Imunitní systém pro informační technologie

Mechanismy, které IT systémům umožní přizpůsobit se okolním podmínkám, zvýší jejich bezpečnost. Boj s počíta


Mechanismy, které IT systémům umožní přizpůsobit se okolním podmínkám, zvýší
jejich bezpečnost.
Boj s počítačovými viry a červy v systémech je často popisován jako závody ve
zbrojení, kdy stále mocnějším zbraním čelí ještě silnější obrany. A tento
speciální závod ve zbrojení není bohužel bez vítěze experti na vytváření
škodlivých kódů v něm vítězí.
Existuje pro to několik důvodů. Počítače jsou stále více propojeny a to velmi
rychlými linkami což usnadňuje šíření škodlivého kódu. Složitost softwaru
narůstá, a spolu se složitostí přichází i zranitelnost. A konečně útočné zbraně
jsou stále sofistikovanější a snáze použitelné.
Přesto máme podle výzkumníků zabývajících se počítačovou bezpečností naději na
lepší budoucnost. Nedávno se řada z nich sešla na workshopu, jehož téma znělo:
Adaptivní výpočetní bezpečnost. Toto pracovní setkání v Santa Fé Institute v
Novém Mexiku odhalilo nový arzenál obran. Jejich základem je myšlenka
proměnlivých systémů, které zatím většinou existují jen ve formě idejí, ale
některé z nich už i ve fázi funkčních prototypů a pomalu se mění v komerční
produkty. Jejich charakteristiky jsou však společné:
Nespoléhají na předem stanovené definice, jako jsou například signatury virů,
scénáře útoků a popisy zranitelných míst. Proto jsou schopny odhalit takové
útoky, které dosud nebyly realizovány.
Jejich cílem je umožnit provoz systému i v průběhu útoku, byť třeba se sníženým
výkonem.
Učí se a adaptují na měnící se scénáře útoků.
Omezují falešné poplachy, které mohou způsobit nepoužitelnost obranných systémů.

Inspirace přírodou
Někteří výzkumníci čerpají nápady z biologie. "Biologický imunitní systém je
podrobně propracovaný. Vyvíjel se po miliony let, přičemž pravděpodobně prošel
rozsáhlými úpravami, testováním, laděním a optimalizací," říká Dipankar
Dasgupta, ředitel Inteligent Security Systems Research Lab při Memphiské
univerzitě. Zdůrazňuje, že lidské tělo se brání mnoha způsoby.
Například pokožka a sliznice stojí na stráži proti patogenům, které by mohly
vniknout do těla. Pokud však škodlivé látky do těla přesto proniknou, vstupují
do hry vrozené imunitní reakce, stejně jako získané neboli "adaptivní" obranné
mechanismy, které se učí z minulých infekcí. Navíc tělo disponuje obrannými
mechanismy na různých úrovních: buněčné, molekulární, proteinové a na úrovni
DNA.
"Stejně jako žádná biologická ochrana sama o sobě není dostatečná k udržení
zdraví, neexistuje jednotlivá počítačová obrana, která by byla adekvátní při
všech útocích," konstatuje Dasgupta. "Dnes tyto věci fungují nezávisle na sobě.
Pocházejí od různých výrobců a příliš dobře spolu nekomunikují."
Dasguptova laboratoř vytvořila prototypy softwaru, které tuto slabou stránku
řeší. Security Agents for Network Traffic Analysis využívá mobilní softwarové
agenty k detekci vniknutí do počítačové sítě. Agenti provádějí monitoring na
různých úrovních kontrolují pakety, procesy, systémy a uživatele a s využitím
neuronových sítí odhalují anomální chování. Za pomoci "fuzzy" pravidel pak
rozhodují, jaké akce je proti útoku nutno podniknout.

Proměnlivost pomáhá
Stephanie Forrestová, profesorka počítačových věd na University of New Mexico,
zdůrazňuje, že diverzita v biologických a ekologických systémech vede k jejich
robustnosti a odolnosti. "Existující software je naproti tomu prakticky
monokulturou," dodává. "Pracujeme na automatizaci vnášení diverzity do systémů,
což zajistí jejich bezpečnost," vysvětluje Forrestová. Každý systém se tak má
provedením úmyslných náhodných změn stát jedinečným. "Diverzita zvyšuje náklady
na útok, neboť musí být přizpůsoben každému jednotlivému počítači," dodává.
Diverzitu lze vytvářet různými způsoby. Jde například o přidání nefunkčního
kódu, změnu jeho uspořádání nebo o náhodnou volbu jeho umístění v paměti, o
úpravu názvů souborů či systémových volání.
Jiní výzkumníci experimentují s měřítkem označovaným jako Kolmogorovova
složitost (Kolmogorov Complexity). Jde o minimální počet bitů, do nichž lze
zkomprimovat řetězec znaků beze ztráty informací. Scott Evans, vědecký
pracovník GE Global Research, tuto vlastnost využil při studiu scénářů útoků.
Jmenovaný vědec analyzoval záznamy přenosů souborů a zjistil, že útoky, jako je
např. skrytý sken portů, mají tendenci k menší či větší složitosti než normální
chování, a míru této složitosti lze předpovědět; toho mohou využít obranné
nástroje k odhalení a zablokování útoku. "Tato technika je přitažlivá, neboť je
adaptivní a nevyžaduje žádné databáze signatur," objasňuje Evans.

V praxi
Reálná aplikace některých z výše zmíněných myšlenek bude trvat léta, ale Steven
Hofmeyr, dříve pracující na výzkumech prof. Forrestové, již některé z nich
dokázal převést do komerční sféry. Vyvinul nástroj Primary Response, jenž
monitoruje a chrání aplikace na úrovni jádra operačního systému. Softwaroví
agenti vytvářejí profil normálních chování aplikací na základě trasování
běžících programů a poté nepřetržitě monitorují odchylky jejich průběhů od
normy.
Primary Response pracuje na aplikační úrovni, na níž se podle Hofmeyra, šéfa
výzkumu a zakladatele kalifornské firmy Sana Security, odehrává 75 % útoků.
Ochrana na aplikační úrovni bude získávat na důležitosti spolu s tím, jak je
stále obtížnější definovat hranice sítě, na nichž mají pracovat firewally.
"Když se skutečně uchytí věci, jako jsou webové služby, bude to znamenat konec
perimetrové bezpečnosti, neboť je skutečně obtížné určit, co je vlastně uvnitř
a co vně sítě," konstatuje Hofmeyr.
Jakmile agenti Primary Response zachytí abnormální chování, odesílají varování
na centrální server, který může zablokovat podobné chování a současně umožnit
pokračování jiných činností. Hofmeyr však tvrdí, že by rád rozšířil Primary
Response na oblast ladění a odstraňování chyb.
"Spousta negativních událostí, která se odehrává v produkčních prostředích,
není výsledkem činnosti škodlivých kódů, ale indikátorem chyb, jako jsou
konfigurační či hardwarové problémy," říká Hofmeyr. "Pokud se na to dívám s
nadhledem, vidím možnost využití obdobného druhu nástrojů obecně pro
monitorování zdraví systému."









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.