Antivirový software pro ochranu podnikových systémů před malwarem je jako očkování proti chřipce. Měli byste ho mít, ale pravděpodobně vás neochrání před každým kmenem chřipky.
„Antivirus je skvělý způsob, jak zablokovat známé hrozby, ale problém obrany je větší než jen eliminace virů,“ uvádí Ryan O’Leary, viceprezident výzkumného centra hrozeb společnosti WhiteHat Security. „Malware a zranitelnosti v síti nebo v aplikacích mohou vést k mnohem většímu problému.“
Ještě horší je, že nové hrozby vznikají příliš rychle, než aby tradiční antivirové systémy s nimi dokázaly držet krok.
„Musíme jako obor uznat, že uvíznutí v myšlení zaměřeném jen na antiviry a firewally ponechává dveře dokořán vůči nebezpečí,“ tvrdí O’Leary. „Společnosti musejí použít holističtější přístup ke svému programu zabezpečení a začít sledovat problémy aplikací, sítí a malwaru, které by mohly ohrozit celou jejich společnost.“
Nir Polak, výkonný ředitel společnosti Exabeam, tvrdí, že malware je jen prvním krokem při útoku na zabezpečení – jeho cílem je ukrást přihlašovací údaje a použít je k vytvoření nové platné identity, kterou je možné používat pro přístup k podnikové síti.
„Detekce malwaru je tedy dobrá věc, ale téměř vždy je už pozdě,“ upozorňuje Polak. V době, kdy antivirový systém detekoval malware, už hacker opustil toto zařízení a pohybuje se v síti s novou identitou. Antimalwarový software je nezbytný, ale rozhodně to není úplné řešení.“
Rick Grinnell z Glasswing Ventures souhlasí: „Když vakcína nebo antivirové řešení neochrání proti konkrétnímu kmeni či odpovídajícímu vzoru malwaru, potom zůstane pacient či uživatel zranitelný vůči infekci a útoku.“
Podle Grinnella společnosti nyní potřebují rozšířit antivirovou ochranu pomocí behaviorálních analýz, umělé inteligence a dalších technologií, aby tak vytvořily robustnější obranu.
Antivirová řešení a rozpoznávání pomocí vzorů fungovalo dobře před 15 až 20 lety, protože společnosti jako Symantec (Norton) nebo McAfee chránily svět Wintel (Windows/Intel) před relativně malým počtem pomalých virů.
S růstem internetu, stále zranitelnějším softwarem a důmyslnějšími technikami útoků malware explodoval kolem roku 2000 – počínaje červem Iloveyou, který infikoval miliony počítačů. V té době nabízeli poskytovatelé antivirových služeb ochranu, která byla relevantní až do konce dekády.
Grinnell uvádí, že přibližně polovinu všech narušení dnes nelze detekovat pomocí antivirových programů. V boji proti sofistikovanějším hrozbám přidali dodavatelé antivirového softwaru v rámci snahy blokovat škodlivé aktivity funkce využívající behaviorální kontrolu a whitelisty (některé z nich se však obtížně nasazují).
Útočníky to však jen přimělo hledat složitější metody, upozorňuje Grinnell.
Co teď?
Aby bylo možné zachytit novější útoky, začalo docházet k implementacím obrany využívající sofistikovanější strojové učení a umělou inteligenci.
„Tato řešení se mohou rychle naučit a přizpůsobit okamžitě se měnícím typům malwaru a často dokážou najít příslovečnou jehlu v kupce sena představující situace, kdy je zlé chování maskováno normálními vzory přenosů pocházejícími z účtu autentizovaného uživatele a schválené aplikace,“ popisuje Grinnell.
„Co když ale nové varianty neodpovídají tomu, co je již známé? Zde přichází ke slovu behaviorální analýza, která je proto důležitou součástí řešení. Behaviorální analýza bude hledat nárůst provozu a anomálie – něco za hranicemi toho, co se považuje za normální,“ dodává Grinnell.
Podle něj vyšší inteligence aplikovaná na dostupná data organizacím pomůže dělat informovanější rozhodnutí. To tradiční antivirové řešení neumožňuje.
Dalším problémem je, že se exploit může zaměřit na stále různorodější sadu systémů, z nichž mnoho nemá dostatečný výkon k provozu jakéhokoli nativního bezpečnostního softwaru. To je podle Grinnella důvod, proč se musí zabezpečení stavět na modelu s vrstvami, kdy některé součásti běží v koncových bodech a jiné v síti.
Skutečně optimalizovaný přístup vyžaduje nejen kontrolu datových toků oběma směry, ale také behaviorálních aktivit uživatelů, počítačů, aplikací a dat zároveň s využitím externí TI (Treat Intelligence).
„Někteří novější dodavatelé na trhu zabezpečení využívají pokročilou umělou inteligenci k hledání nejdůmyslnějšího vyvíjejícího se malwaru, který by antivirová řešení nikdy nemohla pomocí vzorů zachytit, a k zablokování těchto útoků dříve, než by se podařily,“ uvádí Grinnell.
„Další dodavatelé používají k poskytování rychlé reakce dříve, než mohou vzniknout velké škody, behaviorální modely společně s daty získanými crowdsourcingem a týmy lidských expertů identifikujících exploity v jejich raných fázích.“
Kdo zajišťuje ochranu správně? Grinnell zmiňuje společnosti Cylance, Crowdstrike a Carbon Black, přičemž Symantec a McAfee se snaží znovu získat význam. Další společnosti, jako jsou Palo Alto Networks a IBM, také využívají ve svých produktech pokročilé strojové učení a umělou inteligenci.
Zatím ještě ne
Dodavatelé antivirových řešení zatím nejsou připraveni ukončit své produkty. „Analogie s léky je velmi poučná,“ vysvětluje Avi Rembaum, viceprezident bezpečnostních řešení ve společnosti Check Point Software.
„Objevují se nové kmeny infekcí. Dosud používané léky na tyto nové formy nezabírají. Pokud by se však přesto někdo nakazil starším kmenem a neměl by proti němu vyvinutou imunitu, je pro tyto případy starší lék stále vhodný.“
Rembaum tvrdí, že antivirové programy by měly zůstat v sadě nástrojů zabezpečení. „Neměli bychom si myslet, že už nepotřebujeme penicilin a aspirin. Zůstávají i dnes relevantní a budou relevantní i v dohledné budoucnosti, přestože nemusejí být použitelné k léčbě nejnovějších variant chřipky.
„Je důležité si pamatovat, že zabezpečení má a vždy bude mít vícevrstvý přístup,“ prohlašuje Rembaum. „K prevenci pokročilých útoků je potřebná pokročilá prevence hrozeb.“ Poukazuje na jejich SandBlast jako na příklad takové technologie.
Phil Neray, viceprezident firmy CyberX, uvedl, že antivirové programy nejsou mrtvé – stejně jako to platí pro firewally. „Jde o to, že už nestačí samotné, protože nedokážou chránit před moderními hrozbami, jako jsou cílené útoky, malware nevyužívající soubory a polymorfní malware,“ popisuje Neray.
Jedna z oblastí, kde antivirový software není mrtvý (protože se tam nikdy nenarodil), jsou netradiční koncové body jako IoT (internet věcí), IIoT (průmyslový internet věcí) a zařízení ICS (průmyslové řídicí systémy), uvádí Neray.
Tato zařízení podle něj nemají dostatek výpočetních prostředků k provozu antivirových agentů, takže je potřebné při jejich ochraně spoléhat na jiné nástroje obrany, jako jsou například behaviorální analýzy a kontroly zranitelností bez agentů.
Corey Nachreiner, technologický ředitel společnosti WatchGuard Technologies, je přesvědčen, že spoléhání na signatury nebo známé vzory malwaru už k eliminaci hrozeb nestačí. „Přestože již nemusejí antivirová řešení založená na signaturách stačit, jsou obecně stejně důležitá jako kdykoli v minulosti.“
Co je staré, je nové
V současné době i méně důmyslní zločinci používají triky, které mění starý malware tak, že vypadá jako nový, minimálně na binární úrovni, popisuje Nachreiner. Mezi tyto metody skrývání patří balení a šifrování.
Pomocí balicích nástrojů mohou útočníci vzít dobře známého trojského koně, kterého by bylo možné snadno detekovat, a znečitelní ho na binární úrovni, takže původní antivirová signatura přestane odpovídat.
„Přestože takový trojský kůň zůstává stejný, může uniknout základní antivirové detekci,“ vysvětluje Nachreiner. „Útočníci navíc tento proces automatizují, tak aby jejich servery distribuující malware nepřetržitě přebalovaly malware při použití pro nové oběti.“
Výsledkem jsou stovky tisíc nových vzorků malwaru každý den, které detekce založená na signaturách nemusí zachytit. Tento obor si podle Nachreinera uvědomil, že reaktivní na vzorech založené technologie detekce malwaru již v takových případech nepomohou. „Nové antimalwarové kontroly se musejí více zaměřit na proaktivní metody detekce.
„Odpověď spočívá v nových technologiích, které dokážou rozpoznat lidské bytosti stojící za útokem,“ prohlašuje Sam Curry, produktový ředitel společnosti Cybereason. „Stejně jako jsou při stavbě domu potřeba hřebíky, je ve společnosti potřebný antivirus, ale ani hřebíky při stavbě, ani antivirus v IT nezajistí dostatečné výsledky.“
Antivirus může pomoci zlepšit hygienu, ale skutečný boj se odehrává jinde, upozorňuje Curry. Nejlepší způsob, jak zastavit útočníky (snížit korporátní riziko), pochází z něčeho zcela jiného.
Curry si myslí, že klíčem jsou behaviorální data (z koncových bodů, sítě, od uživatelů a aplikací), přičemž nejdůležitější jsou behaviorální data z koncových bodů. Zde přichází ke slovu umělá inteligence.
„Umělá inteligence je v současnosti poměrně zneužívaným termínem, ale princip využití učení, přizpůsobování softwaru a algoritmů, strojového učení a metod dolování dat k vytvoření sofistikovanějších expertních systémů a umělé inteligence je pro získání výhody v kybernetickém konfliktu rozhodující,“ popisuje Curry.
V současné době podle něj útočníci v kybernetickém konfliktu využívají všechny výhody a možnosti včetně asymetrie. Behaviorální data kombinovaná s automatizací a efektivními formami strojového učení, datové vědy a umělé inteligence jsou klíčem ke změně této asymetrie a k poskytnutí výhod obráncům v kybernetickém konfliktu.
Tento příspěvek vyšel v Security Worldu 2/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.