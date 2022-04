Proč tomu tak je? A jaké je řešení této situace? Právě na toto téma jsme se v našem Kernun CSIRT týmu zaměřili a jsme přesvědčeni, že známe cestu. Říká Vojtěch Bumba ze společnosti Trusted Network Solutions, která je tvůrcem bezpečnostních řešení Kernun.





Internet je nebezpečné místo

Jak ví každý, kdo se někdy byť jen zběžně zabýval kyberbezpečností, internet je plný útočníků. Běžní uživatelé to často necítí, internet je pro ně prohlížení webu, případně instant messaging aplikace v telefonu, ale nás, kdo jsme měli odvahu nahlédnout pod pokličku, občas budí ze spaní myšlenka na zapomenuté otevřené porty na perimetru vnitřní sítě. Všichni si ještě velmi živě pamatujeme na hrozivý kybernetický útok na benešovskou nemocnici z roku 2019. Očekávání, že tato událost povede ke zlepšení ochrany podobných krizových zařízení, se ukázala jako mylná v okamžiku, kdy byla úspěšně napadena Fakultní nemocnice Brno, a to o pouhý jeden rok později.

Nastává doba neviditelná

Nelze předpokládat, že by zvyšující se počet bezpečnostních incidentů v České republice byl chybou správců sítí. Každá organizace včetně obou zmiňovaných má firewall, který se stará o ochranu vnitřní sítě. Problémem je, že principy ochrany, na kterých současná bezpečnostní řešení pracují, přestávají fungovat. Nové standardy protokolů pro šifrovanou komunikaci, jako například TLS 1.3, DNS over HTTPS nebo DNS over TLS, sice skrývají uživatelskou komunikaci před útočníky, ale bezpečnostním expertům komplikují práci úplně stejně. Kontrola obsahu provozu na perimetru sítě je čím dál složitější, a my jsme přesvědčení o tom, že do budoucna přestane být možná úplně.

Jak rozpoznat útočníka?

Jak tedy kontrolovat síťový provoz? Stále navyšovat výkon hardwaru, aby byl schopný rozlamovat čím dál složitější šifrovací protokoly, je nejen ekonomicky náročné, ale hlavně to brzy nebude mít žádný efekt. Komplexnost bezpečnostních protokolů se zvyšuje mnohonásobně rychleji než výkon firewallů.

Pro řešení tohoto problému je nutné začít o bezpečnosti přemýšlet úplně novým způsobem. Pokud je aktuálně největším zádrhelem šifrování, proč se nepodívat na informace, jež máme a které se nešifrují? Takovými informacemi jsou například IP adresy komunikujících stran. Pokud bychom byli schopní rozhodnout o každé IP adrese, zda se za ní skrývá útočník, nebo ne, nebylo by vůbec potřeba dívat se do obsahu komunikace. Jak ale zjistit, kdo je za IP adresou a jak je nebezpečný?

Řešením je adaptivnost

Adaptivnost je vlastnost bezpečnostního řešení Kernun Adaptive Firewall, která přesně tohle umí. Na základě reputace komunikujících IP adres je schopná okamžitě rozhodnout, zda se má komunikace zablokovat, nebo povolit. Pro získání této informace používá databázi aktivních hrozeb, kterou vytváří a spravuje Kernun CSIRT. Databáze aktivních hrozeb je unikátním výsledkem spolupráce Kernun CSIRT týmu s národními bezpečnostními autoritami, správci páteřní sítě českého internetu a dalšími CSIRT týmy státní správy i komerčních firem.

Pro tvorbu této databáze jsou využívány tisíce sond rozmístěných po střední Evropě, které monitorují nebezpečné aktivity na internetu a reportují je. Na základě těchto informací potom inteligentní algoritmus vyhodnocuje například četnost výskytu jednotlivých IP adres, nebezpečnost jejich chování, a neustále tak adaptivně upravuje jejich reputaci. Takto získané reputace jsou potom vstupem pro Kernun Adaptive Firewall, jenž má díky tomu aktuální informace o všech útočnících, kteří se v českém internetu pohybují, a je schopen je identifikovat a zablokovat.

Na kontextu záleží

Že znalost širšího kontextu chování IP adresy v internetu je klíčová pro určení její nebezpečnosti, si můžeme demonstrovat následujícím příkladem. Představte si několik krátkých SSH spojení z jedné adresy na druhou, která se uskutečnila v rámci krátkého časového úseku. Je to útok, nebo není? Může jít o útočné pokusy uhodnout heslo, anebo o legitimní zkopírování několika menších souborů. Standardní IPS systém to může buď odmítnout, nebo povolit. V každém z těchto případů jde o riziko vzniku false-positive nebo false-negative, případně systém vytvoří pouze varování a rozhodnutí nechá na člověku.

Oproti tomu má Kernun Adaptive Firewall díky databázi aktivních hrozeb navíc informaci, že se tato adresa pokusila uskutečnit obdobná SSH spojení také na tisíce jiných adres. V takovém případě ji považuje za útočnou a spojení nepovolí už při prvním pokusu, protože adresa má špatnou reputaci. Naopak absence jakéhokoliv podezřelého chování zdrojové adresy ve sledované páteřní síti českého internetu ukazuje, že adresa bude s vysokou pravděpodobností neškodná. Situace se může ale rychle změnit. Pokud se začnou z této adresy objevovat spojení pochybná, její reputace se rapidně sníží a další spojení s ní už nebudou povolena.

Adaptivnost funguje

O tom, že nový přístup k řešení síťové bezpečnosti je validní a funkční, se již mohli přesvědčit uživatelé a organizace, se kterými jsme adaptivní firewall společně testovali. Ve všech případech se efekt dostavil okamžitě. V síťovém provozu byly detekovány nebezpečné prvky, jež klasickými firewally bez obtíží prošly. Stejných výsledků testování bylo dosaženo i v případech, kdy bylo nasazení nového aktivního síťového prvku do existující infrastruktury klienta z různých důvodů neschůdné. V těchto případech jsme nabídli a udělali kontrolu provozu tzv. pasivně. Testování se uskutečnilo formou analýzy logovacích souborů provozu, jenž prošel jejich současným bezpečnostním řešením a který byl porovnán s naší databází aktivních hrozeb. Ve všech případech došlo k nalezení několika stovek, v některých případech i tisíců IP adres, o kterých již Kernun Adaptive Firewall věděl, že jsou nebezpečné.

V českém kyberprostoru bezpečněji

Je třeba si uvědomit, že pro úspěšný průnik do sítě stačí útočníkům jediná nebezpečná IP adresa, která projde. Příklady toho, že útočníci mají navrch, vidíme v médiích stále častěji. Pokud ale budou na těchto místech přítomna data o aktivních hrozbách, bude se možné včas a efektivně chránit. Jak jsme zjistili při testování, nasazení adaptivního firewallu v ostrém provozu je oproti běžným bezpečnostním řešením mimořádně účinné, a to právě díky unikátní znalosti aktivních hrozeb. Jestliže v českém internetu probíhá nějaký cílený kybernetický útok, Kernun Adaptive Firewall se o něm záhy dozví a útok automaticky zablokuje. Chrání tak konkrétní cíle přímo v místě svého nasazení.

KERNUN CSIRT – tvoříme databázi aktivních kybernetických hrozeb v České republice

V našem bezpečnostním týmu se zabýváme sledováním a analýzou bezpečnostních hrozeb se zaměřením na prostředí českého internetu. Výsledkem našeho vývoje je databáze aktivních hrozeb, jež obsahuje informace o aktuálně nebezpečných útočnících, kteří se právě teď v českém internetu pohybují. S touto databází operují i naše firewally, které díky systému sdílené bezpečnosti umožňují automatickou reakci a blokaci útoků přímo v místě svého nasazení. Aktuální počet aktivních hrozeb v naší databázi i vývoj za posledních 48 hodin můžete sledovat na stránce: http://www.kernun­.cz/databazehrozeb