Como a segurança cibernética está transformando o mercado de TI (parte 3)

Apesar do crescimento anual dos orçamentos e da variedade de ferramentas de segurança da informação, todos os anos recebemos apenas um aumento múltiplo nas estatísticas sobre o número de incidentes, um aumento no volume de vazamentos e emails de phishing, etc. Por que isso está acontecendo? É possível que a complexidade e o tamanho crescentes dos sistemas de informação afetem negativamente a eficácia dos controles de segurança “sobrepostos”. Na terceira parte de uma série de artigos, falaremos sobre segurança como parte integrante da arquitetura dos próprios sistemas de software e redes e sobre assimetria de informação, que no futuro pode transformar as abordagens de proteção "técnica".

Introdução

A abordagem clássica da segurança da informação, desenvolvida nos primeiros anos da Internet, refletiu-se no modelo baseado em perímetro. Com essa abordagem, a empresa tinha um segmento interno seguro, onde estavam localizadas estações de trabalho confiáveis, e um segmento externo com recursos não confiáveis, cujo acesso era controlado. Um firewall foi colocado entre os segmentos interno e externo, o que determinou as regras para trabalhar com o mundo externo. Essa abordagem rapidamente se mostrou ineficaz. O aumento no número de estações de trabalho na rede local levou ao fato de que se tornou quase impossível controlar cada host. As tentativas de monitorar não apenas o perímetro, mas também os dispositivos internos levaram a uma abordagem de confiança zero, em que cada entidade deve ser identificada de forma exclusiva, independentemente do ponto de conexão.As dificuldades com a implementação generalizada da abordagem de confiança zero levaram ao desenvolvimento deste conceito, que pode ser denominado como "confiança digital". No caso de “confiança digital”, cada dispositivo ou cada usuário do sistema tem certos padrões de comportamento que podem ser considerados “normais”. Por exemplo, um determinado conjunto de software é instalado em um smartphone ou laptop, que pode ser reconhecido pela geração de tráfego específico na rede. Os programas e sites que o usuário abre também definem padrões específicos de comportamento. Um desvio acentuado desses padrões pode ser visto como um incidente de segurança resultante de falsificação de usuário / dispositivo ou malware.que pode ser referido como "digital-trust". No caso de “confiança digital”, cada dispositivo ou cada usuário do sistema tem certos padrões de comportamento que podem ser considerados “normais”. Por exemplo, um determinado conjunto de software é instalado em um smartphone ou laptop, que pode ser reconhecido pela geração de tráfego específico na rede. Os programas e sites que o usuário abre também definem padrões específicos de comportamento. Um desvio acentuado desses padrões pode ser visto como um incidente de segurança resultante de falsificação de usuário / dispositivo ou malware.que pode ser referido como "digital-trust". No caso de “confiança digital”, cada dispositivo ou cada usuário do sistema tem certos padrões de comportamento que podem ser considerados “normais”. Por exemplo, um determinado conjunto de software é instalado em um smartphone ou laptop, que pode ser reconhecido pela geração de tráfego específico na rede. Os programas e sites que o usuário abre também definem padrões específicos de comportamento. Um desvio acentuado desses padrões pode ser visto como um incidente de segurança resultante de falsificação de usuário / dispositivo ou malware.que pode ser reconhecido pela geração de tráfego específico na rede. Os programas e sites que o usuário abre também definem padrões específicos de comportamento. Um desvio acentuado desses padrões pode ser visto como um incidente de segurança resultante de falsificação de usuário / dispositivo ou malware.que pode ser reconhecido pela geração de tráfego específico na rede. Os programas e sites que o usuário abre também definem padrões específicos de comportamento. Um desvio acentuado desses padrões pode ser visto como um incidente de segurança resultante de falsificação de usuário / dispositivo ou malware.



Esta evolução das abordagens à segurança de rede reflete o fato geral de mudar os métodos de proteção devido ao inevitável aumento da complexidade dos sistemas de informação. No entanto, a lacuna cada vez maior entre os gastos com segurança da informação e os incidentes sugere que o paradigma da segurança cibernética deve mudar. Pesquisadores de todo o mundo estão cada vez mais inclinados à ideia de que tal mudança de paradigma ocorrerá na área de assimetria de informação que existe entre o atacante e o defensor dos sistemas de informação. A assimetria reflete o fato de que o tempo para um atacante estudar um sistema de informação excede o tempo para projetá-lo, e também que um atacante só precisa encontrar e implementar uma única vulnerabilidade, enquanto ao projetar é necessário encontrar todas elas.

Para eliminar a assimetria de informação

Uma vez que qualquer ataque a um sistema de informação é sempre precedido por um processo de reconhecimento, a ideia de tornar esse processo o mais difícil possível para um invasor parece óbvia. Você pode, é claro, bloquear o acesso a certos processos e dispositivos e, assim, protegê-los de pesquisas externas, mas a prática tem mostrado que essa abordagem nem sempre é eficaz. A ideia de alterar continuamente os parâmetros de um sistema de informação ganhou muito mais popularidade. Como resultado, as informações obtidas pelo invasor tornam-se irrelevantes no próximo momento. Essa abordagem foi chamada de Moving Target Defense (MTD - defesa baseada em alvos móveis).



É notável o crescimento do interesse pelo tema, que pode ser atribuído ao número de publicações nas principais bases de dados sobre o tema MTD. O principal avanço ocorreu a partir de 2011, quando nos Estados Unidos o tema MTD foi incluído no número de áreas prioritárias para o desenvolvimento de tecnologias de segurança do estado . Depois disso, uma grande quantidade de fundos de subsídios no tópico MTD foram alocados por vários fundos nos EUA (DARPA) e outros países (União Europeia, Índia, China, etc.). Se em 2011 havia 50 publicações sobre o tema MTD, então em 2017 eram mais de 500 por ano. No entanto, eles não fizeram um avanço tecnológico significativo nos primeiros anos. Surgiram métodos MTD que se tornaram o padrão da indústria de fato, como a tecnologia ASLR, permitindo que você misture aleatoriamente as seções de endereços usadas pelo aplicativo na RAM. ASLR agora é usado em todos os sistemas operacionais.



Não há tantos produtos de segurança sobrepostos que tenham conseguido chegar ao mercado e começar a vender. Aqui você pode selecionar Morphisec , que é instalado em terminais e pode atuar como uma camada para as áreas de memória usadas. Apêndice CryptoMove permite que você transforme uma criptografia secreta e a distribua para vários sites usando o MTD.



As soluções da MTD para ofuscar os parâmetros e endereços da rede local tornaram-se ainda menos populares. A maioria desses desenvolvimentos permaneceu em estudos teóricos e não se refletiu nos produtos de grandes fornecedores de segurança da informação. Apesar do fato de que as tecnologias MTD se tornaram padrões de fato para trabalhar com memória, a proteção completa de sistemas de informação de acordo com a metodologia MTD não aconteceu. A razão para a derrota de uma teoria tão bela com eficácia objetivamente comprovada provavelmente não se encontra na sua ineficácia, mas na dificuldade de adaptar os métodos de MTD aos sistemas reais. O sistema não pode ser totalmente único. Alguns componentes do aplicativo devem compreender outros, os protocolos de comunicação devem ser universais e a estrutura do software deve ser reconhecível pelo consumidor.Ao longo da história do desenvolvimento de TI, eles seguiram o caminho da padronização e unificação máxima de processos, e esse mesmo caminho os levou aos problemas de segurança cibernética que temos agora. A principal conclusão do problema da assimetria de informação é a necessidade de mudar o paradigma da unidade da estrutura funcional dos sistemas de informação e passar ao princípio da aleatorização máxima de seus parâmetros. Como resultado, o próprio sistema, devido à sua singularidade, irá adquirir “imunidade” a ataques e permitirá preencher a lacuna na assimetria de informação.Como resultado, o próprio sistema, devido à sua singularidade, irá adquirir “imunidade” a ataques e permitirá preencher a lacuna na assimetria de informação.Como resultado, o próprio sistema, devido à sua singularidade, irá adquirir “imunidade” a ataques e permitirá preencher a lacuna na assimetria de informação.



A maioria dos métodos MTD tem dificuldade em distingui-los como soluções de produtos específicos. Por exemplo, muitos desenvolvimentos enfocaram a randomização para proteger contra injeção de código. O método mais simples, mas ao mesmo tempo eficaz, é a randomização de comandos de código interpretados. Por exemplo, um número aleatório é adicionado a comandos SQL clássicos, sem os quais o interpretador não o entende como um comando. Digamos que um comando INSERT seja interpretado como um comando INSERT com apenas um código exclusivo conhecido pelo interpretador: INSERT853491. Nesse caso, será impossível fazer injeção de SQL, mesmo que realmente haja uma vulnerabilidade por falta de validação de parâmetros. Embora esse método seja eficaz, obviamente não pode ser implementado com recursos de segurança de "sobreposição", mas deve fazer parte da lógica do próprio servidor de banco de dados.Outra abordagem importante para a randomização do sistema é a diversificação do código.

Diversificação do código do programa

A diversificação do código implica que podemos clonar funcionalmente um programa enquanto modificamos o código do programa. Há uma grande quantidade de pesquisas sobre o tema, mas a maior parte desse trabalho tem se mantido no nível de P&D, sem se tornar soluções comercialmente interessantes. Via de regra, são programas que permitem "aumentar" o número de circuitos lógicos com uma adição de zero finita de funcionalidade ou realizar uma substituição de modelo de certas seções do código. No final, entretanto, o programa diversificado freqüentemente apresentava as mesmas vulnerabilidades do original.



O principal problema com essa abordagem é que o código já escrito é alimentado para a entrada do diversificador. Um diversificador não pode “entender” o significado de certas construções de software, portanto, ele não é capaz de diversificá-los verdadeiramente, mas apenas substitui um pedaço de código em um modelo por outro ou gera código adicional “inútil”.



Para resolver radicalmente o problema da diversificação, é necessário obter a geração automática do código do aplicativo. Se pudermos eliminar o trabalho do programador de escrever instruções específicas e construções algorítmicas, resolveremos também o problema de diversificação. A geração automática de código assume que você pode criar um programa em um nível superior, por exemplo, com uma lista de requisitos funcionais ou relacionamentos gráficos - e o código, por sua vez, será gerado para essa construção automaticamente.



Existem várias abordagens para a geração de código que ganharam popularidade nos últimos anos.

• Generative program. (metaprogramming). , , , , . . (run-time) (compile-time) .
• Source code generation (SCG). SCG , UML-. — , . . SCG Scaffolding — -, .
• Low-code development platform (LCDP). ; «», . 4- (fourth-generation programming language, 4GL), — C++, Python, Ruby . ( , 4GL 3GL). AI- na geração automática de código, mas a maioria deles visa resolver tarefas altamente especializadas, como corrigir erros automaticamente usando um rastreador de bug ou encontrar e eliminar vulnerabilidades conhecidas no código.

Uma questão lógica pode surgir: o que a segurança tem a ver com isso? A revolução nas tecnologias de geração de código acabará por levar a uma revolução na segurança cibernética. Se você abrir o banco de dados CVE, poderá descobrir que mais de 90% das vulnerabilidades não são erros lógicos no desenvolvimento de software, mas sua implementação específica no código do software (uma questão controversa é se as vulnerabilidades de hardware no CVE também estão incluídas aqui). Se movermos o desenvolvimento para um nível abstrato superior, isso pode ser expresso em duas consequências:

1. , «». , .
2. . . , . . , , , , .

Assim, o "software" gerado, por ser único e desconhecido para o atacante, elimina a assimetria de informação que existia antes. E essa "confusão" de funcionalidade e parâmetros de software cria uma barreira intransponível para um invasor, mesmo levando em consideração a presença de vulnerabilidades no sistema. Vulnerabilidades devido à falta de assimetria de informação nunca serão encontradas. > Deepfake technologies como uma ameaça à segurança da informação

A nova realidade dos sistemas de informação

Como você pode ver, estamos vendo uma tendência de superar a assimetria de informação entre o atacante e o defensor dos sistemas de informação, que pode ser expressa em várias características:

1. Acúmulo máximo de pseudo-aleatoriedade de desenvolvimento (modelo de dados, instruções de máquina, funções, etc.), independentemente de protocolos externos e interfaces de interação.
2. Transição para a estrutura dinâmica de parâmetros-chave, tanto na fase de projeto como na fase de funcionamento do sistema de informação.

Isso não levará à solução de todos os problemas de segurança cibernética, mas certamente fará uma transformação significativa no mercado de segurança da informação.



Aqui, enfrentaremos várias mudanças importantes na indústria:

1. O fim da era dos vírus e antivírus. Se os antivírus já foram quase sinônimos de um produto de segurança cibernética, hoje sua participação no mercado diminuiu significativamente. Se, em última análise, todas as falhas de software existem apenas no nível lógico, sem a capacidade de explorar erros de código, então o conceito de malware se tornará uma coisa do passado. Este será o fim de toda uma era tecnológica de segurança cibernética e talvez alguns fornecedores que não estão estruturando seus negócios agora.
2. () . — , . , (AI) (ML) , , . NLP- (NLP — Natural Language Processing, ) , . . , — NLP (PhishNetd-NLP, ). , (Deepfake).
3. . , - «» .
4. , . ( , .), - (Web Application Firewalls), «» «» , ( , Darktrace).

-

Os mercados de TI e segurança da informação existem em conjunto, influenciando tecnologicamente um ao outro. A segurança é um problema comum em sistemas de informação. Um mercado de cibersegurança separado existe agora apenas porque a maioria das ferramentas de cibersegurança é imposta, mas essa tendência pode mudar em um futuro próximo. Apenas os sistemas para controlar o comportamento do usuário na empresa (DLP, monitoramento de atividades, UEBA, etc.) podem se sentir mais confiantes: eles provavelmente manterão seu mercado "separado", enquanto os sistemas para controlar ataques de rede, teste de penetração, análise de código, etc. são transformados junto com a superação da assimetria de informação do projeto de sistemas de informação.



As mudanças mais significativas ocorrerão na área de codificação. Mesmo se nos próximos anos não mudarmos para 4GL em desenvolvimento e não houver nenhuma revolução aqui, os princípios de diversificação ainda se tornarão a regra geral, como agora ASLR é uma regra. E aqui não há apenas bônus óbvios associados a um aumento na velocidade de desenvolvimento (e possivelmente com uma diminuição na qualificação dos desenvolvedores), mas também vantagens no campo da segurança cibernética. Obtemos uma probabilidade menor de vulnerabilidades aparecerem como resultado de um erro do programador e podemos diversificar adicionalmente o código em um nível baixo adicionando elementos de pseudo-aleatoriedade a ele. Claro, essa transição não acontecerá rapidamente. O principal obstáculo à inovação pode ser que esses fundos não sejam "impostos" à PI e, portanto, é improvável queque startups e empresas de alta tecnologia serão o motor do progresso.



O segundo componente importante é a diversificação geral e a transição para parâmetros dinâmicos de sistemas de informação. Se, por exemplo, você estiver projetando uma rede local com endereçamento dinâmico em IPv6 usando a metodologia MTD, isso permitirá que você exclua hosts não autorizados de ingressar na rede. Eles serão simplesmente "rejeitados" como um corpo estranho no corpo. Da mesma forma, o uso do MTD em outros processos dificultará qualquer alteração não autorizada à operação normal. Isso permite que você adquira algum tipo de imunidade contra modificações não autorizadas e penetração no sistema.



Como isso pode afetar significativamente o mercado de TI:

1. , - , .
2. (open-source) open-source . «algoend»- . open-source — . , :
   
   
   • open-source ( ),
   • open-source , «algoend».
   
   
   , open-source , .
3. AI / NLP . , — , ( ) , . NLP-, — NLP .
4. . , (deception) . deception-, «» , .

Em conjunto, pode-se prever que, a longo prazo, cada vez mais nos afastaremos dos problemas de segurança cibernética associados a erros no código do programa, até que a eliminação da assimetria de informação reduza esse problema a zero. Mas isso não resolverá todos os problemas de segurança cibernética. A segurança é uma espécie de elemento de excelência na compreensão dos processos de funcionamento do SI e na capacidade de controlar esses processos. Quanto mais complexos os sistemas, maior a probabilidade da presença de erros lógicos em seu funcionamento e a influência do fator humano.



Há uma trajetória muito clara em que o mercado de segurança cibernética no futuro será dividido entre soluções de gerenciamento de fator humano, enquanto a segurança de baixo nível deixará de existir na forma de meios de proteção impostos e se tornará parte integrante das soluções de plataforma de TI.



Como a segurança cibernética transforma o mercado de TI (Parte 2)

Como transformar o mercado de TI de segurança cibernética (Parte 1)



Artigo original publicado aqui