Superchytré zabezpečení

V současnosti vyvíjené inteligentní obranné systémy mají rozpoznávat nové neznámé hrozby. Už delší čas se be...


V současnosti vyvíjené inteligentní obranné systémy mají rozpoznávat nové
neznámé hrozby.

Už delší čas se bezpečnostním IT manažerům příliš nedaří úspěšně bojovat proti
útočníkům, kteří se pokoušejí poškozovat počítačové systémy. Důvodem neúspěchů
je rostoucí komunikační propojení počítačů a složitější software, který se na
nich provozuje. Oba faktory zvyšují náchylnost k infekcím a průnikům do systémů.
Stávající bezpečnostní opatření už často nepostačují, neboť se zaměřují spíše
na prevenci antivirový software a firewally se svorně snaží zabránit škodám a
neřeší nápravu slabých míst. A co se týče detekce přicházejících hrozeb, nejsou
obranné nástroje příliš úspěšné, protože jsou obecně naprogramovány na
rozeznávání známých ohrožení, nikoliv na nová, dosud neidentifikovaná
nebezpečí. "Definovali jsme 1 970 hlavních bezpečnostních úskalí, z nichž
potenciální slabá místa musejí být zřejmá každému," říká David Patterson,
prezident Asociace pro výpočetní systémy (Association for Computing Machinery).
Experimentální prototypy ochranných nástrojů už začínají překonávat omezení
daná těmito 1 970 body. Některé z nich umějí detekovat škodlivé programy a
průniky, aniž by spoléhaly na pevně naprogramované definice nebo známé vzorce
nežádoucího chování. Jiné jsou založeny na předpokladu, že bezpečnostní
incidenty se stávají i navzdory veškerým snahám o omezení škod a udržení
systému v chodu.

Detekce a prevence
Kalifornská společnost Sana Security ze San Matea vyvíjí a prodává software pro
prevenci nežádoucích průniků, jenž si bere za vzor biologické imunitní systémy.
Její produkt Primary Response používá softwarové agenty pro vytvoření profilu
chování normální aplikace, definované podle toků dat v běžícím programu. Potom
sleduje chod programu a hledá odchylky od normy. Předem určené signatury virů
či útoků nebo předdefinovaná bezpečnostní pravidla tak nejsou nutná.
Software zastaví nenormální chování aplikace tím, že aktivuje blokovací nástroj
ochranného systému. Zástupci Sany vysvětlují, že software se neustále učí,
takže dokáže rozeznávat a propouštět platné, neškodné změny v chodu programu.
Proto výrazně eliminuje falešné výstrahy, jež jsou hlavním nedostatkem
bezpečnostních nástrojů tohoto druhu.
Technologie firmy Sana má své kořeny na Univerzitě Nové Mexiko, kde vědci
vyvinuli několik specialit v oboru tzv. pružných a adaptivních výpočtů. Pracují
například na metodě RISE Randomized Instruction Set Emulation, která spočívá na
tvrzení, že rozmanitost v programu je normální. Obdobu nalezneme i v biologii,
kde platí, že odolnost proti nemoci je lepší u divokých zvířat, která mají více
genetické rozmanitosti než zvířata zdomácnělá, jejichž genetická diverzita je
více homogenní.
Metoda RISE přetvoří každý softwarový systém do unikátní podoby. Činí tak
náhodnou změnou provedenou v kódech programů, jež v případě rozšíření útoku
budou na každém počítači jinak modifikované. Vybrané řetězce znaků jsou náhodně
upraveny v okamžiku, kdy se ochranný proces v systému odstartuje, a ve chvíli,
kdy se přikročí ke spuštění daného programu, jsou kódy převedeny zpět do
původního tvaru. Tím se hledaný kód stává pro škodlivý program v podstatě
nerozpoznatelný.
Patterson, který je zároveň profesorem na Univerzity of California v Berkeley,
upozorňuje, že IT manažeři nemusejí čekat s využitím myšlenky rozmanitosti do
doby, kdy bude metoda RISE komerčně dostupná. "Počítače dělá víc než jedna
firma a operační systémy také," říká. "Náklady na vlastní systémy jsou nižší,
pokud je vše identické, ale vaše zranitelnost vůči útoku bude vyšší."

Metody uzdravování
Odborníci na počítačovou bezpečnost už dlouho vědí, že žádná dostupná kombinace
obranných metod nemůže systém vždy úplně ochránit. Proto se soustřeďují na to,
jak škodlivost útoků zmírnit, tedy jak udržet systémy v provozu, byť při
redukovaném výkonu.
Patterson a jeho kolegové pracují v Berkeley na způsobu programování, jež se
orientuje na sanaci (ROC, Recovery-Oriented Computing). Při něm systémy
provádějí rychlé a většinou neviditelné opakované mikrozavádění (microreboots)
systému u programu, jenž vykázal nějakou potíž. Může jít například o známé
přetečení bufferu, ale díky mikrozavádění aplikace zůstává stále v chodu.
Klíčem k ROC je logika sledující běh programu, která zaznamená, že je něco v
nepořádku, a poté spustí mikrozavádění ještě předtím, než se celý systém
zhroutí.
Patterson míní, že mezi nástroji pro lepší detekci a prevenci, jako je Primary
Response od společnosti Sana, a nástroji zaměřenými na přežití útoku, jako je
ROC, je přirozený soulad. "ROC se snaží provádět sanaci rychle a levně,"
vysvětluje. "Pokud je oprava drahá a složitá, musí být váš detekční mechanismus
skoro dokonalý."
Patterson vzpomíná na okamžik, kdy jeho výzkumný tým prošel při vývoji metody
ROC prozřením. "Byla to situace, kdy stlačování nákladů na sanaci způsobilo, že
metoda začala připouštět více falešných výstrah."
Jinou cestou, kterou lze zajistit kontinuitu chodu aplikací, je jednoduše útok
zpomalit tak, aby napadl méně počítačů, než bude možné nasadit účinnou obranu.
V rámci prací na odolné infrastruktuře vyvinula společnost Hewlett-Packard
pojistný software proti virům (virus-throttle software). Ten zpomaluje
komunikační spojení mezi počítači, takže se datová výměna v případě nákazy
omezuje přibližně na jedno nebo několik málo spojení za sekundu. Standardní
komunikace v počítačové síti probíhá rychlostí stovek požadavků za sekundu,
čehož zneužívají moderní červi.
Projekt Responsive Input/Output Throttling na Univerzitě Nové Mexiko kombinuje
různé obranné mechanismy. Jde o přístup, který napodobuje biologické mechanismy
obrany. Pro omezení rychlosti spojení s jinými počítači také využívá metodu
přiškrcení (Throttling). Ale ta je zde pojata daleko flexibilněji, protože
ochranný systém pracuje napojen na agenty, kteří se učí normální vzorce chování
určitých kombinací uživatelů, počítačů a aplikací. "Systém zapnete, a on se učí
typické charakteristiky chování vaší sítě," říká Matthew Williamson, vedoucí
vědecký pracovník u firmy Sana, který dříve působil jako vývojář technologie
přiškrcení v laboratořích firmy Hewlett-Packard. "Technologie přiškrcení
otevřela dveře úvahám nad vazbami mezi jevy namísto obvyklé otázky, zda ,je to
dovoleno, nebo ne," vysvětluje Williamson. "Lidé pracující v oboru bezpečnosti
mají tendenci přemýšlet binárně." Ale ani bezpečnost, ani cena, kterou za ni
platíme, není problémem typu buď/anebo, říká Williamson. "Náklady se dají
významně snížit pořízením flexibilních systémů, které nemusejí fungovat
bezchybně," míní Williamson. "I v rámci 80% bezpečnosti můžete mít dobré
zajištění."









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.