Vojtěch Bumba: Kybernetických útoků v Česku přibývá a běžné firewally už nestačí
Česká republika dlouhodobě nepatří mezi premianty, co se síťové bezpečnosti týče, spíše naopak. Proč tomu tak je a jaké je řešení? Právě na toto téma jsme se v našem KERNUN CSIRT týmu zaměřili a jsme přesvědčeni, že známe cestu.
Česká republika dlouhodobě nepatří mezi premianty, co se síťové bezpečnosti týče, spíše naopak. Proč tomu tak je a jaké je řešení? Právě na toto téma jsme se zaměřili a jsme přesvědčeni, že známe cestu. Říká Vojtěch Bumba, vedoucí vývoje ve společnosti Trusted Network Solutions, která je tvůrcem bezpečnostních řešení KERNUN.
Internet je nebezpečné místo
Jak ví každý, kdo se někdy byť jen zběžně zabýval kyberbezpečností, internet je plný útočníků. Běžní uživatelé to často ani necítí, ale nás, kdo jsme měli odvahu nahlédnout pod pokličku, občas budí ze spaní myšlenka na zapomenuté otevřené porty na perimetru vnitřní sítě. Všichni si ještě velmi živě pamatujeme na hrozivý kybernetický útok na benešovskou nemocnici. Očekávání, že tato událost povede ke zlepšení ochrany podobných krizových zařízení, se ukázala jako mylná v okamžiku, kdy byla úspěšně napadena Fakultní nemocnice Brno, a to o pouhý jeden rok později.
Nastává doba neviditelná
Nelze předpokládat, že by zvyšující se počet incidentů v ČR byl chybou správců sítí. Každá organizace včetně obou zmiňovaných má firewall, který se stará o ochranu vnitřní sítě. Problémem je, že principy ochrany, na kterých současná řešení pracují, přestávají fungovat. Nové standardy protokolů pro šifrovanou komunikaci sice skrývají uživatelskou komunikaci před útočníky, ale bezpečnostním expertům komplikují práci úplně stejně. Kontrola obsahu provozu na perimetru sítě je čím dál složitější, a my jsme přesvědčeni, že do budoucna přestane být možná úplně.
Jak rozpoznat útočníka?
Je nutné začít o bezpečnosti přemýšlet úplně novým způsobem. Pokud je aktuálně největším zádrhelem šifrování, proč se nepodívat na dostupné informace, které se nešifrují? Takovými jsou například IP adresy komunikujících stran. Pokud bychom byli schopní rozhodnout, zda se za ní skrývá útočník, nebo ne, nebylo by vůbec potřeba dívat se do obsahu komunikace. Jak to ale zjistit?
Řešením je adaptivnost
Adaptivnost je vlastnost bezpečnostního řešení Kernun Adaptive Firewall, který přesně tohle umí. Na základě reputace komunikujících IP adres je schopný rozhodnout, zda se má komunikace zablokovat, nebo povolit. Pro získání této informace používá databázi aktivních hrozeb, kterou vytváří a spravuje náš bezpečnostní tým Kernun CSIRT. Databáze je unikátním výsledkem naší spolupráce s národními bezpečnostními autoritami, správci páteřní sítě českého internetu a dalšími CSIRT týmy státní správy i komerčních firem.
Podívejte se na video: Proč běžný firewall nestačí.
Na kontextu záleží
Že znalost širšího kontextu chování IP adresy v internetu je klíčová pro určení její nebezpečnosti, si můžeme demonstrovat následujícím příkladem. Představte si několik krátkých SSH spojení z jedné adresy na druhou, která se uskutečnila v rámci krátkého časového úseku. Je to útok, nebo není? Může jít o útočné pokusy uhodnout heslo, anebo o legitimní zkopírování několika menších souborů. Standardní IPS systém to může buď odmítnout, nebo povolit. V každém z těchto případů jde o riziko vzniku false-positive nebo false-negative, případně systém vytvoří pouze varování a rozhodnutí nechá na člověku.
Přečtěte si: Tvoříme databázi aktivních kybernetických hrozeb v ČR.
Oproti tomu má Kernun Adaptive Firewall díky databázi aktivních hrozeb navíc informaci, že se tato adresa pokusila uskutečnit obdobná SSH spojení také na tisíce jiných adres. V takovém případě ji považuje za útočnou a spojení nepovolí už při prvním pokusu, protože adresa má špatnou reputaci. Naopak absence jakéhokoliv podezřelého chování zdrojové adresy ve sledované páteřní síti českého internetu ukazuje, že adresa bude s vysokou pravděpodobností neškodná. Situace se může ale rychle změnit. Pokud se začnou z této adresy objevovat spojení pochybná, její reputace se rapidně sníží a další spojení s ní už nebudou povolena.
V českém kyberprostoru bezpečněji
Je třeba si uvědomit, že pro úspěšný průnik do sítě stačí útočníkům jediná nebezpečná IP adresa, která projde. Příklady toho, že útočníci mají navrch, vidíme v médiích stále častěji. Pokud ale budou na těchto místech přítomna data o aktivních hrozbách, bude se možné včas a efektivně chránit.
Jak jsme ověřili při ostrém testování, nasazení adaptivního firewallu je mimořádně účinné, a to právě díky unikátní znalosti aktivních hrozeb. Jestliže tedy v českém internetu probíhá nějaký cílený kybernetický útok, Kernun Adaptive Firewall se o něm záhy dozví a útok automaticky zablokuje přímo v místě svého nasazení. Chrání tak konkrétní cíle právě tady a teď.
Jste si jisti, že vás se hrozba netýká?
Chcete být chráněni před kybernetickými útoky, které jsou v danou chvíli pro vaši organizaci skutečnou aktivní hrozbou?
Kontaktujte nás: Společně se domluvíme na ideální postup a řešení.