Wie Cybersicherheit den IT-Markt verändert (Teil 3)

Trotz des jährlichen Budgetwachstums und der Vielzahl von Tools für die Informationssicherheit erhalten wir jedes Jahr nur eine mehrfache Zunahme der Statistiken über die Anzahl der Vorfälle, eine Zunahme des Volumens an Lecks und Phishing-E-Mails usw. Warum geschieht dies? Es ist möglich, dass die zunehmende Komplexität und Größe von Informationssystemen die Wirksamkeit der „überlagerten“ Sicherheitskontrollen negativ beeinflusst. Im dritten Teil einer Artikelserie werden wir über Sicherheit als integralen Bestandteil der Architektur der Softwaresysteme und -netzwerke selbst und über Informationsasymmetrie sprechen, die in Zukunft die Ansätze zum "technischen" Schutz verändern könnte.

Einführung

Der klassische Ansatz zur Informationssicherheit, der in den Anfangsjahren des Internets Gestalt annahm, spiegelte sich im perimeterbasierten Modell wider. Mit diesem Ansatz verfügte das Unternehmen über ein internes sicheres Segment, in dem sich vertrauenswürdige Workstations befanden, und ein externes Segment mit nicht vertrauenswürdigen Ressourcen, auf das der Zugriff kontrolliert wurde. Zwischen den internen und externen Segmenten wurde eine Firewall platziert, die die Regeln für die Arbeit mit der Außenwelt festlegte. Dieser Ansatz erwies sich schnell als unwirksam. Die Zunahme der Anzahl der Workstations im lokalen Netzwerk führte dazu, dass es fast unmöglich wurde, jeden Host zu steuern. Versuche, nicht nur den Perimeter, sondern auch die internen Geräte zu überwachen, haben zu einem Null-Vertrauens-Ansatz geführt, bei dem jede Entität unabhängig vom Verbindungspunkt eindeutig identifiziert werden muss.Schwierigkeiten bei der weit verbreiteten Umsetzung des Zero-Trust-Ansatzes führten zur Weiterentwicklung dieses Konzepts, das als "Digital-Trust" bezeichnet werden kann. Im Fall von "digitalem Vertrauen" weist jedes Gerät oder jeder Benutzer des Systems bestimmte Verhaltensmuster auf, die als "normal" angesehen werden können. Beispielsweise ist auf einem Smartphone oder Laptop eine bestimmte Software installiert, die durch Generieren eines bestimmten Datenverkehrs im Netzwerk erkannt werden kann. Die vom Benutzer geöffneten Programme und Sites definieren auch bestimmte Verhaltensmuster. Eine starke Abweichung von diesen Mustern kann als Sicherheitsvorfall angesehen werden, der auf Spoofing durch Benutzer / Geräte oder Malware zurückzuführen ist.was als "digital-trust" bezeichnet werden kann. Im Fall von "digitalem Vertrauen" weist jedes Gerät oder jeder Benutzer des Systems bestimmte Verhaltensmuster auf, die als "normal" angesehen werden können. Beispielsweise ist auf einem Smartphone oder Laptop eine bestimmte Software installiert, die durch Generieren eines bestimmten Datenverkehrs im Netzwerk erkannt werden kann. Die vom Benutzer geöffneten Programme und Sites definieren auch bestimmte Verhaltensmuster. Eine starke Abweichung von diesen Mustern kann als Sicherheitsvorfall angesehen werden, der auf Spoofing durch Benutzer / Geräte oder Malware zurückzuführen ist.was als "digital-trust" bezeichnet werden kann. Im Fall von "digitalem Vertrauen" weist jedes Gerät oder jeder Benutzer des Systems bestimmte Verhaltensmuster auf, die als "normal" angesehen werden können. Beispielsweise ist auf einem Smartphone oder Laptop eine bestimmte Software installiert, die durch Generieren eines bestimmten Datenverkehrs im Netzwerk erkannt werden kann. Die vom Benutzer geöffneten Programme und Sites definieren auch bestimmte Verhaltensmuster. Eine starke Abweichung von diesen Mustern kann als Sicherheitsvorfall angesehen werden, der auf Spoofing durch Benutzer / Geräte oder Malware zurückzuführen ist.Dies kann durch die Erzeugung von spezifischem Verkehr im Netzwerk erkannt werden. Die vom Benutzer geöffneten Programme und Sites definieren auch bestimmte Verhaltensmuster. Eine starke Abweichung von diesen Mustern kann als Sicherheitsvorfall angesehen werden, der auf Spoofing durch Benutzer / Geräte oder Malware zurückzuführen ist.Dies kann durch die Erzeugung von spezifischem Verkehr im Netzwerk erkannt werden. Die vom Benutzer geöffneten Programme und Sites definieren auch bestimmte Verhaltensmuster. Eine starke Abweichung von diesen Mustern kann als Sicherheitsvorfall angesehen werden, der auf Spoofing durch Benutzer / Geräte oder Malware zurückzuführen ist.



Diese Weiterentwicklung der Ansätze zur Netzwerksicherheit spiegelt die allgemeine Tatsache wider, dass die Schutzmethoden aufgrund der unvermeidlichen Zunahme der Komplexität von Informationssystemen geändert werden. Die immer größer werdende Kluft zwischen Ausgaben für Informationssicherheit und Vorfällen lässt jedoch darauf schließen, dass sich das Paradigma der Cybersicherheit ändern muss. Forscher auf der ganzen Welt neigen zunehmend zu der Vorstellung, dass ein solcher Paradigmenwechsel im Bereich der Informationsasymmetrie zwischen dem Angreifer und dem Verteidiger von Informationssystemen stattfinden wird. Asymmetrie spiegelt die Tatsache wider, dass die Zeit, die ein Angreifer benötigt, um ein Informationssystem zu untersuchen, die Zeit zum Entwerfen überschreitet, und dass ein Angreifer eine einzelne Sicherheitsanfälligkeit finden und implementieren muss, während beim Entwerfen alle gefunden werden müssen.

Auf dem Weg zur Beseitigung der Informationsasymmetrie

Da jedem Angriff auf ein Informationssystem immer ein Aufklärungsprozess vorausgeht, scheint die Idee, diesen Prozess für einen Angreifer so schwierig wie möglich zu gestalten, offensichtlich. Sie können natürlich den Zugriff auf bestimmte Prozesse und Geräte blockieren und diese dadurch vor externer Forschung schützen. Die Praxis hat jedoch gezeigt, dass dieser Ansatz nicht immer effektiv ist. Die Idee, die Parameter eines Informationssystems kontinuierlich zu ändern, hat viel an Popularität gewonnen. Infolgedessen werden die vom Angreifer erhaltenen Informationen zum nächsten Zeitpunkt irrelevant. Dieser Ansatz wurde als Moving Target Defense (MTD - Verteidigung basierend auf sich bewegenden Zielen) bezeichnet.



Bemerkenswert ist das wachsende Interesse an dem Thema, das auf die Anzahl der Veröffentlichungen in den führenden Datenbanken zum Thema MTD zurückzuführen ist. Der Hauptdurchbruch gelang nach 2011, als in den USA das Thema MTD in die Anzahl der vorrangigen Bereiche für die Entwicklung staatlicher Sicherheitstechnologien aufgenommen wurde . Danach wurde eine große Menge an Zuschussmitteln zum Thema MTD von verschiedenen Fonds in den USA (DARPA) und anderen Ländern (Europäische Union, Indien, China usw.) bereitgestellt. Wenn es 2011 50 Veröffentlichungen zu MTD gab, wurden 2017 mehr als 500 von ihnen pro Jahr veröffentlicht. In den ersten Jahren gelang ihnen jedoch kein bedeutender technologischer Durchbruch. Es sind MTD-Methoden wie die ASLR- Technologie entstanden, die de facto zum Industriestandard geworden sindAuf diese Weise können Sie die von der Anwendung verwendeten Adressabschnitte im RAM zufällig mischen. ASLR wird jetzt in allen Betriebssystemen verwendet.



Es gibt nicht so viele überlagerte Sicherheitsprodukte, die den Markt erreichen und mit dem Verkauf beginnen konnten. Hier können Sie Morphisec auswählen , das auf Endpunkten installiert ist und als Ebene für die verwendeten Speicherbereiche fungieren kann. Anhang Mit CryptoMove können Sie eine geheime Verschlüsselung transformieren und mithilfe der MTD an mehrere Standorte verteilen.



Die Lösungen von MTD zur Verschleierung lokaler Netzwerkparameter und -adressen sind noch weniger beliebt. Die meisten dieser Entwicklungen sind in theoretischen Studien verblieben und haben sich nicht in den Produkten großer Anbieter von Informationssicherheit niedergeschlagen. Trotz der Tatsache, dass MTD-Technologien zu De-facto-Standards für die Arbeit mit Speicher geworden sind, fand kein vollständiger Schutz von Informationssystemen gemäß der MTD-Methodik statt. Der Grund für die Niederlage einer solch schönen Theorie mit objektiv nachgewiesener Wirksamkeit liegt wahrscheinlich nicht in ihrer Unwirksamkeit, sondern in der Schwierigkeit, MTD-Methoden an reale Systeme anzupassen. Das System kann nicht vollständig eindeutig sein. Einige Anwendungskomponenten müssen andere verstehen, Kommunikationsprotokolle müssen universell sein und die Softwarestruktur muss für den Verbraucher erkennbar sein.Während der gesamten Geschichte der IT-Entwicklung folgten sie dem Weg der Standardisierung und maximalen Vereinheitlichung von Prozessen, und genau dieser Weg führte sie zu den Cybersicherheitsproblemen, die wir jetzt haben. Die wichtigste Schlussfolgerung aus dem Problem der Informationsasymmetrie ist die Notwendigkeit, das Paradigma der Einheit der Funktionsstruktur von Informationssystemen zu ändern und zum Prinzip der maximalen Randomisierung ihrer Parameter überzugehen. Infolgedessen erhält das System selbst aufgrund seiner Einzigartigkeit "Immunität" gegen Angriffe und ermöglicht es, die Lücke in der Informationsasymmetrie zu schließen.Infolgedessen erhält das System selbst aufgrund seiner Einzigartigkeit "Immunität" gegen Angriffe und ermöglicht es, die Lücke in der Informationsasymmetrie zu schließen.Infolgedessen erhält das System selbst aufgrund seiner Einzigartigkeit "Immunität" gegen Angriffe und ermöglicht es, die Lücke in der Informationsasymmetrie zu schließen.



Die meisten MTD-Methoden haben es schwierig gefunden, sie als spezifische Produktlösungen zu unterscheiden. Beispielsweise haben sich viele Entwicklungen auf die Randomisierung konzentriert, um vor Code-Injection zu schützen. Die einfachste, aber gleichzeitig effektive Methode ist die Randomisierung interpretierter Codebefehle. Beispielsweise wird klassischen SQL-Befehlen eine Zufallszahl hinzugefügt, ohne die der Interpreter sie nicht als Befehl versteht. Angenommen, ein INSERT-Befehl wird als INSERT-Befehl mit nur einem eindeutigen Code interpretiert, der dem Interpreter bekannt ist: INSERT853491. In diesem Fall ist eine SQL-Injection nicht möglich, selbst wenn aufgrund der fehlenden Parameterüberprüfung eine echte Sicherheitsanfälligkeit vorliegt. Obwohl diese Methode effektiv ist, kann sie offensichtlich nicht mit "Overlay" -Sicherheitsfunktionen implementiert werden, sondern muss Teil der Logik des Datenbankservers selbst sein.Ein weiterer wichtiger Ansatz zur System-Randomisierung ist die Codediversifikation.

Diversifikation des Programmcodes

Codediversifikation bedeutet, dass wir ein Programm funktional klonen und gleichzeitig den Programmcode ändern können. Es gibt eine Menge Forschung zu diesem Thema, aber der größte Teil dieser Arbeit ist auf F & E-Ebene geblieben, ohne sich in kommerziell interessante Lösungen zu verwandeln. In der Regel handelt es sich hierbei um Programme, mit denen Sie die Anzahl der Logikschaltungen mit einer endlichen Null-Addition von Funktionen "erhöhen" oder eine Template-Ersetzung bestimmter Codeabschnitte durchführen können. Am Ende hatte das diversifizierte Programm jedoch oft die gleichen Schwachstellen wie das ursprüngliche.



Das Hauptproblem bei diesem Ansatz besteht darin, dass bereits geschriebener Code dem Eingang des Diversifikators zugeführt wird. Ein Diversifizierer kann die Bedeutung bestimmter Softwarekonstruktionen nicht „verstehen“, daher kann er sie nicht wirklich diversifizieren, sondern ersetzt nur einen Code in einer Vorlage durch einen anderen oder generiert zusätzlichen „nutzlosen“ Code.



Um das Diversifizierungsproblem radikal zu lösen, muss eine automatische Generierung des Anwendungscodes erreicht werden. Wenn wir die Arbeit des Programmierers beim Schreiben spezifischer Befehle und algorithmischer Konstrukte eliminieren können, werden wir das Problem der Diversifikation lösen. Bei der automatischen Codegenerierung wird davon ausgegangen, dass Sie ein Programm auf einer höheren Ebene erstellen können, z. B. mit einer Liste funktionaler Anforderungen oder grafischer Beziehungen. Der Code wird wiederum automatisch für diese Konstruktion generiert.



Es gibt eine Reihe von Ansätzen zur Codegenerierung, die in den letzten Jahren an Popularität gewonnen haben.

• Generative program. (metaprogramming). , , , , . . (run-time) (compile-time) .
• Source code generation (SCG). SCG , UML-. — , . . SCG Scaffolding — -, .
• Low-code development platform (LCDP). ; «», . 4- (fourth-generation programming language, 4GL), — C++, Python, Ruby . ( , 4GL 3GL). AI- Die meisten von ihnen zielen jedoch auf die Lösung hochspezialisierter Aufgaben ab, z. B. das automatische Beheben von Fehlern mithilfe eines Bug-Trackers oder das Auffinden und Beseitigen bekannter Schwachstellen im Code.

Es kann sich eine logische Frage stellen: Was hat Sicherheit damit zu tun? Die Revolution der Codegenerierungstechnologien wird letztendlich zu einer Revolution der Cybersicherheit führen. Wenn Sie die CVE-Datenbank öffnen, stellen Sie fest, dass mehr als 90% der Schwachstellen keine logischen Fehler in der Softwareentwicklung sind, sondern deren spezifische Implementierung im Programmcode (ein umstrittenes Problem ist, ob Hardware-Schwachstellen in CVE hier ebenfalls enthalten sind). Wenn wir die Entwicklung auf eine höhere abstrakte Ebene verschieben, kann dies in zwei Konsequenzen ausgedrückt werden:

1. , «». , .
2. . . , . . , , , , .

Dementsprechend beseitigt die erzeugte "Software" aufgrund ihrer Einzigartigkeit, die dem Angreifer unbekannt ist, die zuvor vorhandene Informationsasymmetrie. Und eine solche "Unschärfe" von Funktionalität und Softwareparametern schafft eine unüberwindbare Barriere für einen Angreifer, selbst wenn das Vorhandensein von Schwachstellen im System berücksichtigt wird. Sicherheitslücken aufgrund fehlender Informationsasymmetrie werden niemals gefunden. > Deepfake-Technologien als Bedrohung für die Informationssicherheit

Die neue Realität der Informationssysteme

Wie Sie sehen, besteht die Tendenz, die Informationsasymmetrie zwischen dem Angreifer und dem Verteidiger von Informationssystemen zu überwinden, die sich in mehreren Merkmalen ausdrücken lässt:

1. Maximaler Aufbau der Pseudozufälligkeit der Entwicklung (Datenmodell, Maschinenanweisungen, Funktionen usw.) unabhängig von externen Protokollen und Interaktionsschnittstellen.
2. Übergang zur dynamischen Struktur von Schlüsselparametern sowohl in der Entwurfsphase als auch in der Phase des Funktionierens des Informationssystems.

Dies wird nicht zur Lösung aller Cybersicherheitsprobleme führen, aber es wird definitiv eine bedeutende Transformation des Marktes für Informationssicherheit bewirken.



Hier werden wir uns einigen wichtigen Veränderungen in der Branche stellen:

1. Das Ende der Ära der Viren und Antivirenprogramme. Waren Antivirenprogramme früher fast gleichbedeutend mit einem Cybersicherheitsprodukt, so ist ihr Marktanteil heute deutlich zurückgegangen. Wenn letztendlich alle Softwarefehler nur auf logischer Ebene vorliegen, ohne dass Codefehler ausgenutzt werden können, gehört das Konzept der Malware der Vergangenheit an. Dies wird das Ende einer ganzen technologischen Ära der Cybersicherheit und vielleicht einiger Anbieter sein, die ihre Geschäfte derzeit nicht strukturieren.
2. () . — , . , (AI) (ML) , , . NLP- (NLP — Natural Language Processing, ) , . . , — NLP (PhishNetd-NLP, ). , (Deepfake).
3. . , - «» .
4. , . ( , .), - (Web Application Firewalls), «» «» , ( , Darktrace).

-

IT- und Informationssicherheitsmärkte existieren zusammen und beeinflussen sich technologisch gegenseitig. Sicherheit ist ein häufiges Problem in Informationssystemen. Ein separater Cybersicherheitsmarkt existiert derzeit nur, weil die meisten Cybersicherheitstools eingeführt werden. Dieser Trend könnte sich jedoch in naher Zukunft ändern. Nur die Systeme zur Steuerung des Benutzerverhaltens im Unternehmen (DLP, Aktivitätsüberwachung, UEBA usw.) können sich am sichersten fühlen: Sie behalten wahrscheinlich ihren "separaten" Markt, während die Systeme zur Steuerung von Netzwerkangriffen, Penetrationstests, Codeanalysen usw. werden zusammen mit der Überwindung der Informationsasymmetrie des Entwurfs von Informationssystemen transformiert.



Die wichtigsten Änderungen werden im Bereich der Codierung auftreten. Auch wenn wir in den kommenden Jahren in der Entwicklung nicht auf 4GL umsteigen und es hier keine Revolution gibt, werden die Prinzipien der Diversifikation immer noch zur allgemeinen Regel, da jetzt ASLR eine solche Regel ist. Und hier gibt es nicht nur offensichtliche Vorteile, die mit einer Erhöhung der Entwicklungsgeschwindigkeit (und möglicherweise mit einer Verringerung der Qualifikationen von Entwicklern) verbunden sind, sondern auch Vorteile im Bereich der Cybersicherheit. Wir haben eine geringere Wahrscheinlichkeit, dass Schwachstellen aufgrund eines Programmiererfehlers auftreten, und können den Code zusätzlich auf einer niedrigen Ebene diversifizieren, indem wir ihm Elemente mit Pseudozufälligkeit hinzufügen. Natürlich wird dieser Übergang nicht schnell erfolgen. Das Haupthindernis für Innovationen kann sein, dass solche Mittel dem geistigen Eigentum nicht "auferlegt" werden, und daher ist dies unwahrscheinlichdass Startups und High-Tech-Unternehmen der Treiber des Fortschritts sein werden.



Die zweite wichtige Komponente ist die allgemeine Diversifizierung und der Übergang zu dynamischen Parametern von Informationssystemen. Wenn Sie beispielsweise ein lokales Netzwerk mit dynamischer Adressierung auf IPv6 mithilfe der MTD-Methode entwerfen, können Sie nicht autorisierte Hosts vom Beitritt zum Netzwerk ausschließen. Sie werden einfach wie ein Fremdkörper im Körper "zurückgewiesen". In ähnlicher Weise wird die Verwendung von MTD in anderen Prozessen eine unbefugte Änderung des normalen Betriebs erschweren. Auf diese Weise können Sie eine Art Immunität gegen unbefugte Änderungen und das Eindringen in das System erlangen.



Wie sich dies erheblich auf den IT-Markt auswirken kann:

1. , - , .
2. (open-source) open-source . «algoend»- . open-source — . , :
   
   
   • open-source ( ),
   • open-source , «algoend».
   
   
   , open-source , .
3. AI / NLP . , — , ( ) , . NLP-, — NLP .
4. . , (deception) . deception-, «» , .

Zusammengenommen kann vorausgesagt werden, dass wir uns langfristig zunehmend von Cybersicherheitsproblemen entfernen werden, die mit Fehlern im Programmcode verbunden sind, bis die Beseitigung der Informationsasymmetrie dieses Problem auf Null reduziert. Dies wird jedoch nicht alle Cybersicherheitsprobleme lösen. Sicherheit ist eine Art herausragendes Element für das Verständnis der Funktionsweise des IS und die Fähigkeit, diese Prozesse zu steuern. Je komplexer die Systeme sind, desto größer ist die Wahrscheinlichkeit logischer Fehler in ihrer Funktionsweise und der Einfluss des menschlichen Faktors.



Es gibt einen sehr klaren Weg, auf dem der Cybersicherheitsmarkt in Zukunft zwischen Human-Factor-Management-Lösungen aufgeteilt wird, während Sicherheit auf niedriger Ebene in Form von auferlegten Schutzmaßnahmen nicht mehr besteht und zu einem integralen Bestandteil von Plattform-IT-Lösungen wird.



Wie Cybersicherheit den IT-Markt verändert (Teil 2)

Wie man Cybersicherheit verändert IT-Markt (Teil 1)



Originalartikel hier veröffentlicht