Hlavní navigace

Michal Pěchouček: Díky Ciscu se výsledky našeho výzkumu dostanou k milionům lidí

14. 3. 2013
Doba čtení: 6 minut

Sdílet

 Autor: Marek Janouš
Proč Cisco koupilo českou firmu Cognitive Security? Patrně proto, že do několika let chce mít inteligentní vyhledávání skrytých útoků jako běžnou součást svých síťových produktů.

Když minulou středu představovalo Cisco v Praze svou výroční bezpečnostní zprávu, přišel také Michal Pěchouček, spoluzakladatel Cognitive Security (COSE), české bezpečnostní firmy, jejíž převzetí Cisco ohlásilo letos 29. lednaformálně uzavřelo 25. února.

Michal Pěchouček

Jaká je budoucnost Cognitive Security? Už v lednu Cisco uvedlo, že celý tým zůstane v Praze, ale zároveň se stane součástí SIO (Security Intelligence Operations) v rámci organizace Security Technology Group, kterou vede Chris Young. Nyní můžeme upřesnit, že tým COSE se zapojí do divize Security and Cloud Services, že centrum v Praze povede Michal Pěchouček a že se centrum rozšíří a přistěhují se někteří bezpečnostní odborníci z Ameriky. Zástupci Cisca jen nemohli prozradit, o kolik lidí se nynější 30členný tým rozroste. Zapojování týmu do struktur Cisca je pak úkolem právě těchto týdnů.

Martin Rehák se přitom stává třetím z hlavních inženýrů (principal engineers) celé Security Technology Group, vedle Lee JoneseAllana Thompsona. Bude v Ciscu působit jako jeden z hlavních architektů bezpečnostních řešení.

Čím se COSE vlastně zabývá?

Odborný žargon tomu říká APT — advanced persistent threats, tedy pokročilé trvající hrozby. Vznikají zpravidla na zakázku a využívají dosud neznámých zranitelností, proti kterým proto nepůsobí běžná ochrana. V některých zemích, jako například v Číně nebo v Rusku, je zakázková tvorba malwaru „byznys jako každý jiný“, vysvětluje Michal Pěchouček. Často se na něm podílejí odborníci vyškolení původně vládou, kteří prostě jen „přešli do sféry komerční“.

APT je sice hrozbou jak pro vlády, tak pro obchodní společnosti, jen vlády se zpravidla umějí lépe bránit. Přesun zájmu útočníků do podnikové oblasti je pak trendem především posledních let.

Zakázkový malware se pokusí co možná nejméně nápadně proniknout do předmětné sítě. Vhodným nosičem může být klidně napadený přenosný počítač nebo mobilní zařízení zaměstnance. Také uvnitř sítě se malware snaží chovat nenápadně. Mapuje síť, zjišťuje, co je kde uloženo, svých chováním se však snaží nevybočit z běžného síťového provozu a neupozornit na sebe. Musí však hledat skulinky ven, protože se občas potřebuje spojit se svým řídícím centrem a mít kudy do něj doručit ukradená data, o která jde obvykle především.

COSE vyvíjí technologie na rozpoznávání anomálií v síťovém provozu. Snaží se statisticky modelovat, jak vypadá síťový provoz běžný, a podle toho odhaluje nepatřičnosti v tom skutečném — něco nelogického, co nedává smysl. Může to být příznak průniku, který se již stal, ale i teprve pokusu o průnik.

Jak rozpoznat, že je nenormální něco, co se děje už řadu měsíců? „V tom je právě ta věda,“ říká Michal Pěchouček. „Musíme vymyslet správné statistické popisy toho, jak se má chovat systém, když v něm malware není, a potom měřit odchylky. Naše algoritmy fungují na principu strojového učení. Kdybychom naše klasifikátory naučili, že stahování privátních dat do nějakého zahraničního centra je normální provoz, pak by to považovaly za normální provoz, ale my je cvičíme právě tak, aby hrozby rozpoznat dokázaly.“

Jak často se ve firemní síti něco najde?

Michal Pěchouček

Michal Pěchouček

„Vždy jsme našli něco, o čem klient nevěděl a co ho zajímalo,“ tvrdí Michal Pěchouček. „Není to tak těžké, v dnešní době je skoro každý nakažen nějakým malwarem. V loňské bezpečnostní zprávě Cisca se dokonce tvrdilo, že pokud jste žádný APT nenašli, neznamená to, že je v síti nemáte, jen jste se nedívali pořádně.“

„Dělali jsme audit pro jednoho klienta,“ vypráví, „a říkali jsme jim, že je dobře, že si pravidelně jednou týdně všechna svá finanční data zálohují na pobočce v Turecku, a oni na to, že žádnou pobočku v Turecku nemají. Nebo jsme pracovali pro jednu mediální firmu, a ta zas posílala své ceníky někam do Pákistánu.“

„V minulosti se stalo, že v jednom výběrovém řízení na ropné pole v Nigeru zvítězila čínská společnost před společnostmi Conoco a Shell nabídkou jen o trochu nižší. Pak se zpětně zjistilo, že o několik měsíců dříve došlo k útoku APT a že podklady pro nabídku odešly z těchto společností někam do Číny.“

O APT se však píše málokdy, protože je napadené společnosti pokud možno tají, pokud je vůbec objeví.

UX DAy - tip 2

Technologie vyvinuté COSE se díky Ciscu dostanou k milionům lidí

Proč se Michal Pěchouček po prodeji firmy Ciscu nesbalí a neodjede někam do tropického ráje? „Celý tým Cognitive Security je nadšený akvizicí Ciscem především proto, že teď se určitě podaří naši technologii dotáhnout až na cloudy Cisca a na koncová zařízení. Díky Ciscu se to, na čem jsme pracovali poslední čtyři roky, zrealizuje ve velkém měřítku. Každý u toho chce být, i já u toho chci být. Tahle fáze bude neméně zajímavá než zakládání startupu. Nyní budeme vytvářet produkt pro miliony uživatelů na světě.“

Chris Young už v lednu napsal, že technologii COSE chce Cisco zapracovat do stávajících bezpečnostních nástrojů a produktů. Za několik let tak může být inteligentní rozpoznávání hrozeb součástí běžné síťové infrastruktury. „Letos to však ještě nebude,“ dodává k tomu Michal Pěchouček. Doufá, že útočníky se podaří větším rozšířením inteligentní technologie vyřadit ze hry. V Cognitive Security se někdy cítili frustrovaní tím, že byli jen „malá armáda“, že dosah jejich boje s kyberzločinem byl omezený. Nyní se rádi stávají součástí „armády“ mnohem větší, díky čemuž sami mohou zůstat specialisty na APT. Ostatně usoudili, že trh rozpoznávání APT nevyrostl dosud natolik, aby zaplatil další rozvoj specializované firmy samostatné.

Příběh Cognitive Security

Shrnuje Michal Pěchouček:

„Dělali jsme na ČVUT skvělý výzkum financovaný americkou armádou. ČVUT bylo příjemcem amerických výzkumných projektů, ale pracovali jsme vždy v takzvané ‚public domain‘ — v doméně informací veřejných. Naše práce byla vždy publikována v odborných časopisech a nebyli jsme pod utajením.

Martin Rehák byl můj doktorand na katedře kybernetiky, já byl jeho školitel specialista. Jako výzkumníci jsme spolu řešili bezpečnost už dlouhou dobu, zaměřovali jsme se na pochopení těch složitějších internetových hrozeb, které mohou mít velký dopad.

Oslovili nás lidé z agentury In‑Q‑Tel, což je venture‑kapitálová odnož CIA. Obrátili se na nás, jestli neplánujeme udělat startup, a my jsme plánovali, a tak jsme ho udělali. Agentura In‑Q‑Tel sice do COSE neinvestovala žádný kapitál, ale byla nám, stejně jako sponzoři našeho výzkumu, cennými rádci při zakládání společnosti a jejím rozvoji.

S rozvojem COSE pomohla česká softwarová společnost CertiCon, která vložila do firmy první andělský kapitál. Od ČVUT jsme zakoupili potřebná licenční práva ke komercializaci výsledků své výzkumné práce. Zároveň s rozvíjením firmy jsme nadále pokračovali ve výzkumu na univerzitě.

V roce 2010 jsme byli s CzechAcceleratorem organizovaným agenturou CzechInvest v Silicon Valley a začali spolupracovat s Ciscem.

V roce 2011 jsme získali venture‑kapitálovou investici od Credo Ventures, díky které jsme dokázali firmu zvětšit, zprofesionalizovat a svá řešení začít prodávat. Technologii jsme rozvíjeli tak, aby se dala uplatnit ve velkých podnicích, a letos se nám podařilo firmu prodat Ciscu.

Martin Rehák má nadále úvazek na ČVUT a já také. Plánujeme si jej udržet i v budoucnu, jelikož si myslíme, že je důležité, abychom znalosti nabyté v Ciscu mohli přinášet na univerzitu a inspirovat studenty a ovlivňovat vzdělávání v oblasti bezpečnosti.“

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).