Normalną praktyką było tworzenie technologii, która podnosiła alarm tylko, gdy coś Bardzo Złego™ działo się Naprawdę™. Zanim pojawiał się alert, nasz firewall musiał być absolutnie pewien, że pakiety przychodzące nie były częścią regularnego ruchu w sieci, a system IPS musiał potrafić kategorycznie stwierdzić, że znajduje się w nich niebezpieczny kod.
W dwudziestym wieku, a nawet w pierwszych latach wieku dwudziestego pierwszego, zwyczajowo sprawdzaliśmy wszystkie nasze zabezpieczenia osobno: firewall mówi mi, że wszystko jest ok, IPS mówi, że wszystko w porządku, zabezpieczenie przed malwarem nie widzi żadnych problemów – czyli wszystko jest dobrze, prawda? Nieprawda. To krótkowzroczne podejście do bezpieczeństwa jest jednym z czynników obarczanych obecnie winą za skuteczność ataków ukierunkowanych na całym świecie.
W rzeczywistości stare angielskie porzekadło can't see the forest for the trees (czyli koncentrować się na detalach, nie dostrzegać sedna), nigdy nie było bardziej aktualne. Za bardzo skupiamy się na znanych zagrożeniach, ignorując to, co „normalne”. To sprawia, że proces analizy zagrożeń staje się bardziej spójny i skupiony, lecz na własne nieszczęście zaniedbujemy tym samym szersze, kontekstowe spojrzenie.
Wyobraźmy sobie taką sytuację: kamera bezpieczeństwa w korytarzu na zewnątrz naszej serwerowni śledzi człowieka, nazwijmy go Zbyszek. Przy pomocy technik rozpoznawania rysów twarzy i sposobu chodzenia, udaje się potwierdzić jego tożsamość – system notuje nawet, że ma on na sobie uniform woźnego, co dobrze się składa, bo Zbyszek zajmuje się sprzątaniem budynku. Zbyszek podchodzi do drzwi i przykłada swoją kartę zbliżeniową do zamka, co sprawia, że drzwi się otwierają, ponieważ system zabezpieczeń drzwi skomunikował się z kamerą. Druga kamera wewnątrz serwerowni potwierdza, że osoba, która przeszła przez drzwi to rzeczywiście Zbyszek i wszystko jest w porządku.
W krótkowzrocznym modelu funkcjonowania zabezpieczeń, wszystkie te kolejne wydarzenia zostają uznane za nieistotne i umieszczone w dzienniku, który zresztą już wkrótce zostanie wyczyszczony, pod nagłówkiem „Nic ciekawego”. Jednak, jak przekonamy się za moment, dzięki takim codziennym wydarzeniom można zyskać bezcenny wgląd w perspektywę kontekstową.
W serwerowni niegroźne zachowanie Zbyszka zmienia się i wcale nie zajmuje się on czyszczeniem podłogi. Siada przy serwerze i zaczyna stukać w klawiaturę. To oczywiście Nic Dobrego i alarmy powinny już się rozdzwonić. Jednak jeśli pozbędziemy się wszelkich informacji o kontekście, które nasze sprytne mózgi zebrały do tej pory – co nam pozostaje? Człowiek w serwerowni stukający w klawiaturę. Można się wstrzymać z wzywaniem służb specjalnych, to wydarzenie z pewnością trafia do kategorii „Nic ciekawego”.
W epoce ataków ukierunkowanych zmieniły również zasady monitorowania wydarzeń przez systemy bezpieczeństwa. Jeżeli nie wykorzystamy możliwości stworzonych przez maszyny przetwarzające wielkie ilości danych i korelujące wydarzenia, jeżeli nie docenimy wagi informacji zbieranych przez systemy śledzenia danych i wydarzeń, ataki ukierunkowane będą przeprowadzane w najlepsze bez naszej wiedzy. W atakach wykorzystuje się prawdziwe dane użytkowników, osób cieszących się zaufaniem, aby uzyskać i utrzymać długotrwały dostęp do najbardziej wrażliwych obszarów sieci firmowej, tym samym bezproblemowo omijając funkcjonujące autonomicznie zabezpieczenia.
Jeżeli nie wykonamy kilku kroków w tył i nie rozejrzymy się po okolicy, w dalszym ciągu będziemy widzieć tylko drzewa. Kontekst jest bardzo ważny.
autor: Rik Ferguson, Global VP Security Research Trend Micro