Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Drošības nedēļa 2016 19: mākslīgais intelekts un datoru drošība, uzņēmumiem Microsoft un Adobe — „nulles diena”, šifrētāji uzbrūk uzņēmumiem

Drošības nedēļa 2016 19: mākslīgais intelekts un datoru drošība, uzņēmumiem Microsoft un Adobe — „nulles diena”, šifrētāji uzbrūk uzņēmumiem

Sāksim ar nozares informāciju: uzņēmums IBM vēlas izmantot superdatoru Watson, lai atrisinātu IT drošības problēmas. Te jāatgādina, ka Watson — kā teikts oficiālajos dokumentos — ir programmaparatūras komplekss (klasteris no 90 serveriem), kas var sniegt atbildes dabiskajā valodā, tātad savdabīgs mākslīgais intelekts.

IBM vēlas iemācīt superdatoru Watson apstrādāt lielu IT drošības informācijas plūsmu, lai tas varētu „atšķirt vīrusus no Trojas zirgiem”. Lai to paveiktu, IBM sadarbosies ar vairākām ASV universitātēm, kuru studenti attiecīgi sagatavos informāciju, lai būtu iespējams veikt tās turpmāko apstrādi. Datu būs daudz, runa ir par miljardiem ierakstu.

 

Sudenti un IBM apmāca superdatoru Watson.

Sudenti un IBM apmāca superdatoru Watson.

Tomēr vēl nevaram cerēt, ka mākslīgais intelekts un cilvēkveidīgi roboti pasargās mūs no visiem kiberdraudiem. Paziņojumā ir ļoti vispārīgi norādīti pasākuma mērķi: „automatizēt saiknes meklēšanu starp informāciju [par incidentiem], iespējamiem draudiem un aizsardzības stratēģijām”.

Jāatzīst, ka mašīnu apmācībai, mākslīgajam intelektam un anomāliju meklēšanai plašā datu masīvā, piemēram, tīkla datplūsmā, ir labas perspektīvas, turklāt šādus algoritmus izmanto jau tagad: tie detektē jaunus draudus, izmantojot informāciju par iepriekšējiem incidentiem, kā arī konstatē sarežģītus mērķtiecīgos uzbrukumus.

Tomēr ļoti daudzi nozares pārstāvji uzskata, ka nebūs iespējams automatizēt pilnīgi visu pat tad, ja katrā lielākā uzņēmumā uzstādītu pāris „Vatsonu”. Joprojām būs nepieciešams „roku darbs” — pieredzējuši speciālisti, kas pētīs konstatētos draudus. Datoru drošības nozarē svarīga loma ir cilvēka faktoram, un nekādi algoritmi nevar aizstāt cilvēku.

Jāatzīst, ka IBM pareizi formulē uzdevumu: „nodrošināt jaunas iespējas drošības ekspertiem”, nevis viņus aizstāt. Tā ir šīs iniciatīvas galvenā atšķirība no citiem mēģinājumiem reklamēties ar mašīnu apmācības tēmu, solot, ka „dators visu sapratīs” un pats iemācīsies detektēt jebkuru uzbrukumu.

Starp neseniem panākumiem mākslīgā intelekta jomā visplašāko ievērību izpelnījušies gadījumi, kad datori uzvar cilvēkus intelektuālās spēlēs. Deep Blue pret Kasparovu — šahā, Watson — spēlē Jeopardy, bet pavisam nesen — superdatora uzvara „Go” spēlē. Šī gada martā RSA konferencē, šī uzvara „Go” spēlē tika piesaukta teju katrā otrajā referātā. Lūk, ko par to sacīja RSA prezidents Amits Jorans: „AI (mākslīgais intelekts) — tas, protams, ir lieliski, bet šajā jomā nevaram cerēt uz grandioziem panākumiem sakarā ar IT drošību, ja balstīsimies tikai uz līdz šim sasniegtā.”

Uzvara sarežģītā „cilvēku” spēlē nav tas pats, kas spēja prognozēt un novērst kiberuzbrukumus. Pirmajā gadījumā runa ir par spēli ar noteikumiem. Otrajā — nav nekādu noteikumu. Mākslīgais intelekts IT drošības jomā palīdz atrisināt tikai dažus uzdevumus, un jo vairāk būs tādu „apmācāmo” tehnoloģiju, jo vairāk laika paliks ekspertam, lai risinātu citas problēmas — novērtētu riskus, prognozētu uzbrukuma vektorus un novērstu pašus sarežģītākos incidentus. Pagaidām cilvēku nevar pilnīgi aizstāt, un nevar zināt, vai kādreiz tas būs iespējams.

Bīstamas Windows un Adobe Flash ievainojamības jau izmanto uzbrukumos lietotājiem un mazumtirdzniecības ķēdēm

Šī Windows ievainojamība ir labota divas reizes: viena no aprīļa labojumu paketēm daļēji likvidēja „caurumu”, kas ļāva izpildīt patvaļīgu kodu ar sistēmas privilēģijām, bet uzdevumu līdz galam paveica atjauninājums, kuru izlaida pagājušajā otrdienā. Ievainojamība piemīt visām aktuālajām Windows versijām no 7. līdz 10., un tā tika atrasta, analizējot sekmīgu uzbrukumu virkni. Turklāt kibernoziedznieki īpaši meklēja tādus uzņēmumus un ierīces, kuras tiek izmantotas kredītkaršu maksājumu apstrādāšanai.

Šo kampaņu martā konstatēja uzņēmums FireEye: noziedznieki iekļuva upura datortīklā ar tradicionālu paņēmienu, izmantojot speciāli sagatavotu MS Word dokumentu, ko atsūtīja pa e-pastu. Tas nozīmē, ka turpinās uzbrukumi amerikāņu mazumtirdzniecības veikalu ķēdēm: kibernoziedznieki steidz „ievākt pēdējo ražu”, kamēr vēl nav ieviestas EMV kartes (ar mikroshēmu un PIN kodu — kā visās normālās valstīs), kuru datus būs daudz grūtāk pārtvert.

 

 

Iespējams, ka Adobe Flash kritisko ievainojamību jau ļaunprātīgi izmanto, lai gan Adobe pārstāvji apgalvo, ka nav konstatējuši uzbrukumus, taču neatkarīgi avoti norāda pretējo. Ņemot vērā ievainojamības potenciālo bīstamību (tās izmantošana var izraisīt lietojumprogrammas avāriju un nodot datorsistēmu ļaundara varā), Adobe 10. maijā brīdināja par ievainojamības atrašanu, bet 12. maijā izlaida kumulatīvu labojumu.

Šifrētāji no cietušo viedokļa

Pagājušajā nedēļā populārākā publikācija vietnē Threatpost nebija vis kāda ziņa, bet raksts, kurā aplūkota izspiedējvīrusu problēma. Problēmu no upura viedokļa aplūko vairāku tiešsaistes kazino pārvaldības uzņēmuma IT speciālists. Raksts iesniegts publicēšanai ar noteikumu, ka autors paliks anonīms. Aprakstītajā uzņēmumā strādā apmēram tūkstotis darbinieku. Lai gan šāds bizness ir diezgan ievainojams un var nopietni ciest no kiberuzbrukumiem, tomēr, kā tas bieži mēdz būt, IT drošība nav galvenā prioritāte, jo pietiek citu problēmu.

Rakstā aplūkots reāls šifrētāja uzbrukums uzņēmuma infrastruktūrai. Iekļuves punkts ir uzņēmuma klēpjdators, ar kuru attālināti strādā speciālists — pieaicināts konsultants. Šis klēpjdators nezin kādēļ nav aizsargāts, toties var savienoties ar mapēm uzņēmuma tīklā, jo tīkls ir nepareizi konfigurēts. Lietotājs mēģina atvērt vēstulei piesaistītu datni, kura atgādina parastu faktūrrēķinu, un tūliņ sākas datu šifrēšana. Labi redzams, cik lēni reaģē gan lietotājs, gan IT speciālisti, lai gan viņiem būtu jāreaģē uzreiz.

Klēpjdatora lietotājs pusstundu mēģina sazvanīt tehnisko palīdzību, viņam joprojām šķiet, ka notikusi kāda tehniska kļūme. Kamēr viņš paskaidro, kas notiek, turpinās datu šifrēšana, līdz galu galā viņš saņem pareizo padomu: tūliņ pat atvienot klēpjdatoru no tīkla. Tikmēr jau tiek šifrētas datnes serverī un dažu citu darbinieku datoros, kuri ir tikpat nepareizi savienoti ar tīkla mapēm.

Vārdu sakot, tipisks gadījums: uzbrukums vājākajam posmam, kur parasti ir apakšuzņēmējs vai pieaicināts darbinieks, datu šifrēšana datorā un tīkla mapēs, ātra problēmas izplatīšanās datortīklā. Par laimi šajā gadījumā netika zaudēti svarīgi dati, uzņēmuma darbība nebija traucēta. Visbeidzot interesants novērojums: ja pirms sešiem mēnešiem uzņēmuma sistēmas administratori reģistrēja vienu uzbrukuma mēģinājumu dienā, tad tagad viņi bloķē vismaz trīs uzbrukumus katru dienu. Uzņēmumam uzbruka Trojas zirgs TeslaCrypt.

Kas vēl notika pagājušajā nedēļā?

Atklāta vēl viena ievainojamība Lenovo klēpjdatoru sistēmas programmatūrā. Žurnālā Wired interesants raksts par amerikāņu FIB sarežģītajām attiecībām ar Austrumeiropas kibernoziedzniekiem. Konstatēts šifrētāja mēģinājums uzbrukt ASV Kongresam.

Notikumi Latvijā

Kā ziņo CERT.LV, kādā uzņēmumā šifrējošais izspiedējvīruss spējis tikt cauri vairākām uzstādītām drošības sistēmām un inficēt vienu datoru, nošifrējot daļu no failiem. Infekcija tika piegādāta ar e-pasta starpniecību .docm failā. To nepamanīja ne F-Secure e-pasta antivīruss, ne Symantec antivīruss, ne ugunsmūra risinājums ar aktīvo aizsardzību, kuram vajadzēja bloķēt vīrusa lejupielādi. Tikai pateicoties tam, ka vīruss par sevi paziņoja pirms šifrēšana tika pabeigta, dators tika atvienots no interneta pieslēguma un tādējādi vīruss paspēja nošifrēt tikai daļu no failiem.

Šis gadījums parāda, cik svarīgas var būt īpašas tehnoloģijas jaunu apdraudējumu detektēšanā. Tā piemēram, Kaspersky Endpoint Security for Business ir ietverta speciāla apakšsistēma Kaspersky Cryptomalware Countermeasures Subsystem, kas spēj identificēt pat nezināmas šifrējošās ļaunprogrammas un novērst to darbības sekas. Vairāk par to lasiet materiālā “Īpaša aizsardzība pret šifrējošo ļaunprogrammatūru“.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

9 + 1 =

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu