Starší systémy kybernetické bezpečnosti – mnohé z nich byly navrženy před více než deseti lety – nepočítají s novým typem schopností a zranitelností útočníků – ani se spoléháním se na lidskou konfiguraci, která je Achillovou patou tolika softwaru.
Na tuto novou realitu odpovídá koncept vývoje softwaru nazývaný defaultně zabezpečení, nezbytný doplněk k zásadám Secure by Design, které stanovila americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA).
Principy Secure by Design kladou důraz na integrované zabezpečení během návrhu a vývoje softwaru. Zabezpečení ve výchozím nastavení zajišťuje, že produkt zero-day je ve své podstatě bezpečný hned po vybalení. Není potřeba žádné složité nastavení, protože základní bezpečnostní funkce, jako je bezpečné protokolování a autorizace, jsou předem nakonfigurovány.
Hrozby se vyvíjejí – a zrychlují
Až donedávna měla většina systémů omezený „poloměr výbuchu“. Byly chráněny firewally a byly uzavřeny, takže přístup byl omezen na několik vyvolených v rámci organizace. Útočníci postrádali otevřené hřiště, na kterém by se mohli plazit při hledání slabin. Nedokázali zautomatizovat své útoky a celý proces útoku – nalezení zranitelnosti, její vyzbrojení vytvořením exploitu a nasazení ozbrojeného útoku – trval minimálně týdny a často i měsíce.
To omezovalo nejen rychlost útoků, ale i jejich rozsah. Útočníci se museli zaměřovat na organizace jednoho po druhém a vymýšlet způsoby, jak obejít konkrétní kontroly. Celková míra útoků byla nízká, a i když k nim došlo, dopad byl relativně omezený kvůli času a úsilí, které museli útočníci investovat.
Když mluvíme o „vyvíjejícím se prostředí kybernetických hrozeb“, je to téměř podcenění, protože přirozený nebo dokonce technický vývoj nikdy nebyl tak rychlý. Za pouhých pár let se proměnil v digitální Thunderdome, arénu, která ohrožuje špatně chráněné jako nikdy předtím.
Je to proto, že útočníci dokázali využít tři klíčové změny:
- Dnešní útočníci dokážou rychle vyzbrojit zranitelná místa a nástroje umělé inteligence to ještě usnadňují. Pryč jsou dny dlouhých odhalovacích oken. Automatizované skenovací nástroje a exploit kity snadno dostupné na temném webu umožňují i méně technickým útočníkům proniknout do malwarové hry. Útoky nultého dne vzbuzují stále větší obavy, protože útočníci se stávají agilnějšími při využívání zranitelností dříve, než existuje oprava.
- Přijetí cloudu vytvořilo širší plochu pr o útoky, protože distribuovaná cloudová infrastruktura ztěžuje zabezpečení a monitorování dat. Model sdílené odpovědnosti za zabezpečení mezi poskytovateli cloudu a uživateli může vést k zranitelnostem, pokud je špatně nakonfigurován nebo není zcela pochopen. Cloudové aplikace navíc často spoléhají na rozhraní API pro komunikaci, která mohou představovat zranitelnosti, pokud nejsou řádně zabezpečena.
- Tradiční bezpečnostní opatření, jako jsou firewally a antiviry, nedrží krok. Firewally lze obejít sociálním inženýrstvím, i když se antiviry snaží detekovat zcela nové zero-day hrozby. Přístup k zabezpečení na základě perimetru je zastaralý v éře cloudu, kde je třeba implementovat principy Secure by Design do celé IT infrastruktury.
Padouši jsou připraveni zkoumat slabá místa nebo zahájit útoky v okamžiku, kdy je produkt aktivován. Takže tento produkt musí mít robustní, zero-day obranu v okamžiku, kdy je zapnut a připojen k síti organizace.
Standardně tři pilíře zabezpečení
Řádné provedení zabezpečení ve výchozím nastavení spočívá na třech základních pilířích.
Zabezpečení Shift-left
Shift-left se zaměřuje na zachycení zranitelností v rané fázi vývojového procesu. Vývojáři potřebují psát zabezpečený kód a vyhýbat se běžným nástrahám identifikovaným ve zdrojích, jako je OWASP Top 10 (zranitelnosti zabezpečení webových aplikací) a CWE Top 25 (běžné softwarové slabiny).
Obdobou je preventivní medicína, kde wellness praktiky a očkování mohou člověka ochránit před nemocí. Tím, že se vývojáři od začátku zaměřují na postupy bezpečného kódování, budují imunitu a odolnost přímo do softwaru.
Vynucování bezpečných konfigurací
Když lidé konfigurují svůj nový software, hackeři oslavují. Aby se eliminovaly chyby nesprávné konfigurace, musí poskytovatelé softwaru ve výchozím nastavení vynutit zabezpečené konfigurace. To zahrnuje vícefaktorové ověřování (MFA) nebo jednotné přihlášení (SSO) a vyhýbání se pevně zakódovaným přihlašovacím údajům (hesla nebo tokeny) nebo výchozím konfiguracím, které mají zranitelnosti, které již útočníci znají.
Vynucení bezpečných konfigurací zajišťuje konzistentní zabezpečení ve všech nasazeních, bez ohledu na zkušenosti uživatelů nebo technické znalosti. Také to zjednodušuje uživatelskou zkušenost, protože nemusí dělat žádná rozhodnutí o konfiguraci.
Zabezpečení dodavatelského řetězce softwaru
Stejně jako v automobilové a letecké výrobě se i moderní vývoj softwaru stal montážní linkou – linkou, která se silně opírá o knihovny třetích stran a open-source kód. V rámci zabezpečení ve výchozím nastavení musí vývojáři věnovat přísnou pozornost zabezpečení těchto komponent, aby nepředstavovaly zranitelnosti.
Standardně se měří bezpečnost
Dnes může poskytovatel využít instrumentaci a telemetrii ke sledování výkonu funkcí zabezpečení ve výchozím nastavení. Pokud je produkt místní, bude povolení telemetrie zahrnovat proražení děr do brány firewall, aby data mohla opustit síť uživatele. Pokud je to v cloudu, je snazší umožnit tok telemetrie zpět k poskytovateli.
V obou případech je to věc vzájemného souhlasu: Uživatel softwaru musí povolit výchozí telemetrii, aby poskytovatel mohl sledovat chování softwaru a zjistit, zda jsou implementovány jeho vestavěné bezpečnostní kontroly. Naštěstí to také znamená, že uživatel nemusí zasahovat, aby aktivoval bezpečnostní funkce. Poskytovatel tak může učinit na dálku, pokud má souhlas zákazníka.
Dostat se před vyvíjející se hrozby
Ti nejlepší a nejpracovitější odborníci na kybernetickou bezpečnost jsou stále vydáni na milost a nemilost datům a poznatkům, které mají v ruce. Například tradiční seznamy zranitelnosti jako OWASP Top 10 a CWE Top 25 jsou klíčem k povědomí o bezpečnosti, ale mají svá omezení:
- Aktualizace seznamů stále ponechává okno zranitelnosti mezi zjištěním a zmírněním. Útočníci využívají tuto mezeru tak, že se zaměřují na „odlehlejší“ zranitelnosti, které ještě nejsou uvedeny.
- Tradiční seznamy se zaměřují na známá zranitelnost, takže organizace jsou náchylné k „známým neznámým“ – slabinám s potenciálem zneužití, ale dosud neidentifikovaným.
To znamená, že umělá inteligence a strojové učení ve výchozím nastavení slibují revoluci v zabezpečení tím, že odstraní tyto mezery:
- Algoritmy strojového učení mohou analyzovat obrovské množství bezpečnostních dat, aby identifikovaly vzorce a předpověděly potenciální zranitelnosti, včetně těch, které ještě nejsou na tradičních seznamech.
- Analýzou trendů využívání a chování softwaru může strojové učení identifikovat „známé neznámé“ slabé stránky s vyšší pravděpodobností zneužití, i když jsou stále nezdokumentované.
Přidání AI do SDLC
Umělá inteligence a strojové učení mohou také změnit způsob, jakým jsou výchozí zásady zabezpečení začleněny do cyklů vývoje softwaru:
- Automatizovaná detekce zranitelnosti: Nástroje umělé inteligence mohou nepřetržitě skenovat kód a hledat zranitelnosti, známé i neznámé, takže je lze řešit v rané fázi SDLC.
- Proaktivní bezpečnostní modelování: Analýzou vzorců útoků může umělá inteligence předvídat hrozby; to umožňuje proaktivní modelování zabezpečení vytvářet software se zabudovanou obranou proti těmto hrozbám.
- Inteligentní pomoc vývojářům: Umělá inteligence může analyzovat kód a v reálném čase předkládat vývojovým týmům návrhy ohledně bezpečných postupů kódování.
Zabezpečení ve výchozím nastavení pomocí samoopravného softwaru
Jedním z cílů vývojářů, kteří se ve výchozím nastavení zabývají bezpečností, je vytvoření softwaru s vrozenou schopností proaktivně identifikovat zranitelná místa a opravit je. Tento koncept je inspirován genetickými algoritmy používanými ve výrobě a umožňují systémům, aby se v průběhu času samy optimalizovaly a zdokonalovaly.
To změní „implicitní zabezpečení“ ze statického konceptu na dynamickou, samokontrolovanou a samoopravnou schopnost, která je integrována do podnikového softwaru. To mu dá schopnost napravit své vlastní zranitelnosti, mařit hrozby a dokonce hlásit nové útoky svým vývojářům.
Kroky správným směrem
Vytvoření principů Secure by Design a snaha CISA a lídrů v oboru je prosazovat je velkým krokem vpřed při vytváření právě tak naléhavě potřebné společné obrany proti kybernetickým hrozbám.
Je však stále na jednotlivých poskytovatelích softwaru a vývojářích, aby tato opatření uvedli do praxe. Dodržování standardních postupů zabezpečení hraje zásadní roli při vývoji a dodávání bezpečnějšího softwaru a získávání předních pozic v bitvě o kybernetickou bezpečnost.
Zdroj: Ivanti