Domovská stránka » Výzkum, inovace a technologie » KYBERNETICKÝCH ÚTOKŮ V ČESKU PŘIBÝVÁ A BĚŽNÉ FIREWALLY UŽ NESTAČÍ
Sponzorováno

Česká republika dlouhodobě nepatří mezi premianty, co se síťové bezpečnosti týče, spíše naopak. Právě na toto téma jsme se zaměřili a jsme přesvědčeni, že známe cestu. Říká Vojtěch Bumba, vedoucí vývoje ve společnosti Trusted Network Solutions, která je tvůrcem bezpečnostních řešení KERNUN.

Internet je nebezpečné místo

Jak ví každý, kdo se alespoň zběžně zabýval kyberbezpečností, internet je plný útočníků. Všichni si ještě velmi živě pamatujeme na kybernetický útok na benešovskou nemocnici. Očekávání, že tato událost povede ke zlepšení ochrany se ukázala jako mylná v okamžiku, kdy byla úspěšně napadena Fakultní nemocnice Brno, a to o pouhý jeden rok později.

Nastává doba neviditelná

Nelze předpokládat, že by zvyšující se počet incidentů v ČR byl chybou správců sítí. Každá organizace včetně obou zmiňovaných má firewall, který se stará o ochranu vnitřní sítě. Problémem je, že principy ochrany, na kterých současná řešení pracují, přestávají fungovat. Nové standardy protokolů pro šifrovanou komunikaci sice skrývají uživatelskou komunikaci před útočníky, ale bezpečnostním expertům komplikují práci úplně stejně. Kontrola obsahu na perimetru sítě je čím dál složitější, a my jsme přesvědčeni, že do budoucna přestane být možná úplně.

Jak rozpoznat útočníka?

Je nutné začít o bezpečnosti přemýšlet úplně novým způsobem. Pokud je aktuálně největším zádrhelem šifrování, proč se nepodívat na dostupné informace, které se nešifrují? Takovými jsou například IP adresy komunikujících stran. Pokud bychom byli schopní rozhodnout, zda se za ní skrývá útočník, nebo ne, nebylo by vůbec potřeba dívat se do obsahu komunikace. Jak to ale zjistit?

Řešením je adaptivnost

Adaptivnost je vlastnost bezpečnostního řešení Kernun Adaptive Firewall, který přesně tohle umí. Na základě reputace komunikujících IP adres je schopný rozhodnout, zda se má komunikace zablokovat, nebo povolit. Pro získání této informace používá databázi aktivních hrozeb, kterou vytváří a spravuje náš bezpečnostní tým Kernun CSIRT. Databáze je unikátním výsledkem naší spolupráce s národními bezpečnostními autoritami, správci páteřní sítě českého internetu a dalšími CSIRT týmy státní správy i komerčních firem.

Kernun Adaptive Firewall – proč běžný firewall nestačí. Klikněte ZDE

Na kontextu záleží

Že znalost širšího kontextu chování IP adresy v internetu je klíčová pro určení její nebezpečnosti, si můžeme demonstrovat následujícím příkladem. Představte si několik krátkých SSH spojení z jedné adresy na druhou, která se uskutečnila v rámci krátkého časového úseku. Je to útok, nebo není? Může jít o útočné pokusy uhodnout heslo, anebo o legitimní zkopírování několika menších souborů.

Standardní IPS systém to může buď odmítnout, nebo povolit. V každém z těchto případů jde o riziko vzniku false-positive nebo false-negative, případně systém vytvoří pouze varování a rozhodnutí nechá na člověku. Oproti tomu má Kernun Adaptive Firewall díky databázi aktivních hrozeb navíc informaci, že se tato adresa pokusila uskutečnit obdobná SSH spojení také na tisíce jiných adres. V takovém případě ji považuje za útočnou a spojení nepovolí už při prvním pokusu, protože adresa má špatnou reputaci.

Tvoříme databázi aktivních kybernetických hrozeb v ČR. Klikněte ZDE

Naopak absence jakéhokoliv podezřelého chování zdrojové adresy ve sledované páteřní síti českého internetu ukazuje, že adresa bude s vysokou pravděpodobností neškodná. Situace se může ale rychle změnit. Pokud se začnou z této adresy objevovat spojení pochybná, její reputace se rapidně sníží a další spojení s ní už nebudou povolena.

V českém kyberprostoru bezpečněji

Pro úspěšný průnik do sítě stačí útočníkům jediná nebezpečná IP adresa, která projde. Příklady toho, že útočníci mají navrch, vidíme v médiích stále častěji. Pokud ale budou na těchto místech přítomna data o aktivních hrozbách, bude se možné včas a efektivně chránit. Jak jsme zjistili při ostrém testování, nasazení adaptivního firewallu je mimořádně účinné, a to právě díky unikátní znalosti aktivních hrozeb. Jestliže tedy v českém internetu probíhá nějaký cílený kybernetický útok, Kernun Adaptive Firewall se o něm záhy dozví a útok automaticky zablokuje. Chrání tak konkrétní cíle právě v místě svého nasazení.

Další článek