Od minuloročného apríla, keď ANSSI kvalifikovala dve detekčné sondy, sa v kyberbezpečnostním svete nehovorilo takmer o ničom inom. Objavilo sa konečne spoľahlivé riešenie ochrany siete? Tentokrát tomu tak nebude. Tu je vysvetlenie prečo.

V posledných niekoľkých mesiacoch sa toho udialo celkom veľa okolo bezpečnostných sond ako posledného trendu v boji proti kybernetickým útokom, najmä v priemyselnom sektore. Tento rok v apríli ANSSI kvalifikovala niektoré „Made in France“ sondy od spoločnosti Thales a jej konkurenta Gatewatcher, čím sa na trhu kybernetickej bezpečnosti opäť zvýšilo napätie.

Na medzinárodnej úrovni sa darí rásť dobre pozicovaným start-upom, vrátane francúzskej hviezdy Sentryo, o ktorú nedávno prejavilo záujem Cisco. Súčasne prebehlo niekoľko veľkých fundraisingových investícií, najmä do švajčiarsko-talianskej spoločnosť Nozomi a jej izraelského konkurenta Claroty.

Kvalifikácia týchto prvých sond však nie je dielom okamihu. ANSSI trvalo štyri roky, kým kvalifikovala prvé samostatné sondy, počnúc tým, že sa tento termín prvýkrát objavil v zákone o vojenskom plánovaní z roku 2015 (Loi de programmation militaire, LPM). Tieto sondy boli primárne určené pre prevádzkovateľov základných, teda pre fungovanie štátu kritických služieb (typicky v rámci kritickej infraštruktúry, podľa smernice o bezpečnosti európskych sietí a informácií – NIS z novembra 2018) a boli testované na dve kvality: robustnosť a schopnosť zaručiť dôvernosť.

Ale nie všetko, čo sa nazýva „sonda“, má rovnaké využitie.

Čo je to sonda?

Je to trochu všeobecný termín, ktorý sa používa v mnohých rôznych prípadoch,“ varuje Robert Wakim, Stormshield Offers Manager a dodáva: „Z pohľadu kybernetickej bezpečnosti by sme mali hovoriť o sondách pre monitorovanie siete. Ide o pasívne nástroje, ktoré monitorujú sieťovú prevádzku a podľa toho, kde sú nainštalované, reportujú informácie alebo zasielajú upozornenia.

Toto zariadenie by malo byť schopné detekovať slabé signály spôsobené kybernetickým útokom. Na rozdiel od antivírusového programu alebo firewallu však sieťové sondy nechajú prechádzať všetky dáta bez obmedzenia.

Aby monitorovacia sonda v sieti fungovala, je skôr než do hlavných dátových tokov nutné ju inštalovať transparentne pomocou zrkadlenia portu. To znamená vytvoriť dodatočné siete, kedy sa každý dátový tok duplikuje a odosiela do sondy. Pokiaľ dôjde k útoku na pôvodnú sieť, sonda ho identifikuje a nahlási do logu.

„Sondy nemôžu ochrániť infikované počítače ani ich dať do karantény.“

Robert Wakim, Offers Manager Stormshield

Ak sieťová sonda detekuje anomáliu, stane sa jedna z dvoch vecí:

  1. Keď organizácia má SOC (Security Operations Center): SOC je varovaný sondou (po tom, čo vypočítal pravdepodobnosť, že došlo k infekcii), postará sa o situácii a zastaví útok čo najrýchlejšie.
  2. Keď organizácia nemá SOC: Sonda vás informuje, že vaša sieť bola napadnutá. Zlá správa je, že ak bolo cieľom útoku zničiť vašu infraštruktúru, je už príliš neskoro.
Image by 13smok from Pixabay

Pre vysvetlenie toho, ako fungujú sondy monitorujúce siete, sú dobrým prirovnaním kliešte. Keď vás uhryzne kliešť, môžete tieto informácie získať z niekoľkých zdrojov – buď si prsty nahmatáte ranku, ktorá tam predtým nebola, koža začína svrbieť, alebo ju uvidíte. Žiadne z týchto upozornení však nemôže zabrániť vniknutiu nákazy do vašej krvi. So sondou je to rovnaké. Nemôžu ochrániť alebo dať do karantény infikované stroje,“ zdôrazňuje Robert Wakim.

Detekcia vs. ochrana

Sondám sa dostalo priaznivého ohlasu tiež v priemyselnom sektore, kde je možné ich ľahko inštalovať pomocou zrkadlenia portov. Mnoho priemyselných sietí nebolo ešte pred niekoľkými rokmi chránených, pretože boli izolované od vonkajšieho sveta a jeho hrozieb. S rozvojom priemyslu 4.0 však konvergencia IT a OT viedla k prepojeniu priemyselných sietí s okolitým svetom. Dnes priemysel a utility čelí rôznym kybernetickým hrozbám a potrebujú preto zaviesť vhodné bezpečnostné opatrenia.

Ak sa detekuje útok na sieť, môže to úplne zastaviť výrobu, čo má vážne ekonomické dôsledky. Riziko bezpečnostných zariadení, ktoré priamo zasahujú do dátových tokov, spočíva v tom, že môžu negatívne zasiahnuť produkciu aj v okamihu odhalenia anomálie alebo „falošného poplachu“ – teda správania, ktoré je nesprávne vyhodnotené za súčasť kybernetického útoku.

Sondy majú na priemyselných klientov upokojujúci efekt, keďže iba detekujú, takže tu neexistuje riziko zastavenia výroby,“ uvádza Julien Paffumi, vedúci produktového manažmentu vo Stormshielde. „V ideálnom svete by ste mali pre blokovanie dát firewall s integrovanou IPS, ktorá by s istotou zastavila detekované kybernetické útoky, a paralelnú sieťovú sondu pre identifikáciu a signalizáciu podozrenia na hrozby.

Potreba kvalifikovaného firewallu

So zavedením LPM vo Francúzsku, ale aj implementáciou smernice NIS v ďalších európskych krajinách (v SR transponovaná ako zákon o kybernetickej bezpečnosti) sa na prevádzkovateľa základných služieb verejnosti vzťahujú regulačné povinnosti a dôrazne sa im odporúča zaviesť kvalifikované sondy. Ideálna sada nástrojov pre organizácie a samosprávy však popri týchto sond zahŕňa aj kvalifikované firewally. Vedľa detekcie, ktorá je primárnym účelom sondy, ponúkajú aj konkrétnu ochranu sietí tým, že blokujú kybernetické útoky.

Ako ale takéto zariadenie nainštalovať, keď vyžaduje aktívne pripojenie, ktoré umožní blokovať dáta? Niektoré riešenia, ako napríklad firewall Stormshield SNi40, môžu pracovať v režime IPS/IDS: ak dôjde k zásadnej chybe, nechajú dátové toky prechádzať (fail-safe mód). Nakoniec „vždy existuje riešenie, ako vyvážiť nevyhovujúce aspekty zariadení blokujúceho dáta“ zdôrazňuje Julien Paffumi, „napríklad pomocou hardvérovo synchronizovaného klastra vysokej dostupnosti, ktorý v prípade problému vytvorí záložné pripojenie.“

Autor: Florian Bonnet, Stormshield
Preklad a úpravy: Jan Mazal, VPGCZdroj: Stormshield – Why you cybersecurity strategy shouldn’t depend (only) on a probe