Sophos: Ochrana proti sofistikovaným kybernetickým útokům vyžaduje vícevrstvou obranu
Podvodníci proměnili počítačovou kriminalitu v sofistikovaný a nebezpečný tanec.
Využívají umělou inteligenci (AI) k vylepšování útoků prostřednictvím sociálního inženýrství a k napadání svých cílů mají k dispozici malware poskytovaný formou služby (Malware-as-a-Service, MaaS).
Vzhledem k masivnímu přílivu sofistikovaných kybernetických hrozeb je pro organizace velmi důležité investovat do vícevrstvé bezpečnostní ochrany, přičemž nedílnou součástí monitorování, vyšetřování a reakce na hrozby v reálném čase jsou řízené bezpečnostní služby, jako je řízená detekce hrozeb a reakce na ně (MDR). Bez silného a komplexního základu kybernetické bezpečnosti ale samotné řízené služby tyto hrozby účinně zmírnit nemohou.
Skutečnost je taková, že žádný jednotlivý přístup vás nemůže ochránit před všemi typy útoků. Pro zajištění komplexní obrany proti novým hrozbám musí organizace upřednostnit proaktivní opatření, která mohou zastavit útoky ještě před jejich zahájením, a to zejména silnou ochranu koncových bodů.
Proč zavést vícevrstvý přístup ke kybernetické bezpečnosti?
Ochrana koncových bodů zahrnuje zabezpečení různých koncových zařízení v síti organizace proti potenciálním kybernetickým hrozbám. Zabezpečení koncových bodů je klíčové, protože jejich slabá ochrana usnadňuje protivníkům získání neoprávněného přístupu přes tyto digitální vstupy a provádění jejich útoků.
Vzhledem k tomu, že protivníci stále zdokonalují své útočné techniky, je nutné, aby vícevrstvá ochrana pokrývala všechny fáze útočného řetězce. Pro ilustraci významu tohoto přístupu uveďme příklad z praxe. V loňském roce byli naši bezpečnostní specialisté na řešení incidentů přivoláni k nápravě kybernetického bezpečnostního incidentu a našli dva soubory, které na napadených počítačích zůstaly. Během dalšího vyšetřování identifikovali soubory jako kryptograficky podepsaný ovladač systému Windows a spustitelnou aplikaci (tzv. loader) vytvořenou k instalaci ovladače. Oba přitom byly použity při neúspěšném pokusu o deaktivaci nástrojů na zabezpečení koncového bodu. Ochrana koncových bodů klienta zahrnovala funkce proti manipulaci, které zabránily útočníkům v nasazení ransomware, ale pokud by byla jeho ochrana koncových bodů slabá nebo špatně nakonfigurovaná, mohl být útok úspěšný.
Kromě zastavení útoků před jejich spuštěním (jak vidíme v tomto scénáři) urychluje silná ochrana koncových bodů také lidmi vedenou detekci a reakci na hrozby, kterým samotná technologie nedokáže zabránit. Díky odfiltrování většiny útoků se mohou bezpečnostní týmy zaměřit na menší počet incidentů a jejich přesnější detekci a následnou reakci. I když může být lákavé přehlížet význam základních bezpečnostních opatření – zejména když neustále slyšíte o nejnovějších špičkových bezpečnostních nástrojích a službách – ochrana koncových bodů a řízené bezpečnostní služby fungují nejlépe společně.
Tři způsoby, jak zvýšit účinnost ochrany koncových bodů
Pro udržení neprůstřelné kybernetické obrany je zásadní kombinace proaktivní ochrany koncových bodů a reaktivní, lidmi prováděné detekce a reakce na hrozby. Přestože technologie nedokáže zastavit každý útok, silná opatření na ochranu koncových bodů mohou obráncům poskytnout čas potřebný pro boj proti pokročilým, lidmi vedeným útokům. Čím účinnější bude ochrana vašich koncových bodů, tím lépe bude váš detekční tým vybaven pro svou práci.
1. Audit pro průběžné zlepšování ochrany koncových bodů
Provádějte pravidelné audity kybernetického zabezpečení, abyste zajistili správnou konfiguraci vašich bezpečnostních nástrojů. Vaše organizace již pravděpodobně zavedla mnoho správných opatření na ochranu koncových bodů. Ale vzhledem k tomu, že nesprávná konfigurace bezpečnostních nástrojů byla pro specialisty na IT a kyberbezpečnost v roce 2023 největším vnímaným rizikem kybernetické ochrany, vyplatí se zajistit, aby byly vaše bezpečnostní nástroje správně nakonfigurovány a aktualizovány.
Udržováním správných konfigurací a pravidelnou aktualizací nástrojů můžete plně využít hodnotu svých investic do koncových bodů a jejich ochrany. Někteří poskytovatelé služeb nabízejí kontrolu stavu zabezpečení, ale k provedení auditu můžete použít i ověřené, specializované nástroje. Díky tomu můžete identifikovat oblasti, které je třeba zlepšit, a zajistit, abyste své portfolio nástrojů na zabezpečení koncových bodů správně průběžně upravovali.
2. Využití ochrany založené na chování
Chcete-li zajistit komplexní ochranu proti kybernetickým útokům, musíte posílit obranu v celém řetězci útoků, abyste měli více možností, jak potenciální hrozby zastavit. Přestože je dodržování osvědčených postupů kybernetické bezpečnosti – například používání složitých hesel a vícefaktorové autentizace – pro zabezpečení vaší organizace nesmírně důležité, vzhledem k sofistikovanosti a nepředvídatelnosti moderních kybernetických hrozeb je nebytná i další ochrana. Proto je rozumné doplnit základní opatření o bezpečnostní řešení založená na sledování chování v celém řetězci útoků. Nelze například říci, jak budou vypadat další kmeny ransomwaru, ale známe typy chování, které útočníci používají. Když se nebudeme spoléhat pouze na známé signatury, ale zaměříme se na chování, zvýší se tím schopnost odhalovat a zmírňovat i neznámé hrozby. Pokud implementujete ochranu založenou na chování ve více bodech řetězce útoků, můžete také hrozby rychleji odhalit a zastavit.
3. Přizpůsobení obrany prostředí kybernetických hrozeb
Neustálá informovanost o vývoji prostředí kybernetických hrozeb umožňuje optimalizovat obranu proti útokům. Například podle průzkumu společnosti jsou dnes dvěma hlavními příčinami ransomwarových útoků zneužité zranitelnosti a kompromitované přihlašovací údaje. S tímto vědomím můžete upřednostnit kontroly zabezpečení koncových bodů, které budou tyto hrozby nejlépe zmírňovat, včetně funkcí proti exploitům a zneužití přihlašovacích údajů, a také prosadit širší bezpečnostní opatření, jako je vícefaktorové ověřování.
Žádné opatření na ochranu koncových bodů není nepřekonatelné. Silné a vícevrstvé zabezpečení koncových bodů ale umožňuje zastavit většinu útoků ještě před jejich uskutečněním, což snižuje rizika a zvyšuje užitečnost řízených bezpečnostních služeb. Pokud dosáhnete správné rovnováhy mezi základními bezpečnostními opatřeními a reaktivními kyberbezpečnostními službami, můžete se lépe zorientovat v dnešním prostředí kybernetických hrozeb.
Autorem textu je Raja Patel, senior vice prezident pro vývoj bezpečnostních produktů, Sophos.