Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Aizsardzība » Kiberpaleontoloģija — tas skan lepni, bet darbs ir sarežģīts

Kiberpaleontoloģija — tas skan lepni, bet darbs ir sarežģīts

Izsmalcināti mērķētie kiberuzbrukumi ieņem arvien nozīmīgāku daļu pasaules vadošo kiberdrošības uzņēmumu ziņojumos un iespējamība kļūt par šādu uzbrukumu mērķi pieaug gan valsts institūcijām, gan privātiem uzņēmumiem. Tāpēc šoreiz piedāvājam tulkojumu Jevgēņija Kasperska stāstam par šo vissarežģītāko kiberdrošības uzņēmuma darba pusi. Vissarežģītāko ne tikai tehniski, bet arī ģeopolitiski, jo aiz mērķēto kiberuzbrukumu ļaunprogrammatūras visbiežāk stāv valstu dienesti, kuru neapmierinātība ar viņu ļaunprogrammatūras atklāšanu nenozīmē “novēlējumu” pētniekiem nākošā vīrusa kodā. Atšķirībā no parastiem kibernoziedzniekiem viņu neapmierinātība var sasniegt pat The Washington Post, The New York Times un The Wall Street Journal slejas, kā tas arī notika ar Kaspersky Lab. Bet tas nav izmainījis uzņēmuma ieturēto kursu atklāt visu ļaunprogrammatūru, lai gan tam nākas pielāgoties — tagad uzņēmums pārvieto savu infrastruktūru uz Šveici, kas ir zināma ar neitralitāti un singriem datu aizsardzības likumiem, bet visu mākoņsaimniecību un produktu izlaidi nodos starptautiski atzītas trešās puses uzraudzībā. Vārdu sakot, tiek ieviests konstants audits neitrālā teritorijā, lai dezinformācijas izcilniekiem un viņu ietekmētiem politiķiem nebūtu kur aizķerties. Bet tas jau būs cits stāsts par Starptautisko caurredzamības iniciatīvu, toties tagad Jevgēņijs Kasperskis par to, ko viņš sauc par kiberpaleontoloģiju.

 

 

Pārfrāzējot plaši pazīstamo filozofijas postulātu, varam jautāt: “vai profesija nosaka esību, vai arī esība nosaka profesiju?”. Stāsta, ka strīds par atbildi uz šo (precīzāk, sākotnējo) jautājumu jau pusotru simtu gadu turpinoties filozofu aprindās, bet līdz ar interneta izgudrošanu — arī plašās tautas masās un regulāri izraisot plašus strīdus dažādos interneta lietotāju slāņos pavisam negaidītās pasaules daļās. Negribu atbalstīt kādu no strīdnieku grupējumiem, taču vēlos pastāstīt par personisko pieredzi sakarā ar profesijas un esības duālismu, kuras dažādos veidos un nepārtraukti viena otru ietekmē.

Tālo astoņdesmito gadu beigās datoru virusoloģija radās kā atbilde uz kaitīgo programmu izplatīšanos. Pēc vairāk nekā 30 gadiem virusoloģija ir tālu attīstījusies (pareizāk sakot, saplūdusi ar blakus nozarēm), izveidojot kiberdrošības nozari, un bieži vien diktē esības IT attīstību, jo konkurences apstākļos izdzīvo tehnoloģija ar labāko aizsardzību.

Šajos 30 gados kā tik mūs nav nosaukuši: gan par meža sanitāriem un patologanatomiem, gan par bakteriālo kordonu… pat par asenizatoriem 🙂 Taču, manuprāt, vislabāk mūsu profesijas specifiku un tās saiti ar esību tagadējā laikā raksturo nosaukums „kiberpaleontologs”.

Nozare tiešām ir iemācījusies cīnīties ar masveida epidēmijām gan proaktīvi (kā mēs lietotājus aizsargājām pret pēdējo padsmit gadu lielākajām epidēmijām Wannacry un ExPetr), gan reaktīvi (izmantojot mākoņanalīzi un ātri nosūtot atjauninājumus); šajā gadījumā atšķirība nav svarīga. Bet ar šauri mērķētiem kiberuzbrukumiem ne visai: pēc tehniskā brieduma un resursiem ar to tiek galā tikai pavisam nedaudzi, kamēr principiāla apņēmība atmaskot visus uzbrucējus neatkarīgi no viņu izcelsmes un mērķiem laikam gan ir tikai mums. Un tas ir saprotams – tāda apņēmība maksā dārgi, mūsdienu ģeopolitiskajās vētrās tāda nostāja nav vienkārša, taču mūsu pieredze liecina, ka tā ir pareiza nostāja, jo lietotājs balso par to ar savu maku.

Kiberspiegošanas operācija ir ļoti ilgs, dārgs un augsti tehnoloģisks projekts. Saprotams, ka tāda projekta autori ir ļoti neapmierināti, ja viņu lolojumu izvelk dienasgaismā, un pastāv uzskats, ka viņi mēģina nevēlamus izstrādātājus dabūt pie malas ar dažādām negodīgām manipulācijām, izmantojot plašsaziņas līdzekļus.

Taču ir arī citi viedokļi par to, kas un kādēļ notiek, tostarp arī:

Lai gan, es novirzījos.

Tātad — dažkārt šādas operācijas paliek nepamanītas pat vairākus gadus. Autori dažādos veidos aizsargā savas investīcijas “jaukumus”: uzbrūk tikai atlasītiem dažiem mērķiem, tiek veikti rūpīgi testi ar populāriem aizsardzības risinājumiem, operatīvi mainās taktika utt. Domājams, ka atklāto mērķētie uzbrukumu daudzveidība ir tikai aisberga virsotne. Un tādu uzbrukumu atklāšanas vienīgais efektīvais paņēmiens ir kiberpaleontoloģija, t.i., ilga, rūpīga datu vākšana, lai izveidotu kopskatu, sadarbība ar citu uzņēmumu ekspertiem, anomāliju konstatēšana un analizēšana, drošības tehnoloģiju izstrādāšana.

 

 

AntiVirus.LV piebilde attēlam: kampaņas ar Regin spiegošanas rīku izmantošanu tika atklātas daudzviet pasaulē un tajā skaitā Beļģijas telekomunikāciju pakalpojumu sniedzēja tīklos, kas potenciāli ļāva izspiegot institūcijas Briselē. Regin tika atklāts arī USB datu nesējā, ko lietoja ar Vācijas kancleri Angelu Merkeli ciešā kontaktā strādājoša valdības iestādes darbiniece. Vairāk par to lasiet rakstā Britu spiegi „ielauzušies Beļģijas telekomunikāciju uzņēmumā pēc ministru rīkojuma”.

Kiberpaleontoloģijā ir divi galvenie virzieni: „ad-hoc” pētījumi (nejauši atradām kaut ko aizdomīgu, sākām pētīt un atklājām…) un sistemātiski operatīvie pētījumi (korporatīvās IT ainas plānveidīga analīze).

Operatīvās kiberpaleontoloģijas priekšrocības augstu vērtē lielās organizācijas (gan valsts iestādes, gan komercuzņēmumi), kas galvenokārt arī ir mērķēto uzbrukumu mērķi. Bet ne jau katrai organizācijai ir iespējas, griba un prasmes: šāda profila speciālisti ir kā dinozauri — reti sastopami un izmaksā dārgi 🙂 Taču mums tādi ir pilns zoodārzs! Turklāt analītiķu komandās (arī GReAT un Threat Research) ir profesionāli kiberpaleontologi ar iespaidīgu stāžu un pasaules slavu. Tādēļ nesen, salīdzinot mūsu iespējas ar pasūtītāju vēlmēm, mēs labākajās piedāvājuma un pieprasījuma likumsakarību tradīcijās esam laiduši tirgū jaunu pakalpojumu — Kaspersky Managed Protection (par to sīkāk lasiet šeit).

Kaspersky Managed Protection faktiski ir kiberpaleontoloģijas funkcijas ārpakalpojuma veidā.

Mākoņpakalpojums (i) vāc tīkla un sistēmas aktivitāšu metadatus, kurus pēc tam (ii) apvieno ar KSN mākoņa datiem; tad to visu analizē viedas sistēmas un kiberpaleontologi eksperti (praksē īstenota HuMachine pieeja).

Pirmā posma īpatnība — Kaspersky Managed Protection vāc metadatus bez papildu sensoru uzstādīšanas. Pakalpojums darbojas kopā ar jau uzstādītajiem produktiem (piemēram, Kaspersky Endpoint Security un Kaspersky Anti Targeted Attack Platform, bet nākotnē — arī ar citu izstrādātāju produktiem) un, izmantojot to telemetrijas datus, veic analīzi, uzstāda diagnozi un „izraksta zāles”.

Taču interesantākais notiek otrajā posmā.

Tātad pakalpojumam ir pieejami daudzi gigabaiti neapstrādātu telemetrijas datu no dažādiem sensoriem: notikumi operētājsistēmā, procesu uzvedība un mijiedarbība tīklā, sistēmas servisu un lietojumprogrammu aktivitāte, drošības risinājumu verdikti (arī neprecīza uzvedības detektēšana, IDS, „smilšu kaste”, objektu reputācija, Yara noteikumi)… Jums jau reibst galva, vai ne? Bet ja šo haosu prasmīgi apstrādā, tad var noteikt izmantotos paņēmienus un tādējādi atklāt mērķēto uzbrukumu.

Lai šajā posmā galveno atdalītu no otršķirīgā, mēs izmantojam patentētu mākoņdetektēšanas tehnoloģiju mērķētu uzbrukumu izmeklēšanai un likvidēšanai. Vispirms KSN automātiski marķē saņemtos telemetrijas datus pēc objektu popularitātes, piederības pie noteiktas grupas, sakritības ar zināmajiem apdraudējumiem un daudziem citiem parametriem. Vārdu sakot, mēs izsijājam „izrakumu vietā izņemto zemi”, atfiltrējam piesārņojumus, bet visu derīgo marķējam.

Pēc tam šos marķējumus automātiski apstrādā korelāciju mehānisms ar mašīnmācīšanos, kurš izvirza hipotēzes par iespējamu kiberuzbrukumu. Paleontoloģijas valodā var sacīt, ka mēs pētām izraktos kaulu fragmentus, noskaidrojam, vai tiem ir līdzības ar iepriekš atrastiem dinozauriem, un meklējam neparastas fragmentu kombinācijas, kas raksturīgas zinātnei pagaidām nezināmiem dinozauriem.

Korelāciju mehānisms izstrādā hipotēzes, izmantojot ļoti daudzus informācijas avotus. Mūsu uzņēmuma 20 gadu ilgajā vēsturē esam uzkrājuši pietiekami daudz datu (tas bija pieticīgi 🙂 šādām hipotēzēm, tostarp aizdomīgas statistiskās novirzes normālās darbībās, informāciju par dažādu taktiku, tehnoloģijām un procedūrām, kas izmantotas citos mērķētajos uzbrukumos, dažādas pieejas, kas attaisnojušas sevi drošības analīzes projektos, kā arī ir pētītas, izmeklējot datornoziegumus.

Kad hipotēzes ir gatavas, laiks pakustināt smadzenes arī pašam radības kronim — kiberpaleontologam. Viņš veic darbu, kāds pagaidām nav pa spēkam mākslīgajam intelektam — pārbauda izvirzīto pieņēmumu ticamību, pēta aizdomīgos objektus un darbības, izbrāķē aplamās iedarbes, veic papildu mašīnmācīšanu, izstrādā noteikumus jaunu apdraudējumu konstatēšanai. Viss, ko konstatē pats paleontologs, vēlāk pēc iespējas tiek konstatēts automātiski — tā ir nebeidzama prakses pāreja izpētē un izpētes pāreja pakalpojuma kvalitātē.

Tādējādi pamazām, pa posmiem, ar progresīvu tehnoloģiju palīdzību un cilvēka kontrolē apstrādātajās „zemes tonnās” iezīmējas jaunu, līdz šim neredzētu briesmoņu mērķēto uzbrukumu kontūras. Jo vairāk „zemes” saņem Kaspersky Managed Protection un jo dziļāka ir izrakumu vēsture, jo lielāka arī iespēja, ka tiks „atrasts neatrodamais” — līdz šim nezināms uzbrukums. Turklāt šis ir visefektīvākais aizsardzības paņēmiens, jo izpētei nepieciešamie dati ir atrodami tikai un vienīgi organizācijas datortīklā, jo tikai tur var slēpties „dinozaura kauli”.

Noslēgumā daži vārdi par to, kā Kasperskky Managed Protection papildina uzņēmuma SOC (Security Operations Center — IT drošības incidentu operatīvais centrs).

Protams, ka Kaspersky Managed Protection nevar aizstāt SOC, taču a) tas var veicināt šāda centra izveidošanu, jo efektīvi atrisina vienu (bet vissvarīgāko) uzdevumu — konstatē jebkuru sarežģīto uzbrukumu, b) tas var paplašināt līdzšinējā SOC kompetenci, papildinot to ar kiberpaleontoloģijas iespējām, un, galvenais, c) var izveidot papildu biznesu MSS (managed security service) pakalpojumu sniedzējiem, paplašinot pakalpojumu klāstu ar mērogojamām ļoti rezultatīvas kiberpaleontoloģijas funkcijām. Manuprāt, tieši trešais gadījums ir galvenais Kaspersky Managed Protection attīstības vektors.

Jevgēņijs Kasperskis

AntiVirus.LV piebilde: par pakalpojuma Kaspersky Managed Protection cenām un licencēšanas noteikumiem jūs varat interesēties pie Kaspersky Lab produktu izplatītāja vai partneriem Latvijā. Pilnu katalogu Kaspersky Security Solutions for Enterprise 2018 (PDF, angļu val.) lejupielādējiet šeit.

 

Kaspersky Endpoint Security for Business

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

3 + 5 =

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu