti spustiť podozrivý kód v izolovanom virtuálnom prostredí a analyzovať jeho skutočné správanie. Výhodou pokročilých využití tejto technológie je možnosť vytvoriť takmer identické testovacie prostredie v porovnaní s reálnym prostredím. Táto funkčnosť je praktická, pretože niektorý malware sa spustí iba za určitých podmienok, napríklad v konkrétnej jazykovej verzii systému.
Bezpečne i „v divočine“
V súvislosti s počítačovou bezpečnosťou a napĺňaním legislatívnych požiadaviek je dôležité využívať šifrovanie. Platí to najmä pre zariadenia, ktoré opúšťajú hranice organizácie. Úplným základom je šifrovanie na úrovni celého úložiska, ktoré je v prípade citlivých údajov vhodné doplniť šifrovaním na úrovni súborov. Pri správne nastavených pravidlách môže šifrovanie riešiť aj problematiku skartácie.
Ide o správnu kombináciu
Všetky tieto funkcie idú ďaleko za hranice možností antivírusového programu. Aby nedošlo k omylu: ani samotné vyššie opísané pokročilé technológie nezabezpečia stopercentnú ochranu pred počítačovými zločincami. Dôležitá je kombinácia viacerých bezpečnostných mechanizmov. Medzi ne patrí aj detekcia podozrivých aktivít, šifrovanie väčšieho počtu súborov (ochrana proti ransomvéru), tradičná ochrana sieťového perimetra, vzdelávanie používateľov a pravidelné preverovanie a prispôsobovanie prijatých bezpečnostných opatrení. Pretože, ako sa hovorí, čert nikdy nespí.
Robin Bay, Sales Engineer spoločnosti Trend Micro
