S prognózami tohoto typu by se mělo zacházet opatrně. Rozumná míra opatrnosti je na místě a není třeba vnímat každý problém, neúspěch či nepříjemnost jako znak blížící se digitální katastrofy. Předpověď trendů vždy vzniká interpolací dosavadního vývoje, společnost Sophos proto přichází s tzv. Segmentem „internetu zítřka“.
Při této příležitosti se vyjádřilo několik specislistů, kteří interně pracují na různých technických pozicích, aby uvedli, plněním jakých úkolů plánují strávi část svého času a energie v následujících šesti měsících. Na základě jejich odpovědí Sophos vypracoval personalizované předpovědi, které vycházejí z toho, na co se tito specialisté skutečně připravují.
1. Více útoků bez souborů
Fraser Howard, hlavní výzkumník v oblasti hrozeb, Sophos:
Dosud byly útoky, které na své šíření nevyužívaly soubory, poměrně izolované, ale zdá se, že jejich počet se zvyšuje (Poweliks, Angler, Kovter a nedávno Powmet). Je to přirozená odpověď na rozsáhlé zavádění strojového učení. Také očekáváme nárůst zneužití Powershelu.
2. Inteligentnější fuzzing pro každého
Stephen Edwards, bezpečnostní analytik, Sophos:
Očekávám, že se výrazně zlepší sofistikovanost fuzzingu (technika testování založená na vkládání velkého množství dat, neplatných nebo pozměněných dat). Fuzzing může být požitý na automatické vytváření miliard primitivních „hloupých“ testů, přičemž další výzvou bude učinit tyto testy chytré tím, že je naučíme, jak daný program funguje.
Automatické zkoumání kódů je však těžké. Proto se hybridní technologie a postupy snaží vyvážit rychlost hloupých testů s efektivitou těch inteligentních, asoučasně eliminovat to, aby se ztratily v příliš mnoha možnostech.
Několik slibných přístupů ke zlepšení fuzzingu už bylo vymyšleno a přezkoumáno a cítím, že jsme téměř dosáhli přelomu, kdy se tyto různé techniky efektivně a synergicky zkombinují a zveřejní.
3. Ptejte se kdo a co, ne kde
Mark Lanczak-Faulds, specialista na kybernetickou bezpečnost, Sophos:
Tradičně se bezpečnost zaměřuje na doménu jako celek. Když se podíváme na rozšíření hranic tradiční sítě a internetu, důležitá je identita a aktivita, která se nachází v doméně.
Klíčové bude určit si riziko založené na identitě a potenciálních aktovotách spojených s touto identitou. Když si nastavíte upozornění, jež tyto faktory obsahuje, víte, co je v sázce, a může konat poměrně rychle.
4. Zaměřte se na prevenci
Greg Iddon, bezpečnostní specialista, Sophos:
Prevence, především včasné aplikování bezpečnostních záplat aktualizací, již není něco, na čem byste mohli ušetřit, a hasit až to, co vás auktuálně pálí.
V příštích šesti až dvanácti měsících bude klíčovým předpokladem implementace opatření na prevenci a ochranu před zneužitím známých nebo neznámých chyb a zranielností bez odhledu na způsob, jak útočníci tyto chyby a zranitelnosti zneužijí.
Co mě nejvíce znepokojuje, je, že se objevují noví dodavatelé, kteří se zaměřují na detekci hrozeb ve spustitelných souboech , takzvaných PE (portable executable). Využívají přitom strojové učení jako jedinou techniku pro zajištění bezpečnosti koncových bodů. To prostě není dobrá filozofie. Strojové učení je skvělé, ale je to jn jedna vrstva v nutně vícevrstevnatém přístupu k bezpečnosti.
5. Ransomware má jiný účel
Peter Mackenzie, inženýr globální eskalace, Sophos:
Na základě některých trendů, které jsou stále významější, se domnívám, že dochází k posunu ve způsobu využívání ransomwaru. Na rozdíl od většiny jiných forem škodlivého kódu, které se snaží maskovat, jak jen to dá, je ransomware, pokud to řeknu expresivně, hlučný a strašidelný. Dává najevo uživateli, že tam je, co všechno způsobil a co ještě způsobí, pokud uživatel nezaplatí, prostě se snaží vyvolat v uživateli srach. Jelikož bezpečnostní nástroje se v poslední době zaměřují na řešení problémů způsobených ransomwarem, na jejich detekci a eliminování důsledků škodlivé činnosti, někteří útočníci používají rozruch vyvolaný ransomwarem jako techniku na skrytí něčeho jiného, kdy se snaží dosáhnout zisku jiným způsobem, například použitím keyloggerů nebo těžbou kryptoměny. Samozřemě, pokud uživatel chce za takto maskovaný ransomware ještě zaplatit výkupné, nebudou mu v tom bránit.
Skutečný záměr takového jednání je však jiný. Po odstranění infekce ransomwarem, která se projevovala na venek, získá uživatel pocit bezpečí, že se mu podařilo vyčistit systém, nikoliv sekundární účel škodlivého kódu, a například těžba kryptoměny dále nerušeně pokračuje. Poto si je v případě ransomwaru třeba položit také otázku: „Proč se to právě teď takto viditelně projevio?“ a ještě důležitějšíotázku: „Co ještě běželo nebo stále běží na počítači, kde jsme našli ransomware?“
6. Údaje jsou závazek, ne majetek
Ross McKerchar, ředitel pro počítačovou bezpečnost, Sophos:
Očekávám že v příštích šesti měsících strávím hodně času mazáním a redukováním ukládaných dat. Je to jednoduchá paralela – čím méně údajů ukládáte, nebo lépe řečeno, čím méně údajů máte k dispozici, tím méně jich musíte chránit a zálohovat, a co je nedůležitější, tím méně údajů můžete ztratit. Platí to především pro důležité údaje. Skutečně k nim musí mít ta či ona aplikace na severu přístup? Například webové servery by měli mít přístup pouze k minimálnímu množství údajů, které potřebují. Nic víc. Proč musí mít webový server přístup například k rodným číslům a ostatním citlivým údajům zákazníků nebo zaměstnanců? Možná je někdy budete z rozličných důvodů potřebovat, a tehdy si je můžete vyžádat od jiného subsystému s vlastní a lépe zabezpečenou databází. Nač by měl citlivé údaje uchovávat webový server jen tak, kdyby je náhodou na něco potřeboval?
Původní článek vyšel v časopise Reseller Magazine č. 12, prosinec 2017
