Na přelomu kalendářního roku se objevuje řada hodnocení věcí minulých a predikcí budoucnosti. Co zásadního v kybernetické bezpečnosti podle vás přinesl rok 2019?

V posledních měsících nelze přehlédnout úbytek výrazných útoků za použití ransomwaru, jakkoliv byl konec roku v tomto specifický. Na druhou stranu − minulostí jsou rozsáhlé spamové kampaně zasahující zařízení po celém světě. Útočníkům se pravděpodobně nevyplácelo takové úsilí vynakládat, a tak se přeorientovali na použití jednoduššího škodlivého kódu.

Došlo také k výraznému ústupu škodlivého kódu zaměřeného na virtuální měny. Ať už se bavíme o malwaru, který skrytě virtuální měny těží, nebo rovnou krade.

Které významné trendy tedy sílí na straně bezpečnostních hrozeb?

Po celém světě se setkáváme s útoky na služby "vystavené" do internetu, nejčastěji tzv. RDP neboli Remote Desktop Protocol. Při těchto útocích již nejde jen o to, strojově nakazit cílové zařízení oběti. Pokud se kyberzločinci do sítě dostanou, snaží se svůj úspěšně provedený útok maximálně monetizovat. Zjistí, koho přesně napadli, síť oběti zmapují a pokusí se nalézt a odcizit cenná data. V poslední fázi přichází na řadu ransomware. Zašifrování veškerých dat včetně záloh a požadování výkupného.

Václav Zubr (31)

Věnuje se oblasti kybernetické bezpečnosti. Do společnosti Eset software nastoupil po studiu informačních technologií. Sedmým rokem zastává pozici technického specialisty a pre-sales engineera, ve které objasňuje schopnosti dnešního malwaru a napomáhá zajistit bezpečnost IT infrastruktury zákazníků. Cyber security technologie jsou spolu s fotbalem jeho velkým koníčkem.

Jakými nejčastějšími způsoby se útočníkům daří do sítě dostat?

Nejčastějším vektorem útoku je stále e-mail. V současné době se lze snadno dostat k obrovským databázím adres a útočníkům pak stačí jen s minimálním úsilím rozeslat svůj výtvor. Ideálně v co nejkratší době maximálnímu množství lidí. Schválně jsem použil slovo výtvor. Často se lze totiž setkat i s velmi jednoduchými, lehce cílenými e-mailovými podvody typu "ahoj, zašli částku xxx na účet naší bankovní pobočky xxx, spěchá, díky", ke kterému útočníci přidají podpis vysoce postaveného manažera vytipované společnosti.

S tím, jak společnosti stále více využívají možností cloudu, jsou jasným trendem poslední doby phishingové e-maily, které vedou na podvodné stránky s cílem vylákat z uživatelů přístupové údaje do cloudových služeb. Typicky Office 365.

Jak si co do množství útočných kampaní stojí Česká republika například ve srovnání s vyspělou Evropou?

Většina zmíněných útoků zatím není nijak regionálně odlišena, útočníci používají anglický jazyk. V tomto mají obyvatelé České republiky vládnoucí češtinou lehkou výhodu − tyto kampaně zde nejsou tak účinné.

Těchto a dalších specifik naší země si však všimli různé kyberkriminální skupiny. Českou republiku si proto občas vybírají jako takový testovací polygon. Nejdříve si nový typ útoku vyzkouší na našem velmi uzavřeném homogenním trhu, který je mimo hlavní zájem západních bezpečnostních společností, a následně je po odladění těchto škodlivých kódů spuštěna globální kampaň celosvětového rozměru.

Jinak obecně nezřídka platí, že jsou nové typy podvodů vedeny nejdříve na bohatých západních trzích a až s nějakým zpožděním dochází k přenesení pole působnosti na další země, jako je třeba Česká republika.

Může subjektu, který již čelí nějakému typu vyděračského útoku, firma vašeho typu ještě pomoci?

Bezpečnostním incidentům se snažíme vždy ideálně předcházet, pro naše zákazníky pořádáme zdarma odborné semináře, na vyžádání kontrolujeme správnost nastavení našich bezpečnostních produktů přímo v síti klientů a provádíme i bezpečnostní audity, penetrační testy nebo školení zaměstnanců. Takto lze slabá místa v zabezpečení odhalit a vzniku různých problémů dotýkajících se chodu společnosti účinně předcházet.

Pokud již k nějakému incidentu dojde, vždy jsme schopni pomoci s technickou analýzou toho, co se stalo. Ruku v ruce poté zpravidla přichází nápravná opatření a množství doporučení, jak síť lépe zabezpečit.

V případě útoku ransomwarem jsme někdy schopni zašifrovaná data i dešifrovat. Ovšem detailní analýza šifrovacího kódu si vždy vyžádá nějaký čas. Zasažené společnosti proto většinou na naši analýzu a případné vydání dešifrovacího nástroje nečekají. Společnost Eset se zapojila do projektu No More Ransom, což je projekt Evropského centra pro boj proti kybernetické kriminalitě, který napadeným firmám nabízí dešifrovací klíče k některým ransomwarům zdarma.

Na jaké bezpečnostní technologie by se podle vás měly nyní organizace zaměřit?

Firmy si jsou stále více vědomy problémů spojených se slabými nebo odcizenými hesly, které jejich uživatelé používají. Technicky není možné donutit zaměstnance, aby volili unikátní hesla pro firemní účty. Společnosti proto nasazují technologie s dvoufaktorovým ověřováním, čímž dochází k minimalizaci těchto rizik.

Další trend na poli bezpečnostních opatření představuje cloudový sandboxing. Tato technologie umožňuje okamžitou analýzu hrozeb v zabezpečeném sandboxu, kde výsledkem je buď proaktivní blokace podezřelého vzorku, dokud nejsou známy výsledky analýzy, nebo neutralizace malwaru, a to v řádu jednotek minut.

Ovlivnila tuzemskou situaci výrazněji nová vyhláška o kybernetické bezpečnosti? Ve kterých oblastech kybernetické bezpečnosti mají české organizace obvykle největší nedostatky?

O kybernetické bezpečnosti se minimálně začalo více mluvit. Dokonce i administrátoři ve státní správě si jsou velmi dobře vědomi toho, co je třeba udělat pro zvýšení kybernetické bezpečnosti. Úskalím je zde nedostatek finančních prostředků. Ani subjekty, které spadající do tzv. kritické informační infrastruktury, totiž často nemají dostatek finančních zdrojů pro naplnění zákona o kybernetické bezpečnosti.

Mnoho vašich zákazníků je ze segmentu SMB. Na co by se obecně dle vaší zkušenosti měly zaměřit malé a střední podniky?

Podnikům střední velikosti bych doporučil provést alespoň základní analýzu rizik kvůli definování klíčových aktiv. Takto získané znalosti následně pomáhají při tvorbě bezpečnostní strategie, která ovlivňuje například přizpůsobení sítě, volbu správných bezpečnostních opatření a pořizování důležitých technologií.

Mezi základními doporučeními by nemělo chybět pravidelné patchování, volba kvalitního antimalwarového produktu, využívání VPN a vyvarování se dalších nedostatků, jako je nulová segmentace sítě, nedostatečná politika hesel nebo osvěta bezpečné práce uživatelů. Pokud by se v organizacích prováděl bezpečnostní monitoring a podařilo se zmíněné základní nedostatky odstranit, došlo by k výraznému zmírnění následků bezpečnostních incidentů.

Firmy tohoto segmentu mají ale většinou omezené finance. Jak mohou SMB společnosti s minimem zdrojů zvýšit úroveň svého kybernetického zabezpečení?

Velkou část důležitých bezpečnostních opatření lze provést s minimem finančních prostředků. Pokud nebereme v úvahu náročnost na lidské zdroje stoupající s velikostí organizace.

Zvýšení kybernetického zabezpečení lze dosáhnout relativně snadno odstraněním nedostatků zmíněných v předchozí odpovědi a přidat pár dalších, velmi účinných opatření. Mezi takové například patří restrikce na úrovni firewallů nebo využívání servisních účtů pro administrátory. Dále lze doporučit kvalitní nastavení GPO politik (group policy), omezení maker nebo třeba ověření správného nastavení síťových prvků.

Na co se podle vás zaměří útočníci v letošním roce?

Před čím bych varoval, jsou případné útoky uskutečněné skrze outsourcingové firmy, společnosti poskytující nějaké externí služby. Ty mají nezřídka téměř nelimitovaný přístup do firemních sítí svých zákazníků nebo na ně zákazník spoléhá, protože u nich běží důležitá část jejich systému. Pokud se podaří takovou společnost napadnout, existuje vysoké riziko ohrožení i pro veškeré její zákazníky.

Přestože se s tímto trendem setkáváme převážně v zámoří, je jen otázkou času, kdy zasáhne i Českou republiku.

Článek byl publikován v komerční příloze ICT revue.

Související