Obrana proti kyberútokům

Cestou je integrace bezpečnostních řešení přímo do síťové infrastruktury - tak se může síť bránit útoku ještě dříve, než vůbec započne.
Moderní počítačové sítě jsou soustavou propojených uzlových prvků komunikujících mezi sebou. Tyto prvky ale fungují více méně samostatně, takže pokud je potřeba udělat v konfiguraci sítě jakoukoli změnu, je to pro administrátory velmi náročné. V případě dnešních sofistikovaných kybernetických útoků již na něco takového není čas. Malware se mění tak rychle, že systém, který se dokáže bránit jen známým hrozbám, je útočníkům v podstatě vystaven na milost a nemilost. Obrana proti kybernetické bezpečnosti musí fungovat před útokem, v jeho průběhu, ale i po něm.
Dnes již není otázkou, jestli malware do sítě pronikne, ale kdy. Jakmile už útok vypukne, mají bezpečnostní specialisté jen omezené šance adekvátně reagovat - např. u rozsáhlejší sítě musejí až na několika stovkách zařízení s několika tisíci rozhraní změnit konfiguraci tak, aby dokázali napadenou část sítě oddělit a tím zabránit rozsáhlejším škodám. „Něco takového ale zabere spoustu času, a může se tak docela dobře stát, že tou dobou už nebude co chránit“ říká Ivo Němeček, generální ředitel Cisco ČR.

Přibývá „hrozeb na míru“
V tradičním modelu síťové infrastruktury je efektivní obrana proti aktuálním kybernetickým hrozbám stále obtížnější. Dosavadní koncept vycházel z obrany na hranicích sítě, kdy na vstupních bodech byla nainstalována bezpečnostní zařízení, která měla bránit proniknutí škodlivého kódu do sítě. Dnes podobný postup již nefunguje. Celá řada kybernetických útoků vzniká doslova „na míru“, pro napadení konkrétního cíle. Nebyly předtím nikdy použity, a tradičními řešeními kybernetické bezpečnosti tudíž tento kód není považován za škodlivý.
„Bezpečnostní prvky, které budou zvládat současné kybernetické hrozby, musí reagovat na základě analýzy konkrétních dat, která síť přenáší. Vyhodnocení tohoto provozu v reálném čase pak dovolí detekovat podezřelé chování a přijmout opatření. Bezpečnostní algoritmy musí být proto integrovány přímo do síťové infrastruktury,“ říká Martin Rehák, hlavní inženýr bezpečnostní divize Cisco, která se specializuje na takováto řešení, jejichž reprezentantem je např. technologie Cisco Advanced Malware Protection (AMP) či Cognitive Threat Analytics, vyvíjená v pražském výzkumném a vývojovém centru Cisco.
Nedávno publikovaný výzkum Cisco Annual Security Report zjistil alarmující skutečnost, že nemalé procento IT odborníků podceňuje instalaci pravidelných bezpečnostních aktualizací. Ukázalo se např., že 56 % firem stále používá knihovny OpenSSL starší než 50 měsíců, které obsahují bezpečnostní mezeru, známou jako Heartbleed. A jen desetina uživatelů programu Internet Explorer má nainstalovanou nejnovější verzi. Přitom známé zranitelnosti tohoto programu, které jsou v nejnovější verzi odstraněny, využívá až 31 % útoků.

Budoucnost se jmenuje automatizace
Pomoci bránit se aktuálním kybernetickým hrozbám mohou automatické aktualizace. Nejnovější verze programů a aplikací, a pravidelně vydávané bezpečnostní aktualizace, totiž odstraňují známé bezpečnostní hrozby, které útočníci využívají nejčastěji. Např. rozšíření nejnovější verze platformy Java se projevilo poklesem počtu útoků na tuto platformu o více než třetinu. „Efektivní ochrana proti současným bezpečnostním hrozbám je jedním z nejdůležitějších důvodů pro automatizaci. Např. intrusion prevention system útok zjistí a může dát pokyn řídicímu prvku k takovému nastavení sítě, které útok zastaví. To je jeden ze směrů, kterým se ubírá vývoj v oblasti bezpečnosti. Útoku je ale potřeba se začít bránit ještě dříve, než vůbec začne. Nelze čekat na to, až se malware v síti projeví. Obrana musí potenciálně škodlivý kód odhalit a automaticky ho odstavit od komunikace se zbytkem sítě,“ konstatuje Martin Rehák.

 

Publikováno: 27. 4. 2015 | Počet zobrazení: 2163 524