Знам какво ще направиш следващото лято
Млада компания разработва платформа, която предвижда кибератаки
Годишният доклад на Ponemon Institute за размера на щетите, нанесени от кибератаки на Ponemon Institute, показва, че киберпрестъпността става все по-рискова. Тази година една кибератака в САЩ коства на компаниите там средно по 12.7 млн. долара - с 9% повече спрямо миналата година. Освен това се наблюдава тенденция за усложняване на атаките и времето за "справяне" с една кибератака се повишава от 32 дни през 2013 г. до 45 дни за тази.
Тъжната истина е, че компаниите за киберсигурност и антивирусен софтуер винаги са няколко стъпки назад спрямо хакерите. Фирмите са заети да разработват системи за защита и превенция от вече съществуващи атаки, като същевременно трябва да се съобразяват и с изискванията на клиентите и законите на дадените държави. За хакерите такива пречки няма и те посвещават цялото си време единствено на разработване на нови и нови методи да превземат компютърни системи и мрежи. В този си вид ситуацията изглежда обречена и хакерите запазват водещата си роля, карайки компаниите да ги догонват и да се съобразяват с техните разработки.
Кристална топка
От много време се говори и за необходимостта от пълна промяна на философията на киберсигурността. По време на RSA Conference Europe 2013 г. например Symantec представи своята концепция как трябва да изглежда една система за сигурност на бъдещето. Тя предвиждаше компанията да обединява данните за кибератаки от клиентите си и да ги сравнява и анализира. На тяхна база да може да предвижда кой клиент би могъл да бъде потенциална следваща мишена на хакерите и да взима мерки. Също така системата ще може да проверява дали инфраструктурите на останалите компании са подготвени за дадена кибератака, на която е станала жертва друга фирма.
Всичко това звучи добре, но има известни проблеми в тази концепция. Най-сериозният е, че отново платформата играе догонваща роля. Тя може да се опитва да предвиди коя ще е следващата жертва на хакерите, но за целта някой вече трябва да е пострадал от тях и да има събрани данни за естеството на атаката, които да се използват за база на анализите.
Израелската стартираща компания CyActive има доста по-амбициозна идея. Тя създава платформа, която може да предвиди какви зловредни кодове ще разработят хакерите и да позволи на фирмите достатъчно време, да могат да разработят методи за превенция на атаките още преди да са се случили. Звучи доста утопично, но е спечелило вниманието на отдела за инвестиции на Siemens, които са вложили "сериозна стратегическа инвестиция" в компанията, макар и да не посочват точната сума. Пред онлайн изданието ZDNet ръководителят на инвестиционното звено на Siemens Ралф Шнел казва, че технологията е "безпрецедентна и обръща икономическото уравнение в полза на защитниците".
С твоя код по твоята глава
CyActive базира разработката си на човешкия фактор. Основателите на компанията съзнават, че компютърните вируси се разработват от хора. Тези хора притежават качествата на всички останали. Едно от тях е и мързеливостта. Според изпълнителния директор на CyActive Лерон Танкман вирусите са много сходни с обикновения софтуер. Те често са базирани на предходни разработки и дори някои иначе много сложни и добре замислени кибератаки всъщност разполагат код от стари версии на компонентите. Често той дори не е необходим за конкретната атака, но е оставен, защото е по-лесно и на хакерите не им се занимава да "изчистват" и организират кода.
"Можеш много лесно да видиш веригата на развитие на зловредния им софтуер. Можеш да разбереш какви методи са използвали преди, какви сега и какво е вероятно да използват в близко бъдеще. Дори сериозни и мащабни атаки като Flame и Stuxnet използват сходно ядро на кода си", коментира Танкман. Той посочва и други примери.
През декември миналата година жертва на хакерски атаки стана американската верига магазини Target. Използван е бил вирусът BlackPoS, който е разбрал данните за кредитните карти на милиони клиенти. След това миналия месец на пръв поглед нов вирус е атакувал веригата Home Depot. Анализ на CyActive обаче посочва, че всъщност вирусът е бил модифицирана версия на BlackPoS с променени компоненти, за да не бъде разпознат от системите за сигурност, тъй като вече е с обновен код. Всъщност всички компоненти са добре известни на компаниите в бранша и те имат готови методи за борба с тях, казва Танкман. Поради различната им комбинация обаче системите не са ги разпознали.
Според CyActive тяхната платформа ще може да предвижда подобни действия от страна на хакерите. За 20 минути тя може да предвиди 10 хил. варианта на конкретен компютърен вирус, заявяват от компанията. Танкман смята, че по този начин киберсигурността ще може да бъде по-гъвкава и за пръв път да даде предизвикателства, с които хакерите ще трябва да се съобразяват. Компанията обаче не споменава някои важни елементи. Например какво ще стане, ако хакерите се "стегнат" и оптимизират кода на разработките си. Също и как ще се гарантира, че те няма да се сдобият по някакъв начин с въпросната платформа и да разберат прогнозите й и да ги заобиколят.
Първият елемент, може би не е чак такъв повод за притеснение. Според проучване на CyActive над 98% от зловредния код всъщност е вариант на предишна версия. Останалите 2% пък са рециклирани модули. Дори и да оптимизират кодовете си, вече има достатъчно информация, върху която системата да базира анализите си.
Платформата на CyActive е базирана на облачна инфраструктура. Системата ще събира информация и ще я анализира, след което ще дава резултатите на елементите, които ще засичат евентуален опит за атака. Резултатите ще се използват и за тест на системите на клиентите и ще се дават съвети за корекциите, които евентуално трябва да бъдат направени. Запазването на въпросния облак на CyActive далеч от хакерите ще бъде много важно. Разбира се, компанията не разкрива как осигурява защитата на платформата си.
