Předpovídat trendy je velmi těžké, obzvlášť v tak dynamicky rostoucím odvětví jakým je IT a v oblasti bezpečnosti především.
S prognózami tohoto typu by se mělo zacházet opatrně. Rozumná míra opatrnosti je na místě a není třeba vnímat každý problém, neúspěch či nepříjemnost jako znak blížící se digitální katastrofy. Predikce trendů vždy vzniká interpolací dosavadního vývoje, společnost Sophos proto přichází s tzv. segmentem „internetu zítřka“, v rámci kterého vyzpovídala několik svých specialistů, kteří interně pracují na různých technických pozicích, aby uvedli, na jakých úlohách plánují strávit část svého času a energie v následujících šesti měsících. Na základě jejich odpovědí Sophos vypracoval personalizované předpovědi, které vycházejí z toho, na co se tito specialisté skutečně připravují.
1. Více útoků bez souborů
Fraser Howard, hlavní výzkumník v oblasti hrozeb, Sophos:
Dosud byly útoky, které na své šíření nevyužívaly soubory, poměrně izolované, ale zdá se, že se jejich počet zvyšuje (Poweliks, Angler, Kovter a nedávno Powmet). Je to přirozená odpověď na rozsáhlé zavádění strojového učení. Také očekáváme nárůst zneužití Powershelu.
2. Inteligentnější fuzzing pro každého
Stephen Edwards, bezpečnostní analytik, Sophos:
Očekávám, že se výrazně zlepší sofistikovanost fuzzingu (technika testování založená na vkládání velkého množství dat, neplatných nebo pozměněných dat). Fuzzing může být použitý na automatické vytváření miliard primitivních „hloupých“ testů, přičemž další výzvou bude učinit tyto testy chytré tím, že je naučíme, jak daný program funguje.
Automatické zkoumání kódů je však těžké. Proto se hybridní technologie a postupy snaží vyvážit rychlost hloupých testů s efektivitou těch inteligentních, při současné eliminaci toho, aby se ztratili v příliš mnoha možnostech.
Několik slibných přístupů ke zlepšení fuzzingu už bylo vymyšleno a přezkoumáno a cítím, že jsme téměř dosáhli přelomu, kdy se tyto různé techniky efektivně a synergicky zkombinují a zveřejní.
K dané problematice se Stephen vyjádřil také v samostatném článku Is security on the verge of a fuzzing breakthrough?.
3. Ptejte se kdo a co, ne kde
Mark Lanczak-Faulds, speacialista na kybernetickou bezpečnost, Sophos:
Tradičně se bezpečnost zaměřuje na doménu jako celek. Když se podíváme na rozostření hranic tradiční sítě a internetu, důležitá je identita a aktivita, která se nachází v doméně.
Klíčové bude si určit riziko založené na identitě a potenciálních aktivitách spojených s touto identitou. Když si nastavíte upozornění, které obsahuje tyto faktory, víte, co je v sázce, a můžete konat poměrně rychle.
4. Zaměřte se na prevenci
Greg Iddon, bezpečnostní specialista, Sophos:
Prevence, především včasné aplikování bezpečnostních záplat aktualizací již není něco, na čem byste mohli ušetřit a hasit až to, co vás aktuálně pálí.
V příštích šesti až dvanácti měsících bude klíčovým předpokladem implementace opatření na prevenci a ochranu před zneužitím známých nebo neznámých chyb a zranitelností bez ohledu na způsob, jak útočníci tyto chyby a zranitelnosti zneužijí.
Co mě nejvíce znepokojuje, je, že se objevují noví dodavatelé, kteří se zaměřují na detekci hrozeb v spustitelných souborech, takzvaných PE (Portable Executable). Využívají přitom strojové učení jako jedinou techniku pro zajištění bezpečnosti koncových bodů. Toto prostě není dobrá filozofie. Nechápejte mě špatně, strojové učení je skvělé, ale je to jen jedna vrstva v nutně vícevrstvém přístupu k bezpečnosti.
5. Ransomware má jiný účel
Peter Mackenzie, inženýr globální eskalace, Sophos: Na základě některých trendů, které jsou stále výraznější, se domnívám, že dochází k posunu ve způsobu využívání ransomwaru. Na rozdíl od většiny jiných forem škodlivého kódu, které se snaží maskovat, jak se jen dá, je ransomware, pokud to řeknu expresivně, hlučný a strašidelný. Dává najevo uživateli, že tam je, co všechno způsobil a co ještě způsobí, pokud uživatel nezaplatí, prostě se snaží vyvolat v uživateli strach. Jelikož bezpečnostní nástroje se v poslední době zaměřují na řešení problémů způsobených ransomware, na jejich detekci a eliminování důsledků škodlivé činnosti, někteří útočníci používají rozruch vyvolaný ransomware jako techniku na skrytí něčeho jiného, kdy se snaží dosáhnout zisku jiným způsobem, například použitím keyloggerů nebo těžbou kryptoměny. Samozřejmě pokud uživatel chce za takto maskovaný ransomware ještě zaplatit výkupné, nebudou mu v tom bránit.
Skutečný záměr takového jednání je však jiný. Po odstranění infekce ransomware, která se projevovala navenek, získá uživatel pocit bezpečí, že se mu podařilo vyčistit systém, nikoliv sekundární účel škodlivého kódu, a například těžba kryptoměny dále nerušeně pokračuje. Proto si je v případě ransomware třeba položit také otázku: „Proč se to právě teď takto viditelně projevilo?“ a ještě důležitější otázku: „Co ještě běželo nebo stále běží na počítači, kde jsme našli ransomware?“.
6. Údaje jsou závazek, ne majetek
Ross McKerchar, ředitel pro počítačovou bezpečnost, Sophos:
Očekávám, že v příštích šesti měsících strávím hodně času mazáním a redukováním ukládaných dat. Je to jednoduchá paralela – čím méně údajů ukládáte, nebo lépe řečeno, čím méně údajů máte k dispozici, tím méně jich musíte chránit a zálohovat, a co je nejdůležitější, tím méně údajů můžete ztratit. Platí to především pro důležité údaje. Skutečně k nim musí mít ta či ona aplikace na serveru přístup? Například webové servery by měly mít přístup pouze k minimálnímu množství údajů, které potřebují, a nic víc. Proč musí mít webový server přístup například k rodným číslům a ostatním citlivým údajům zákazníků nebo zaměstnanců? Možná je někdy budete z rozličných důvodů potřebovat a tehdy si je můžete vyžádat od jiného subsystému s vlastní a lépe zabezpečenou databází. Nač by měl citlivé údaje uchovávat webový server jen tak, co kdyby je náhodou na něco potřeboval?
–