RSS
| Nová epocha zabezpečení – ochranná síť v akci |
 |
 |
 |
|
Charakter bezpečnostních hrozeb – a organizovaného zločinu, který je vypouští do oběhu – se v posledních letech dramaticky mění. Výrobci bezpečnostních produktů však reagují stále stejným způsobem a pokračují v tradiční ochraně koncových bodů, takže brzy zjistí, že bojují předem prohranou bitvu proti stoupající vlně stále rafinovanějších hrozeb. Očividně je nutné změnit přístup k podnikovému zabezpečení a klíčem je přesun bezpečnostních produktů do prostředí cloud computingu, které umožní maximálně využít výkonu centralizovaných počítačů a zvýšit účinnost i rychlost odezvy. Při pohledu na bezpečnostní hrozby uplynulého desetiletí je zřejmé, že dochází k rychlým změnám. Před deseti lety využívaly bezpečnostní hrozby statický přístup, většinou je šířili počítačoví nadšenci a šlo je řešit poměrně jednoduchými prostředky, což v zásadě znamenalo shromažďování vzorků malwaru, vývoj identifikačních vzorů a jejich distribuci do koncových bodů, kde bylo třeba hrozby rozpoznat. V letech 2001 až 2003 došlo k obrovskému rozmachu masově rozesílané nevyžádané pošty a nedlouho poté i spywaru, a tak se staly antispywarové nástroje standardní součástí mainstreamových balíků zabezpečení. V roce 2005 přibyly inteligentní botnety, které vznikají z koncových bodů nakažených malwarem a samy pak rozesílají spam nebo jsou hostiteli škodlivého softwaru či zdrojem útoků ve formě odmítnutí služby. I v těchto případech stačilo k izolaci a karanténě problémů kontrolovat koncové body potenciálně nakažené malwarem. Nové hrozby V polovině roku 2007 se však objevil nový typ webové hrozby - útoky webového malwaru, které se lišily v celé řadě důležitých ohledů. Pravidla hry se mění – a tradiční způsoby obrany už nového protivníka dlouho nezadrží. Za prvé, webové hrozby jsou vícestupňové a multivariantní, takže mohou na první pohled vypadat jako neškodný e-mail, ale stačí klepnout na odkaz, který obsahují, a dostanete se na nebezpečný web, který zjistí vaše slabé stránky a využije je k tichému stažení a aktivaci trojského koně, který pak z internetu stáhne nějaký další malware – například spamboty, boty pro útoky odmítnutí služby, zdánlivě standardní antiviry nebo monitorovací software, který zaznamenává stisknuté klávesy. Tradiční kontroly využívající identifikační vzory jen těžko odhalí multivariantní webové hrozby, protože ty vznikají v malém množství, ale v různých variantách a potom se na internetu samy aktualizují a postupně mění svou formu či dokonce funkci. Za druhé, webové hrozby jsou distribuované a jejich komponenty mohou být rozesety na mnoha hostitelských systémech. Jednotlivé části nemusí vypadat nebezpečně, ale po spojení dohromady tvoří jednoznačnou závažnou hrozbu. Za třetí, webové hrozby využívají různé protokoly a útok zahájí například zasláním e-mailu (protokol SMTP) nebo jiné zprávy obsahující odkaz URL a pak už šíří nákazu pomocí protokolu HTTP. Tyto webové hrozby využívají ke svému šíření kombinaci různých metod a vyžadují ochranu složenou z více vrstev. Je třeba si uvědomit, že malware a jeho chování už roky směřuje od virových epidemií k utajeným, skrytým malwarovým útokům, jejichž cílem je krádež osobních údajů a proprietárních firemních dat. Objem malwaru zatím podle serveru AV-Test.org roste fenomenálním tempem a každý měsíc se objeví více než milion nových malwarových programů. Dnes se musíme vypořádat se zhruba 800 příchozích hrozeb za hodinu, a pokud bude jejich počet nadále růst stejným tempem, bude jich v roce 2015 každou hodinu až 26 500. Nové výzvy Měnící se charakter a rychle rostoucí množství hrozeb s sebou přináší celou řadu nových výzev pro dodavatele zabezpečení. Ale reakce výrobců bezpečnostních produktů se od doby, kdy se před necelými dvěma dekádami staly součástí mainstreamu, takřka nemění. Možná častěji vydávají tradiční identifikační vzory a někteří přecházejí od týdenních k hodinovým nebo dokonce půlhodinovým aktualizacím, ale v zásadě jde pořád o shromažďování vzorků malwaru, vytváření identifikačních vzorů a rychlou distribuci celé databáze vzorů všem koncovým bodům. Kvůli charakteru webových hrozeb a odhodlanosti počítačových zločinců pracovat bez povšimnutí je však stále těžší najít starší výskyty hrozeb, jež už dnes mohou být připravovány na míru. Počítačoví zločinci jsou také stále zručnější ve vývoji obrovského množství variant malwaru s různými mechanismy doručení. To za prvé znamená, že budou soubory identifikačních vzorů stále větší a vyhledávání známých virových signatur bude stále náročnější na prostor na disku, paměť i kapacitu procesorů koncových bodů. Za druhé, jejich nasazení bude trvat mnohem déle a bude vyžadovat obrovskou šířku pásma. Ale asi největším problémem je, že i když bude možné tyto soubory dál nasazovat, aktualizace souborů vzorů a zpracování všech dat zpomalí počítače uživatelů tak, že je často téměř zastaví. Pokud nezměníme současný přístup k zabezpečení koncových bodů, bude už v roce 2015 režie nasazení v IT provozech velkých podniků neúnosná. Nasazení jednoho souboru s identifikačními vzory v podniku s 250 000 zaměstnanci v různých zemích světa může trvat déle než pět hodin, což lze jen stěží považovat za rychlou odezvu na hrozbu, která může být pro podnik kritická. Když si navíc uvědomíme, že firmy dostávají denně až osm aktualizací a velké organizace takto získané soubory před ostrým nasazením často testují v řízeném prostředí, zdá se, že udržet krok s nejnovějšími aktualizacemi vzorů bude prakticky nemožné. Správci sítí by strávili veškerý čas správou aktualizací, sítě by byly ochromené jejich neustálým stahováním a výkon koncových bodů by markantně poklesl. Nemluvě o vzdálených a mobilních pracovnících, ke kterým se mohou aktualizace dostat teprve několik dní po vydání. Evidentně je zapotřebí reagovat jinak a využít nejnovější výpočetní technologie a prostředky co nejefektivněji. Odpověď leží v přesunu uchování a provozu kontrolních mechanismů do „cloudu“. Tím se minimalizují nároky na prostředky koncových bodů a zajistí se konzistentní provoz sítě, okamžité ošetření nových hrozeb a zvýšené povědomí o lokalizovaných hrozbách. I nadále samozřejmě půjde o vícevrstevný přístup, takže budou některé hrozby i nyní odchyceny branou gateway kvůli podezřelým IP adresám nebo blokování uživatelů a další budou zneškodněny lokálně díky rozpoznání signatur a blokování škodlivých cílových adres. A když mluvíme o cloudu, nesmíme zapomenout, že se do značné míry jedná o pojmový koncept, nikoli nezbytně omezený na internet. U velkých podniků stačí udržovat lokální kopii databáze hrozeb a minimalizovat latenci odezvy na klienty. Ochranná síť v akci Společnost Trend Micro pochopila, že tradiční způsob blokování malwaru zatěžuje koncové body a nedokáže držet krok s rychlostí počítačových pirátů. Odpovědí na nové změněné prostředí je technologie cloud klient Trend Micro Smart Protection Network tvořená třemi prvky: správou reputace e-mailu, webů a souborů. Kromě toho, a to je hlavní, nabízí tento koncept také možnost provádět křížové korelace událostí, kombinovat populace různých databází a zajistit smyčku zpětné vazby od uživatelů. Udržuje globální síť shromažďující data o hrozbách, která jen do databáze reputace webů doplní denně přes 50 milionů podezřelých IP adres a URL a celkem v současnosti zpracuje více než 5 miliard požadavků za den, aby zajistil komplexní ochranu před všemi typy hrozeb, včetně webových hrozeb nového ražení. Právě kombinace těchto tří prvků dává infrastruktuře Smart Protection Network značné možnosti v boji s webovými hrozbami, protože dokáže korelovat různé typy událostí, například nevyžádaný e-mail s odkazem na nebezpečný web, odkud se stáhne nový a dosud neznámý malware, který se pokusí „zavolat domů“ na známou nebezpečnou adresu. Korelace různých výskytů pomáhá vytvořit globální obrázek a v konečném důsledku přispívá k vytvoření lepší databáze hrozeb. Pomocí globální smyčky zpětné vazby navíc sleduje bezpečnostní hrozby až ke zdroji, izoluje jejich příčiny, propojuje výzkumná centra, zákazníky, produkty a služby. Když tedy dosud neznámý malware z předchozího příkladu vygeneruje zpětnou vazbu, vede to k prošetření URL, odkud pochází, a k odpovídající aktualizaci Smart Protection Network. E-mail je okamžitě zablokován na síťové bráně gateway, protože obsahuje URL, která je nyní již v databázi reputace webů na seznamu nepovolených adres. Další downloady budou zablokovány, protože je identifikační vzor souboru doplněn do databáze reputace souborů a odesílatel e-mailu je přidán do databáze reputace e-mailů, aby se řetězec nákazy přerušil co nejdříve. Smart Protection Network představuje nový přístup, který využívá nejnovějších technologií, zatímco stávající přístupy již dosáhly hranice svých možností a situace už lepší nebude. Smart Protection Network je dynamická technologie ochrany v reálném čase navržená tak, aby se dokázala přizpůsobit charakteru hrozeb. Se změnou charakteru bezpečnostních hrozeb souvisí i testování tradičních bezpečnostních řešení různých výrobců. Nezávislé testování by se mělo zaměřit na ochranu zákazníků a ta se neomezuje na pouhou detekci. Většina dostupných nezávislých testovacích center až doposud používala zastaralé metody, jež neodráží praktické podmínky dneška. NSS Labs: Nová metodika testování Společnost NNS Labs jako jedna z prvních přišla s novou metodologií testování bezpečnostních produktů. Díky novému přístupu k testování nabízí NSS Labs kromě tradičních ukazatelů detekce hrozeb také dvě klíčové metriky. První je měření míry detekce a blokování hrozeb na základě zdroje URL a druhou měření takzvané „doby zajištění ochrany“, tedy času, který uplyne od chvíle, kdy mají koncové body zákazníků k dispozici ochranu proti této hrozbě. Nová metodika testování NSS Labs sleduje schopnost blokovat hrozby dřív, než dosáhnou koncových bodů, i detekci těch hrozeb, které ke koncovým bodům proniknou, a výsledkem je skóre celkové ochrany. NSS Labs Live Testing poměřuje výkon produktů vůči nejaktuálnějším hrozbám, s nimiž se mohou uživatelé setkat - ne vůči zastaralým vzorkům v uzavřeném laboratorním prostředí jako ostatní testy. Více informací:
|
