Bezpieczeństwo w chmurze i nie tylko

Skąd się wzięła koncepcja przeniesienia mechanizmów ochrony i wykrywania zagrożeń do informatycznej chmury.

CIO Magazyn Dyrektorów IT oraz Trend Micro zorganizowały 19 maja br. w Warszawie spotkanie CIO i CSO poświęcone najnowszym zagrożeniom bezpieczeństwa informatycznego i sposobom zapobiegania im. Głównym mówcą był Raimund Genes, pełniący od 2006 r. funkcję światowego dyrektora ds. technicznych (CTO) oraz dyrektora generalnego działu inkubatorów przedsiębiorczości w firmie Trend Micro, przede wszystkim zaś - uznany autorytet w środowisku specjalistów od bezpieczeństwa informatycznego. Raimund Genes poświęcił swój wykład zmianie charakteru zagrożeń i koncepcji przeniesienia pola nowoczesnej wojny z cyberprzestępcami do informatycznej chmury. Gościem specjalnym spotkania był kapitan Andrzej Śnieg, pilot PLL LOT; jego wystąpienie poświęcone było podejmowaniu decyzji w sytuacjach kryzysowych. Zarysowując nieco odległą analogię do decyzji podejmowanych w kwestiach bezpieczeństwa przez profesjonalistów IT, pilotujący na co dzień Boeingi kapitan LOT przedstawił m.in. elementy treningu decyzji u pilotów.

Od romantyka do mafioso

W ciągu ostatnich kilku lat dokonała się zasadnicza ewolucja zagrożeń informatycznych. Nastąpił koniec ery amatorów: scenę opanowali profesjonalni cyberprzestępcy, którzy prowadzą dobrze zorganizowany biznes. Doprawdy nikt chyba nie przypuszczał, że zatęsknimy do, zgoła romantycznie rysujących się z dzisiejszej perspektywy, czasów działających w pojedynkę i przede wszystkim dla sławy twórców wirusów i hakerów. "Ostatni amatorsko i niebiznesowo zarządzany przypadek masowej epidemii złośliwego oprogramowania wystąpił w 2004 r." - powiedział Raimund Genes.

Zobacz również:



Nowocześni cyberprzestępcy nie szukają już rozgłosu i pracują zespołowo, z ośrodkiem koordynującym, rozpisanymi precyzyjnie rolami oraz odpowiedzialnością w swoich projektach. Nowoczesne złośliwe oprogramowanie rozprzestrzenia się głównie wraz ze spamem, modele działania są przemyślane i dopracowane w szczegółach, szybko się zmieniają, aby schemat od infekcji, poprzez jej rozwój, po uzyskanie korzyści za każdym razem stanowił zaskoczenie dla ofiar. Coraz częściej infekcja zaczyna się od wejścia na zarażony adres url. W tym roku 65% rozpoznanego złośliwego oprogramowania rozpowszechniało się właśnie spod zainfekowanych adresów url. Na zainfekowanie złośliwym oprogramowaniem jest podatnych około 80% webserwerów. Nawet jedna wizyta w sieci może zakończyć się zarażeniem złośliwym kodem.

Cyberprzestępcy zdołali już osiągnąć pewną przewagę. Wiele organizacji płaci szantażystom, którzy są w posiadaniu poufnych danych lub potrafią zablokować stronę internetową firmy. Informacje takie z rzadka przenikają do publiczności, żadnej ze stron nie zależy bowiem na rozgłosie. "Zadania stojące przed menedżerami odpowiedzialnymi za bezpieczeństwo informatyczne firm są coraz trudniejsze. Trzeba sobie zarazem jasno powiedzieć, że nie ma już obecnie rozwiązań mogących w 100% zabezpieczyć firmę. W sytuacji, gdy w sieci nowy złośliwy kod pojawia się co 2,5 sekundy, infekcje są nieuniknione. Trzeba jednak mieć tego świadomość i narzędzia, aby jak najszybciej izolować, a następnie likwidować wrogi kod" - mówił Raimund Genes. Należy taką sterylizację przeprowadzać jak najszybciej, czyli postępować dokładnie wbrew cyberprzestępcom, starającym się jak najdłużej za pośrednictwem złośliwego kodu eksploatować ofiarę, aby wyciągać dane, które mogą potem posłużyć do szantażu lub kradzieży. "Nie należą do rzadkości przypadki, kiedy ukryty koń trojański działa w firmie miesiącami lub nawet latami. Przechwytuje wrażliwe dane, uzyskując faktyczną kontrolę nad firmą, jest w stanie ją zaszantażować lub zniszczyć jej reputację" - mówił Raimund Genes. Cyberprzestępcy nie dążą do zniszczenia firmy, demonstrują jedynie taką możliwość - ich model działania zakłada raczej długotrwałą eksploatację ofiary niż jej zapaść.

Wybrać pole bitwy

Przestępcy są na bieżąco ze zmieniającą się technologią oraz zjawiskami i modami panującymi w internecie. Wykorzystują wszelkie modne tematy czy zjawiska, stopniowo przeprowadzając ofiarę przez kolejne etapy toksycznej znajomości, doprowadzając do zarażenia w najdogodniejszym dla siebie momencie. Są na czasie, od polityki do sieci społecznościowych, podrabiając witryny, przechwytując profile na witrynach społecznościowych, które potem posłużą do ataku. Cyberprzestępcy coraz częściej ocierają się też o cyberterroryzm. Nowa strategia cyberprzestępców wymaga zmiany sposobów ochrony. Nie warto kupować samych programów antywirusowych - dają obecnie tylko złudzenie bezpieczeństwa. Najważniejsze znaczenie ma natomiast, zdaniem Raimunda Genesa, przeniesienie mechanizmów wykrywania i ochrony do "chmury" (cloud). Zapewni to najlepsze wykorzystanie scentralizowanej mocy obliczeniowej komputerów oraz zwiększenie skuteczności i szybkości reagowania na zagrożenia.

W tym kontekście, Raimund Genes przedstawił koncepcję infrastruktury bezpieczeństwa Smart Protection Network. Infrastruktura opracowana przez Trend Micro składa się z trzech skorelowanych elementów: mechanizmów zarządzania reputacją poczty elektronicznej, plików oraz stron internetowych. Umożliwia dokonywanie korelacji zdarzeń, synchronizacji zawartości baz danych oraz odbierania informacji zwrotnych od klientów. Infrastruktura jest zasilana z globalnej sieci danych o inteligentnych zagrożeniach, która dodaje codziennie do samej tylko bazy danych o reputacji stron www ponad 50 mln podejrzanych adresów IP i internetowych, a w sumie przetwarza obecnie ponad 5 mld zgłoszeń dziennie.

Rada strategów wojskowości dotycząca przenoszenia działań wojennych ze swego terytorium nabiera tym samym dziś aktualności w nowoczesnej cyberwojnie.

Wystąpienie Raimunda Genesa można obejrzeć na www.magazyncio.pl