Bagaimana keamanan siber mengubah pasar TI (bagian 3)

Terlepas dari pertumbuhan anggaran tahunan dan keragaman alat keamanan informasi, setiap tahun kami hanya menerima beberapa peningkatan dalam statistik jumlah insiden, peningkatan volume kebocoran dan email phishing, dll. Mengapa ini terjadi? Ada kemungkinan bahwa peningkatan kompleksitas dan ukuran sistem informasi secara negatif mempengaruhi keefektifan kendali keamanan “berlapis”. Pada bagian ketiga dari rangkaian artikel, kita akan berbicara tentang keamanan sebagai bagian integral dari arsitektur sistem perangkat lunak dan jaringan itu sendiri dan tentang asimetri informasi, yang di masa depan dapat mengubah pendekatan menjadi perlindungan "teknis".

pengantar

Pendekatan klasik terhadap keamanan informasi, yang dikembangkan kembali pada tahun-tahun awal Internet, tercermin dalam model berbasis perimeter. Dengan pendekatan ini, perusahaan memiliki segmen internal yang aman tempat workstation tepercaya berada, dan segmen eksternal dengan sumber daya yang tidak tepercaya, yang aksesnya dikendalikan. Firewall ditempatkan di antara segmen internal dan eksternal, yang menentukan aturan untuk bekerja dengan dunia luar. Pendekatan ini dengan cepat terbukti tidak efektif. Peningkatan jumlah workstation di jaringan lokal menyebabkan fakta bahwa hampir tidak mungkin untuk mengontrol setiap host. Upaya untuk memantau tidak hanya perimeter, tetapi juga perangkat internal telah mengarah pada pendekatan kepercayaan nol, ketika setiap entitas harus diidentifikasi secara unik terlepas dari titik koneksinya.Kesulitan dengan penerapan luas dari pendekatan kepercayaan nol menyebabkan pengembangan lebih lanjut dari konsep ini, yang dapat disebut sebagai "kepercayaan digital". Dalam kasus "kepercayaan digital", setiap perangkat atau setiap pengguna sistem memiliki pola perilaku tertentu yang dapat dianggap "normal". Misalnya, sekumpulan perangkat lunak tertentu diinstal pada ponsel cerdas atau laptop, yang dapat dikenali dengan menghasilkan lalu lintas tertentu di jaringan. Program dan situs yang dibuka pengguna juga menentukan pola perilaku tertentu. Penyimpangan tajam dari pola-pola ini dapat dipandang sebagai insiden keamanan yang diakibatkan oleh spoofing pengguna / perangkat atau malware.yang bisa disebut sebagai "kepercayaan digital". Dalam kasus "kepercayaan digital", setiap perangkat atau setiap pengguna sistem memiliki pola perilaku tertentu yang dapat dianggap "normal". Misalnya, sekumpulan perangkat lunak tertentu diinstal pada ponsel cerdas atau laptop, yang dapat dikenali dengan menghasilkan lalu lintas tertentu di jaringan. Program dan situs yang dibuka pengguna juga menentukan pola perilaku tertentu. Penyimpangan tajam dari pola-pola ini dapat dipandang sebagai insiden keamanan yang diakibatkan oleh spoofing pengguna / perangkat atau malware.yang bisa disebut sebagai "kepercayaan digital". Dalam kasus "kepercayaan digital", setiap perangkat atau setiap pengguna sistem memiliki pola perilaku tertentu yang dapat dianggap "normal". Misalnya, sekumpulan perangkat lunak tertentu diinstal pada ponsel cerdas atau laptop, yang dapat dikenali dengan menghasilkan lalu lintas tertentu di jaringan. Program dan situs yang dibuka pengguna juga menentukan pola perilaku tertentu. Penyimpangan tajam dari pola-pola ini dapat dipandang sebagai insiden keamanan yang diakibatkan oleh spoofing pengguna / perangkat atau malware.yang dapat dikenali oleh generasi lalu lintas tertentu di jaringan. Program dan situs yang dibuka pengguna juga menentukan pola perilaku tertentu. Penyimpangan tajam dari pola-pola ini dapat dipandang sebagai insiden keamanan yang diakibatkan oleh spoofing pengguna / perangkat atau malware.yang dapat dikenali oleh generasi lalu lintas tertentu di jaringan. Program dan situs yang dibuka pengguna juga menentukan pola perilaku tertentu. Penyimpangan tajam dari pola-pola ini dapat dipandang sebagai insiden keamanan yang diakibatkan oleh spoofing pengguna / perangkat atau malware.



Evolusi pendekatan keamanan jaringan ini mencerminkan fakta umum dari perubahan metode perlindungan karena peningkatan kompleksitas sistem informasi yang tak terhindarkan. Namun, kesenjangan yang semakin melebar antara pengeluaran keamanan informasi dan insiden menunjukkan bahwa paradigma keamanan siber harus berubah. Peneliti di seluruh dunia semakin cenderung pada gagasan bahwa pergeseran paradigma seperti itu akan terjadi di bidang asimetri informasi yang ada antara penyerang dan pembela sistem informasi. Asimetri mencerminkan fakta bahwa waktu bagi penyerang untuk mempelajari sistem informasi melebihi waktu untuk mendesainnya, dan juga bahwa penyerang perlu menemukan dan menerapkan kerentanan tunggal, sementara saat mendesain perlu menemukan semuanya.

Menuju menghilangkan asimetri informasi

Karena setiap serangan terhadap sistem informasi selalu didahului oleh proses pengintaian, gagasan untuk membuat proses ini sesulit mungkin bagi penyerang tampak jelas. Anda tentu saja dapat memblokir akses ke proses dan perangkat tertentu dan dengan demikian melindunginya dari penelitian eksternal, tetapi praktik telah menunjukkan bahwa pendekatan ini tidak selalu efektif. Ide untuk terus-menerus mengubah parameter sistem informasi semakin populer. Akibatnya, informasi yang diperoleh penyerang menjadi tidak relevan di saat berikutnya. Pendekatan ini disebut Moving Target Defense (MTD - pertahanan berdasarkan target bergerak).



Pertumbuhan minat pada topik ini patut diperhatikan, yang dapat ditelusuri ke jumlah publikasi di database terkemuka tentang topik MTD. Terobosan utama terjadi setelah 2011, ketika di Amerika Serikat topik MTD dimasukkan ke dalam sejumlah bidang prioritas untuk pengembangan teknologi keamanan negara . Setelah itu, sejumlah besar dana hibah dengan topik MTD dialokasikan oleh berbagai dana di AS (DARPA) dan negara lain (Uni Eropa, India, China, dll.). Jika pada tahun 2011 terdapat 50 publikasi tentang MTD, maka pada tahun 2017 lebih dari 500 publikasi dalam setahun. Namun, mereka tidak membuat terobosan teknologi yang signifikan di tahun-tahun awal. Metode MTD telah muncul dan telah menjadi standar industri de facto, seperti teknologi ASLR, memungkinkan Anda mencampur secara acak bagian alamat yang digunakan oleh aplikasi dalam RAM. ASLR sekarang digunakan di semua sistem operasi.



Tidak banyak produk keamanan tumpang tindih yang mampu mencapai pasar dan mulai dijual. Di sini Anda dapat memilih Morphisec , yang diinstal pada titik akhir dan dapat bertindak sebagai lapisan untuk area memori yang digunakan. Lampiran CryptoMove memungkinkan Anda mengubah enkripsi rahasia dan mendistribusikannya ke beberapa situs menggunakan MTD.



Solusi MTD untuk mengaburkan parameter dan alamat jaringan lokal semakin kurang populer. Sebagian besar perkembangan ini tetap dalam studi teoritis dan tidak tercermin dalam produk vendor keamanan informasi besar. Terlepas dari kenyataan bahwa teknologi MTD telah menjadi standar de facto untuk bekerja dengan memori, perlindungan penuh dari sistem informasi menurut metodologi MTD tidak terjadi. Alasan kekalahan teori yang begitu indah dengan keefektifan yang terbukti secara obyektif mungkin tidak ditemukan dalam ketidakefektifannya, tetapi dalam kesulitan mengadaptasi metode MTD ke sistem nyata. Sistem tidak bisa sepenuhnya unik. Beberapa komponen aplikasi harus memahami yang lain, protokol komunikasi harus universal, dan struktur perangkat lunak harus dapat dikenali oleh konsumen.Sepanjang sejarah perkembangan TI, mereka mengikuti jalur standardisasi dan penyatuan proses maksimum, dan jalur ini membawa mereka ke masalah keamanan siber yang kita miliki sekarang. Kesimpulan utama dari masalah asimetri informasi adalah perlunya mengubah paradigma kesatuan struktur fungsional sistem informasi dan beralih ke prinsip pengacakan maksimum parameternya. Akibatnya, sistem itu sendiri, karena keunikannya, akan memperoleh "kekebalan" terhadap serangan dan akan memungkinkan untuk menjembatani kesenjangan dalam asimetri informasi.Akibatnya, sistem itu sendiri, karena keunikannya, akan memperoleh "kekebalan" terhadap serangan dan akan memungkinkan untuk menjembatani kesenjangan dalam asimetri informasi.Akibatnya, sistem itu sendiri, karena keunikannya, akan memperoleh "kekebalan" terhadap serangan dan akan memungkinkan untuk menjembatani kesenjangan dalam asimetri informasi.



Sebagian besar metode MTD mengalami kesulitan untuk membedakannya sebagai solusi produk yang spesifik. Misalnya, banyak perkembangan yang berfokus pada pengacakan untuk melindungi dari injeksi kode. Metode yang paling sederhana, tetapi pada saat yang sama efektif adalah pengacakan perintah kode yang ditafsirkan. Misalnya, nomor acak ditambahkan ke perintah SQL klasik, yang tanpanya penafsir tidak akan memahaminya sebagai perintah. Katakanlah perintah INSERT diartikan sebagai perintah INSERT hanya dengan kode unik yang dikenal oleh interpreter: INSERT853491. Dalam hal ini, injeksi SQL tidak mungkin dilakukan, meskipun terdapat kerentanan nyata karena kurangnya validasi parameter. Meskipun metode ini efektif, namun jelas tidak dapat diimplementasikan dengan fitur keamanan "overlay", tetapi harus menjadi bagian dari logika server database itu sendiri.Pendekatan penting lainnya untuk pengacakan sistem adalah diversifikasi kode.

Diversifikasi kode program

Diversifikasi kode menyiratkan bahwa kita dapat mengkloning program secara fungsional, sambil memodifikasi kode program. Ada banyak sekali penelitian tentang topik ini, tetapi sebagian besar pekerjaan ini tetap pada tingkat R&D, tanpa berubah menjadi solusi yang menarik secara komersial. Sebagai aturan, ini adalah program yang memungkinkan Anda untuk "meningkatkan" jumlah sirkuit logika dengan fungsi tambahan nol terbatas atau untuk melakukan penggantian template bagian tertentu dari kode. Namun pada akhirnya, program yang terdiversifikasi seringkali memiliki kerentanan yang sama seperti program aslinya.



Masalah utama dengan pendekatan ini adalah bahwa kode yang sudah tertulis diumpankan ke input pengubah. Diversifier tidak dapat "memahami" pentingnya konstruksi perangkat lunak tertentu, oleh karena itu, ia tidak dapat benar-benar mendiversifikasinya, tetapi hanya mengganti satu bagian kode dalam template dengan yang lain atau menghasilkan kode "tidak berguna" tambahan.



Untuk memecahkan masalah diversifikasi secara radikal, perlu untuk mencapai pembuatan kode aplikasi secara otomatis. Jika kita dapat menghilangkan kerja programmer untuk menulis perintah tertentu dan konstruksi algoritmik, maka kita akan menyelesaikan masalah diversifikasi. Pembuatan kode otomatis mengasumsikan bahwa Anda dapat membuat program di tingkat yang lebih tinggi, misalnya, dengan daftar persyaratan fungsional atau hubungan grafis - dan kode, pada gilirannya, akan dibuat secara otomatis untuk konstruksi ini.



Ada sejumlah pendekatan untuk pembuatan kode yang telah mendapatkan popularitas selama beberapa tahun terakhir.

• Generative program. (metaprogramming). , , , , . . (run-time) (compile-time) .
• Source code generation (SCG). SCG , UML-. — , . . SCG Scaffolding — -, .
• Low-code development platform (LCDP). ; «», . 4- (fourth-generation programming language, 4GL), — C++, Python, Ruby . ( , 4GL 3GL). AI- pada pembuatan kode otomatis, tetapi kebanyakan ditujukan untuk menyelesaikan tugas yang sangat terspesialisasi, seperti memperbaiki kesalahan secara otomatis menggunakan pelacak bug atau menemukan dan menghilangkan kerentanan yang diketahui dalam kode.

Sebuah pertanyaan logis mungkin muncul: apa hubungannya keamanan dengan itu? Revolusi dalam teknologi pembuatan kode pada akhirnya akan mengarah pada revolusi dalam keamanan siber. Jika Anda membuka database CVE, Anda dapat menemukan bahwa lebih dari 90% kerentanan bukanlah kesalahan logis dalam pengembangan perangkat lunak, tetapi penerapan spesifiknya dalam kode program (masalah kontroversial adalah apakah kerentanan perangkat keras dalam CVE juga disertakan di sini). Jika kita memindahkan pengembangan ke level abstrak yang lebih tinggi, maka ini dapat diekspresikan dalam dua konsekuensi:

1. , «». , .
2. . . , . . , , , , .

Dengan demikian, "perangkat lunak" yang dihasilkan, karena keunikannya dan tidak diketahui penyerang, menghilangkan asimetri informasi yang sebelumnya. Dan "kaburnya" parameter fungsionalitas dan perangkat lunak ini menciptakan penghalang yang tidak dapat diatasi bagi penyerang, bahkan dengan mempertimbangkan adanya kerentanan dalam sistem. Kerentanan akibat kurangnya asimetri informasi tidak akan pernah ditemukan. > Teknologi deepfake sebagai ancaman terhadap keamanan informasi

Realitas baru sistem informasi

Seperti yang Anda lihat, kami mengamati kecenderungan untuk mengatasi asimetri informasi antara penyerang dan pembela sistem informasi, yang dapat diekspresikan dalam beberapa fitur:

1. Peningkatan maksimum pengembangan pseudo-randomness (model data, instruksi mesin, fungsi, dll.) Terlepas dari protokol eksternal dan antarmuka interaksi.
2. Transisi ke struktur dinamis dari parameter kunci baik pada tahap desain maupun pada tahap fungsi sistem informasi.

Ini tidak akan mengarah pada solusi dari semua masalah keamanan siber, tetapi pasti akan membuat transformasi signifikan dari pasar keamanan informasi.



Di sini kita akan menghadapi beberapa perubahan utama dalam industri:

1. Akhir era virus dan antivirus. Jika antivirus dulunya hampir identik dengan produk keamanan siber, kini pangsa pasarnya menurun secara signifikan. Jika, pada akhirnya, semua kekurangan perangkat lunak hanya ada di tingkat logis, tanpa kemampuan untuk mengeksploitasi kesalahan kode, maka konsep malware akan menjadi sesuatu di masa lalu. Ini akan menjadi akhir dari seluruh era teknologi keamanan siber dan mungkin beberapa vendor yang tidak sedang menyusun bisnisnya saat ini.
2. () . — , . , (AI) (ML) , , . NLP- (NLP — Natural Language Processing, ) , . . , — NLP (PhishNetd-NLP, ). , (Deepfake).
3. . , - «» .
4. , . ( , .), - (Web Application Firewalls), «» «» , ( , Darktrace).

-

Pasar keamanan informasi dan TI ada dalam hubungannya, secara teknologi saling mempengaruhi. Keamanan adalah masalah umum dalam sistem informasi. Pasar keamanan siber yang terpisah ada sekarang hanya karena sebagian besar alat keamanan siber diterapkan, tetapi tren ini dapat berubah dalam waktu dekat. Hanya sistem untuk mengontrol perilaku pengguna di perusahaan (DLP, pemantauan aktivitas, UEBA, dll.) Yang dapat merasa paling percaya diri: mereka cenderung mempertahankan pasar "terpisah" mereka, sementara sistem untuk mengontrol serangan jaringan, pengujian penetrasi, analisis kode, dll. ditransformasikan bersama dengan mengatasi asimetri informasi dari desain sistem informasi.



Perubahan paling signifikan akan terjadi di bidang pengkodean. Kalaupun di tahun-tahun mendatang kita tidak beralih ke 4GL dalam pengembangan dan tidak ada revolusi di sini, prinsip diversifikasi akan tetap menjadi aturan umum, karena sekarang ASLR sudah jadi aturan seperti itu. Dan di sini tidak hanya ada bonus nyata yang terkait dengan peningkatan kecepatan pengembangan (dan mungkin dengan penurunan kualifikasi pengembang), tetapi juga keuntungan di bidang keamanan siber. Kami mendapatkan kemungkinan kerentanan yang lebih rendah untuk muncul sebagai akibat dari kesalahan programmer dan juga dapat mendiversifikasi kode pada tingkat rendah dengan menambahkan elemen keacakan semu ke dalamnya. Tentu saja peralihan ini tidak akan terjadi dengan cepat. Hambatan utama inovasi mungkin adalah bahwa dana semacam itu tidak "dibebankan" pada IC, dan oleh karena itu kecil kemungkinannyabahwa startup dan bisnis berteknologi tinggi akan menjadi pendorong kemajuan.



Komponen penting kedua adalah diversifikasi umum dan transisi ke parameter dinamis sistem informasi. Jika, misalnya, Anda mendesain jaringan area lokal dengan pengalamatan dinamis pada IPv6 menggunakan metodologi MTD, ini memungkinkan Anda untuk mengecualikan host yang tidak sah agar tidak bergabung ke jaringan. Mereka hanya akan "ditolak" seperti benda asing di dalam tubuh. Demikian pula, menggunakan MTD dalam proses lain akan menyulitkan perubahan tidak sah ke operasi normal. Ini memungkinkan Anda memperoleh semacam kekebalan dari modifikasi dan penetrasi yang tidak sah ke dalam sistem.



Bagaimana hal ini dapat mempengaruhi pasar TI secara signifikan:

1. , - , .
2. (open-source) open-source . «algoend»- . open-source — . , :
   
   
   • open-source ( ),
   • open-source , «algoend».
   
   
   , open-source , .
3. AI / NLP . , — , ( ) , . NLP-, — NLP .
4. . , (deception) . deception-, «» , .

Secara keseluruhan, dapat diprediksi bahwa dalam jangka panjang kita akan semakin menjauh dari masalah keamanan siber yang terkait dengan kesalahan kode program hingga penghapusan asimetri informasi mengurangi masalah ini menjadi nol. Tapi ini tidak akan menyelesaikan semua masalah keamanan siber. Keamanan adalah sejenis elemen keunggulan dalam memahami proses berfungsinya IS dan kemampuan untuk mengontrol proses ini. Semakin kompleks sistemnya, semakin besar kemungkinan adanya kesalahan logika dalam fungsinya dan pengaruh faktor manusia.



Ada lintasan yang sangat jelas di mana pasar keamanan siber di masa depan akan terbagi antara solusi manajemen faktor manusia, sementara keamanan tingkat rendah tidak akan ada lagi dalam bentuk perlindungan yang dipaksakan dan akan berubah menjadi bagian integral dari solusi TI platform.



Saat keamanan

siber mengubah pasar TI (Bagian 2) Bagaimana mengubah keamanan siber pasar TI (Bagian 1)



Artikel asli diterbitkan di sini