Virtualizace, softwarově definované sítě a související technologie zvyšují povrch, který lze napadnout. Co očekávat od vývoje internetu věcí?

 

Laboratoře McAfee jako součást bezpečnostní divize Intel Security zveřejnily svoji pravidelnou prognózu vývoje hrozeb. Jaké nejdůležitější závěry studie McAfee Labs 2016 Threats Predictions přináší? Tentokrát nejde pouze o předpověď na příští rok, ale jedna z částí analýzy nastiňuje i odhad vývoje IT bezpečnosti do roku 2020. V následujícím textu se zaměříme právě na tento delší horizont.

 

Nutnost automatizace

Některé trendy se dají odhadnout poměrně spolehlivě. Dále např. poroste množství síťově propojených zařízení – cca ze současných 16 miliard na skoro 25 miliard za 4 roky. Samozřejmě odpovídajícím způsobem nevzroste množství profesionálů, kteří se budou zabývat zabezpečením. Odpovědí bezpečnostního průmyslu proto musí být další automatizace bezpečnostních procesů (jako odpověď na incidenty, tak i nastavování konfigurace), obecně zjednodušení bezpečnosti, větší využití strojového učení a sdílení informací. Lidé instalující sítě v domácnostech a malých firmách nejsou a nebudou primárně žádní bezpečnostní specialisté, maximum zabezpečení a souvisejících funkcí je třeba žádat od samotných zařízení. Aktualizace zařízení budou za pár let (snad) instalovány automaticky a vzdáleně, bez nutnosti fyzického přístupu k systému. Co se týče sdílení informací mezi jednotlivými dodavateli navzájem nebo i se státními institucemi, nepůjde samozřejmě o bezkonfliktní záležitost, protože tyto informace představují pro jednotlivé firmy poskytující zabezpečení současně konkurenční výhodu. Méně problematické by mohlo být sdílení informací v rámci dodavatelských řetězců a jiných spolupracujících subjektů.

 

800 (4).jpg


Hardware a firmware

Útočníci se již několik let snaží obcházet zabezpečení operačního systému i aplikací a udeřit na co nejnižší úrovni. Kromě rootkitů v bootovacím sektoru byl už např. zaznamenán malware, který zneužívá grafické karty. Úspěšný útok zde podvodníkům přináší ovládnutí fyzického počítače, často včetně všech virtuálních strojů, které jsou na něm provozovány. Takové hrozby mohou být také velmi perzistentní, dokáží přetrvat i po reinstalaci systému.

 

V následujících pěti letech podle prognózy Intel/McAfee Labs výrazně přibude právě hrozeb cílících na úroveň firmwaru – také v reakci na lepší zabezpečení operačních systémů a aplikací. Dnes jde často o technicky náročné postupy, které zvládnou vládní agentury nebo větší a organizovanější skupiny, ale v budoucnu se i tyto postupy stanou „komoditou“, „službou“ – a bude je využívat mnohem širší spektrum kybernetických zločinců. Totéž začne platit i pro techniky, které malware skrývají; nízkoúrovňový malware se obejde např. bez trvalých souborů na disku („fileless“).

 

Reakcí bezpečnostního průmyslu bude logicky mj. převod i čím dál více bezpečnostních funkcí na úroveň hardwaru. Tento trend byl patrný už v roce 2010, kdy Intel koupil společnost McAfee včetně jejích laboratoří, a dokonce již v roce 2006, kdy byla představena Intel Trusted Execution Technology. Kromě skenování disku budou bezpečnostní programy ve stále větší míře poskytovat také sledování paměti a její aktivní ochranu.

 

Ještě větší důraz se bude klást na bezpečné spouštění programů, prostředí dovolí spouštět pouze důvěryhodný (ověřený, podepsaný) kód. Významný trend představuje také zrychlení šifrování; v důsledku Mooreova zákona cena hardwarového šifrování v příštích několika letech výrazně poklesne. Organizace už proto nebudou muset v takové míře hledat kompromisy mezi nasazením kryptografických technik a výkonem.

 

Vzdálený přístup a analýza chování

Malware bude v příštích pěti letech čím dál více využívat protokoly pro vzdálený přístup a podobné technologie (VNC, RDP, WMI, PowerShell). S jejich pomocí budou po krádeži uživatelských oprávnění útočníci moci pracovat nejen s webovými, ale i místními aplikacemi; pro bezpečnostní systémy je tento druh narušení jen obtížně detekovatelný. Že útočník v takovém případě dělá něco podezřelého (např. masivně odesílá data na vzdálený server) lze zjistit prakticky jen pomocí behaviorální analýzy.

 

Tyto techniky se proto budou v příštích pěti letech dále vyvíjet, jejich slabinou ovšem je, že řeší až samotné incidenty. Větší důraz se proto bude klást na samotnou ochranu přístupu. Systémy řízení přístupu a identit začnou být nasazovány opravdu plošně. Permanentní hesla budou stále více nahrazována vícefaktorovým ověřováním, větší uplatnění by už konečně mohla získat biometrie. Zde se samozřejmě sluší dodat i trochu skepse, protože biometrie je jako „killer aplikace“ pravidelně zmiňována už řadu let.

A co se týče behaviorální analýzy, obvykle se zmiňuje jako technika boje proti hrozbám, i ta má však svou druhou tvář. Podle prognózy ji budou ve zvýšené míře používat i podvodníci. Mnohé infiltrace budou dlouho pouze tiše sledovat legitimní aktivity. Až poté se provede samotná podvodná operace, která nemusí vůbec vzbudit podezření – ať už půjde o platbu kartou, převod z kompromitovaného bankovního účtu nebo přístup k citlivým firemním informacím.

 

Virtualizace sítí, kontejnery a internet věcí

Nová bezpečnostní rizika přinese i postup virtualizace. Kromě virtualizace serverů v datových centrech se jako další trend uplatňuje virtualizace sítí (network function virtualization, NFV), což je typ technologií, které do roku 2020 nasadí většina velkých telekomunikačních operátorů. Standardizovaná výpočetní platforma může nahradit specializovaná zařízení (směrovače, přepínače, firewally), ať už zcela, nebo je alespoň obalí další vrstvou a skryje i před správci aplikací a sítí. Tato infrastruktura by měla být pružnější a levnější, současně ale přináší další napadnutelnou vrstvu. Většinou se zde uplatňují open source technologie se všemi přínosy i riziky, které to má pro zabezpečení – např. i co se týče publikování informací o bezpečnostních zranitelnostech.

 

Dalším z trendů spojeným s virtualizací je nasazování kontejnerů. Zatímco klasický hypervisor umožňuje jednotlivým virtuálním strojům sdílet hardwarové zdroje, v rámci kontejneru se sdílí i zdroje operačních systémů, např. knihovny. Z hlediska bezpečnosti pro kontejnery platí něco podobného jako pro síťovou virtualizaci, přes veškeré výhody s sebou přidání nové vrstvy vždy přináší i nová rizika. Do stejné kategorie moderních technologií patří i softwarově definované sítě (SDN). Tyto architektury vždy zvětšují „povrch“, přes který lze systém napadnout. Navíc abstraktní nadstavbové vrstvy představují velmi závažný bod selhání, když útočník jejich ovládnutím získá kontrolu nad prakticky celou sítí, aniž by musel kompromitovat postupně jednotlivá zařízení, mít k čemukoliv fyzický přístup apod.

 

Jak zdůrazňují autoři prognózy McAfee Labs 2016 Threats Predictions, v případě výše zmíněných předpovědí se jedná o velmi konzervativní odhady, které se zabývají vývojem již existující infrastruktury a hrozeb. Naproti tomu v případě odhadů pro internet věcí se pohybujeme na méně jisté půdě. Obecně lze říct, že klesá cena vývoje propojených věcí, nové produkty budou tedy přicházet na trh stále rychleji. Spolu s tím se objeví i nové obchodní modely a způsoby používání těchto produktů. Rizika nositelné elektroniky se v této souvislosti zmiňují často, méně pozornosti se však věnuje bezpečnostním problémům internetu věcí v podnikové sféře. Na rozdíl od „módy“ budou produkty v podnikových sítí často používány mnoho let. Navíc celková uživatelská základna podnikových produktů může být mnohem nižší než u osobních zařízení, aby se útočníkům vyplatilo upřít tímto směrem pozornost. Právě tato zařízení IoT mohou v podnikových sítích představovat ten nejslabší článek.