Fortinet: Pięć obszarów innowacji w dziedzinie cyberzabezpieczeń w 2017 r.

Firmy technologiczne muszą być innowacyjne, aby przetrwać. Jest to szczególnie istotne w branży cyberbezpieczeństwa. W 2017 roku cyberprzestępcy postawią przed dostawcami zabezpieczeń nowe wyzwania. Wielu hakerów to przecież niezwykle błyskotliwi ludzie i aby ich pokonać, trzeba być sprytniejszym od nich.

Dostawcy cyberzabezpieczeń muszą dziś oferować klientom otwarte, zintegrowane technologie ochronne i sieciowe. Za ich pomocą można  dostrzegać zmieniające się techniki ataków, szybko na nie reagować oraz rozwijać system bezpieczeństwa wraz ze wzrostem swojego biznesu.

Oto kilka obszarów, które branża cyberbezpieczeństwa obejmie w tym roku intensywną działalnością badawczo-rozwojową:

1. Uczenie maszynowe metodą deep learning na potrzeby analizowania ataków

Na przestrzeni lat pojawiały się różne typy technologii wykrywania zagrożeń.

Na początku były to sygnatury – technika porównująca niezidentyfikowany fragment kodu ze znanym szkodliwym oprogramowaniem.

Jako kolejne pojawiły się metody heurystyczne, które próbują zidentyfikować szkodliwe oprogramowanie w oparciu o charakterystykę zachowań w kodzie.

Następnie stworzono wydzielone środowiska uruchamiania aplikacji, czyli sandboxing. W jego ramach nieznany kod jest uruchamiany w środowisku wirtualnym w celu stwierdzenia, czy ma szkodliwy charakter.

Kolejne było uczenie maszynowe, w którym zaawansowane algorytmy są wykorzystywane do klasyfikowania zachowania określonego pliku jako szkodliwego lub nie, zanim analityk — człowiek — podejmie ostateczną decyzję.

Obecnie na rynek wchodzi nowa technologia — deep learning. Deep learning to zaawansowana forma sztucznej inteligencji, której zasada działania przypomina sposób, w jaki mózg człowieka uczy się rozpoznawać obiekty. Może ona wywrzeć duży wpływ na cyberbezpieczeństwo, zwłaszcza w wykrywaniu oprogramowania typu zero-day, nowych odmian malware’u oraz wyrafinowanych zagrożeń APT.

Gdy maszyna nauczy się, jak wygląda złośliwy kod, jest go w stanie w czasie zbliżonym do rzeczywistego zaklasyfikować jako szkodliwy lub nie, z niezwykle dużą precyzją. Na tej podstawie można wprowadzić reguły usuwania lub przenoszenia plików do kwarantanny bądź wykonywania innych zdefiniowanych czynności. Nowe informacje mogą być automatycznie udostępniane w całym środowisku zabezpieczeń.

2. Wielkie zbiory danych do wyszukiwania korelacji w dziennikach

Im więcej danych ma do dyspozycji dostawca zabezpieczeń, tym większą ma szansę na  wyciągnięcie wniosków, zrozumienie zagrożeń i zapewnienie ochrony. Wykorzystanie wielkich zbiorów danych, mieszczących się w gwałtownie rosnących dziennikach zdarzeń, będzie więc ważnym obszarem badań w 2017 r.

Prace nad udoskonaleniem narzędzi do zarządzania informacjami związanymi z bezpieczeństwem i zdarzeniami (SIEM, ang. Security Information & Event Management) będą z pewnością kontynuowane. Fortinet także chce zwiększyć możliwości swoich rozwiązań, aby lepiej wykorzystywały przygotowywane przez FortiGuard Labs dane na temat zagrożeń. Umożliwi to jeszcze lepszy wgląd w cyberataki.

3. Wzmacnianie bezpieczeństwa kontenerów

Uruchamianie aplikacji w kontenerach, a nie na maszynach wirtualnych, staje się coraz popularniejsze. Centrum środowisk tego typu są rozwiązania, takie jak Docker — projekt open source, a zarazem platforma, która umożliwia użytkownikom pakowanie, dystrybucję i kontrolę aplikacji Linux w kontenerach.

Technologia Docker ma wiele zalet, do których należą: prostota, szybsza konfiguracja i możliwość sprawniejszego wdrożenia. Ma ona też jednak pewne wady związane z bezpieczeństwem. Oto kilka z nich:

• Eksploity działające na poziomie jądra

W przeciwieństwie do maszyn wirtualnych jądro jest tu współużytkowane przez wszystkie kontenery i hosta. Zwielokrotnia to wszelkie luki w zabezpieczeniach istniejące w jądrze. Jeśli którykolwiek z kontenerów spowoduje błąd systemowy typu kernel panic, doprowadzi to do wyłączenia całego hosta wraz ze wszystkimi powiązanymi z nim aplikacjami.

• Ataki typu odmowa usługi (DoS, ang. Denial of Service)

Wszystkie kontenery wspólnie użytkują zasoby jądra. Jeśli jeden z kontenerów zmonopolizuje dostęp do określonych zasobów, może to spowodować odmowę usługi dla innych kontenerów działających na hoście.

• „Ucieczka” z kontenera

Cyberprzestępca, który przeniknie do kontenera, nie powinien być w stanie uzyskać dostępu do pozostałych kontenerów lub hosta. Domyślnie na platformie Docker nie ma wydzielonych przestrzeni nazw użytkowników. Dowolny proces, któremu uda się ucieczka z kontenera, będzie więc dysponował takimi samymi uprawnieniami w systemie hosta, jakie ma w kontenerze. Może to umożliwić ataki mające na celu rozszerzenie uprawnień (np. administratora).

• Zainfekowane obrazy

Trudno jest mieć pewność co do bezpieczeństwa używanych obrazów. Jeśli cyberprzestępcy uda się skłonić użytkownika do skorzystania z jego obrazu, zagrożony jest zarówno host, jak i dane użytkownika.

• Ujawnianie danych poufnych

Aby kontener mógł korzystać z bazy danych lub innej usługi, prawdopodobnie będzie wymagać klucza API lub nazwy użytkownika i hasła. Haker, któremu uda się uzyskać dostęp do tych danych uwierzytelniających, zdobędzie zarazem dostęp do usługi. To problem zwłaszcza w architekturach mikrousług, w których kontenery nieustannie zatrzymują się i uruchamiają. Środowiska te wyraźnie różnią się od architektur obsługujących niewielką liczbę maszyn wirtualnych uruchamianych na długi czas.

Wymienione problemy będą w tym roku istotnym tematem badań. Zajęcie się tymi zagadnieniami jest o tyle ważne, że w kolejnych latach technologia kontenerów może tylko zyskiwać na popularności.

4. Bezpieczeństwo vCPE

Choć wirtualne urządzenia instalowane u klienta (ang. vCPE — virtual customer premise equipment) pozostają wciąż jeszcze w domenie wirtualizacji i chmury, stanowią kolejny obszar, który warto zbadać dokładniej.

Wymagania biznesowe szybko się dziś zmieniają, a firmy potrzebują elastyczności, by sprawnie i bezpiecznie dostosowywać do nich swoje oddziały. Muszą więc być w stanie uruchamiać nowe usługi na żądanie z poziomu jednej platformy, bez złożoności i kosztów związanych z wdrażaniem dodatkowych urządzeń i zarządzaniem nimi.

Rozwiązania vCPE pozwalają dostawcom usług sieciowych udostępniać firmom np. Firewalle czy połączenia VPN za pomocą oprogramowania, a nie dedykowanego sprzętu. Dzięki wirtualizacji urządzeń końcowych dostawcy mogą uprościć i przyspieszyć świadczenie usług oraz zdalnie konfigurować urządzenia i nimi zarządzać. Technologie tego typu pozwalają też klientom zamawiać nowe usługi lub dostosowywać istniejące już rozwiązania na żądanie.

W oparciu o wirtualizację funkcji sieciowych (NFV, ang. Network Function Virtualization) Fortinet poczynił znaczne postępy w konsolidacji zaawansowanych usług sieciowych i zabezpieczeń w jednym urządzeniu (FortiHypervisor), eliminując w ten sposób konieczność używania licznych urządzeń instalowanych u klienta i umożliwiając udostępnianie usług na żądanie.

5. Wsparcie przedsiębiorstw w stosowaniu sieci SD-WAN

Coraz więcej firm potrzebuje elastyczniejszych, otwartych i opartych na chmurze technologii WAN. Przedsiębiorstwa nie chcą się już ograniczać do zastrzeżonych czy specjalistycznych instalacji, które często obejmują sztywne układy lub kosztowny, zastrzeżony sprzęt.

Zwiastuje to wzrost popularności definiowanych programowo sieci WAN (SD-WAN, ang. Software Defined Wide Area Network), które eliminują drogi sprzęt przekierowujący, udostępniając połączenia i usługi za pośrednictwem chmury. Technologia SD-WAN sprawia również, że połączenia można w elastyczny sposób kontrolować za pomocą oprogramowania w chmurze.

Sieci SD-WAN mogą zoptymalizować bezpieczeństwo sieciowe na wiele sposobów:

• Technologia SD-WAN umożliwia łatwe szyfrowanie ruchu sieciowego.
• Rozwiązanie SD-WAN pozwala segmentować sieci, co ogranicza skutki naruszeń bezpieczeństwa lub ataków do niewielkiego, wydzielonego obszaru.
• Wzrost intensywności ruchu w chmurze sprawia, że bezpośredni dostęp do Internetu z oddziału jest dziś rzeczywistością. Sieć SD-WAN można wykorzystać nie tylko do udostępnienia połączenia, lecz także do jego ochrony.
• Przez zapewnienie bardzo dużej przejrzystości w zakresie objętości i typu ruchu sieciowego technologia SD-WAN umożliwia wykrywanie ataków na wcześniejszym etapie.

Michael Xie, założyciel, prezes i dyrektor ds. technicznych Fortinet