Roman Janovič, technický riaditeľ Cisco pre južnú východnú Európu. Zdroj: Cisco
Pred kybernetickým zločinom nie je v bezpečí ani svet priemyselnej výroby. Moderné továrne sa snažia vyťažiť čo najviac z digitálnej revolúcie – stroje sú pripojené na internet a firmy tak získavajú možnosť čo najrýchlejšie vyrábať produkty na mieru.
Vírus, ktorý môže zabíjať
„Malvér sa neustále vyvíja, sme svedkami nepretržitej evolúcie. Zaujímavé je však sledovať, ako sa mení doba potrebná na jeho odhalenie,“ hovorí Philippe Roggeband, odborník Cisco na priemyselnú kybernetickú bezpečnosť. „Napríklad veľmi známy červ stuxnet bol prvý raz nasadený v roku 2008. Odhaliť sa ho podarilo až po dvoch rokoch,“ pripomína dnes už svetoznámy príklad kybernetického útoku na centrifúgy v iránskych jadrových zariadeniach. Dlho neodhalený červ v nepravidelných intervaloch menil rýchlosť ich otáčania a zabránil tak získaniu uránu vhodného na použitie v zbraniach. „Stuxnet bol prvý prípad pretrvávajúceho pokročilého malvéru, škodlivého kódu, ktorý bol v činnosti niekoľko rokov a vyhýbal sa odhaleniu,“ hovorí Roggeband. Svet však odvtedy zažil podobných útokov viac. Vírus Black Energy je aktívny niekoľko rokov, má viacero verzií a spôsobil napríklad výpadok elektrickej siete na Ukrajine. V iných prípadoch došlo k útokom na ropovod či k zničeniu a odstaveniu oceliarskej vysokej pece v Nemecku. Stuxnet má už i open source verziu, takže princíp jeho fungovania môžu študovať nielen odborníci na bezpečnosť.
Roggeband pripomína, že vo svete digitalizovaných tovární bude treba bezpečnosti venovať mimoriadnu pozornosť – kým pri bežnom útoku na IT infraštruktúru firmu sú v stávke dáta a duševné vlastníctvo, úspešný útok na továreň využívajúcu internet vecí môže doslova zabíjať.
Lovci hackerov
Poľaviť v ostražitosti si však nemôže dovoliť nikto. Cisco Talos, špecializovaný tím „lovcov hackerov“, ktorý nepretržite monitoruje sieťovú premávku a analyzuje kybernetický zločin, denne zablokuje 19,7 miliardy hrozieb. Len pre perspektívu – sú to v priemere tri zablokované útoky na každého človeka planéty a počet je vyšší, ako celkový denný počet vyhľadávaní cez najpoužívanejší vyhľadávač.
Hackeri pritom vedia, prečo to robia. Vlani zablokovaný exploit kit Angler mohol svojim tvorcom ročne priniesť až 34 miliónov dolárov.
„Nič také ako nový zločin neexistuje. Všetko, čo vidíme, sú staré zločiny, ktoré sa digitalizovali a využívajú nové technológie,“ hovorí Martin Lee, šéf Cisco Talos. „Tak ako svoje biznis modely technológiami posilňujú legitímne firmy, tak to isté robia aj zločinci.“
Ako príklad udáva výpalné, vreckárov či únoscov. Digitalizácia im dala šancu zmeniť slabý lokálny biznis model a dať mu celosvetový rozsah. Namiesto hrozieb vypálenia reštaurácie tak dnes sledujeme vyhrážky DDoS útokmi, namiesto pár drobných z peňaženky sa kradnú CPU cykly na ťaženie bitcoinov a namiesto príliš rizikových únosov máme ransomware.
Philippe Roggeband, odborník Cisco na priemyselnú kybernetickú bezpečnosť.
Odpoveďou je architektúra
Talos, pomenovaný podľa antického ochrancu Grécka pred nebezpečenstvom, má k dispozícii najviac telemetrických údajov. Dokáže tak zbadať každú anomáliu a varovať pred ňou dostatočne včas.
Čas je totiž veľký problém. Od prieniku do siete až po odhalenie škodlivého softvéru totiž v priemere uplynie sto až dvesto dní. Vďaka prehľadu Cisco sa podarilo tento čas skrátiť na 17 hodín.
„Problém spočíva aj v tom, že mnohé firmy sa snažia riešiť svoje problémy len dopĺňaním technológií,“ vysvetľuje Roman Janovič, technický riaditeľ Cisco pre južnú a východnú Európu. „Dnes nie je výnimkou, ak je v jednej firme nasadených päť, desať, pätnásť rôznych zariadení, ktoré zvyšujú bezpečnosť. Zároveň je však ich vedľajším efektom aj zložitosť,“ hovorí odborník Cisco.
Každé nové zariadenie si vyžaduje starostlivosť o zdravotný stav, neustálu kontrolu, aktualizáciu politík a podobne. Problémom však je nelineárna analytická zložitosť – pospájať výstupy z jednotlivých zariadení a získať z nich závery. „Na to je jediná odpoveď – venovať dostatočnú pozornosť architektúre. Našou snahou je, aby jej zložitosť kopírovala pridanú hodnotu. Dobrá architektúra dokáže pospájať jednotlivé bezpečnostné komponenty tak, aby bol výsledkom prehľad o celkovom kontexte,“ hovorí R. Janovič.
Martin Lee z tímu Cisco Talos.
Okamžitá ochrana
„Dnes si treba uvedomiť, že neexistuje riešenie, ktoré vás ochráni stopercentne,“ ozrejmuje súčasnú situáciu expert spoločnosti Cisco na bezpečnosť Peter Mesjar. „To však neznamená, že sa treba prestať chrániť a nepoužívať firewally či VPN,“ hovorí.
Na konferencii Cisco SEC predstavil riešenie Advanced Malware Protection, systém, ktorý možno nasadiť v akomkoľvek prostredí. AMP využíva práve databázu Talosu, aby neustále porovnával súbory a ich činnosť so známymi príkladmi malvéru zo sveta. Systém ponúka aj retrospektívnu bezpečnosť pre odhaľovanie „day-0“ infiltrácií.
„Systém pracuje v cloude. Obrovskou výhodou tak je, že akonáhle dostaneme od zákazníka novú vzorku, pri ktorej sa potvrdí, že ide o malvér, tak túto informáciu majú okamžite k dispozícii aj všetci ostatní zákazníci,“ dopĺňa P. Mesjar.
