Firmy by si měly dávat pozor na dodavatele služeb
Jak můžeme zrekapitulovat bezpečnostní situaci několika posledních měsíců a co lze očekávat v těch dalších? Zapojují zločinci se do kyberútoků také umělou inteligenci? Na to a mnoho dalšího jsme se zeptali bezpečnostního experta Václava Zubra ze společnosti Eset.
Kybernetická bezpečnost v době nového roku přináší mnoho otázek. Odpovědi na některé z nich rekapitulují, jiné jsou do následujících měsíců plné očekávání. Jak obtížné byly pro bezpečností experty poslední týdny a na co se podle nich firmy musejí připravit? Na to i mnoho dalšího jsme se zeptali bezpečnostního odborníka ze společnosti Eset Václava Zubra.
Jsme stále na začátku roku, a tak začnu poněkud obecně. Podle prognostik nejen Esetu, ale i jiných bezpečnostních firem měl být konec roku spojený s nárůstem hrozeb a útoků. Máme už dnes k dispozici údaje, a můžete tedy toto období zhodnotit?
Mohu potvrdit, že ani závěr roku 2019 nebyl výjimkou. Oproti jiným částem minulého roku jsme zaznamenali znovu nárůst hrozeb. V listopadu a prosinci lidé častěji nakupují na internetu, chodí jim různé faktury, a toho se snaží útočníci využít například ve spamových kampaních. V tomto období proběhla i řada medializovaných útoků, která nebývale zasáhla i organizace v České republice.
Naším tématem měsíce je mobilita a bezpečnost. Nacházíme se těsně po svátcích, které byly velmi úspěšné pro internetové obchody, zákazníci hojně využívali e-commerce a s ní spojené technologie, velmi často platili chytrými telefony. Jsou rizika plateb na mobilních zařízeních vyšší než u jiných zařízení?
Řekl bych, že je placení mobilním telefonem o něco bezpečnější. Zákazníci ve svých oblíbených obchodech nakupují přes vlastní aplikace e-shopů a k placení často využívají i přímo služby výrobců operačních systémů, například Apple Pay či Google Pay. Díky tomu se riziko zmenšuje. Nicméně množství škodlivého kódu pro mobilní telefony spíše narůstá a mnoho lidí o těchto rizicích neví.
Nejrozšířenější hrozbou jsou různé druhy adwaru. Ten se často v pravidelných časových intervalech připojuje k internetu a skrytě zobrazuje reklamu. Uživatel reklamní sdělení nevidí, jeho telefon se může pouze více zahřívat, lehce zpomalovat a čerpat podezřele moc dat z FUPu (Fair User Policy, označení politiky operátorů pro využívání dat).
Setkat se lze i se spywarem kradoucím fotografie, kontakty, SMS zprávy nebo třeba historii prohlížečů. A samozřejmě nesmíme zapomenout ani na bankovní malware nebo různé druhy nechvalně známého ransomwaru.
Mezi běžné hrozby, které v tomto směru detekujeme, patří také falešné antivirové aplikace, které z uživatelů lákají peníze za odstranění fiktivní infekce.
A otázka více zeširoka: Jsou z vašeho odborného pohledu rizika a bezpečnost mobilních zařízení v něčem specifická? Myslím oproti například ochraně klasických desktopů.
Rizika, a s nimi spojená bezpečnost, vycházejí z odlišných platforem těchto zařízení. Škodlivý kód zde funguje jinak než na klasických desktopech. Samozřejmě některé typy útoků, jako třeba phishing, fungují stejně. Ale pro infikování telefonu je zpravidla třeba ručně nainstalovat podvodnou aplikaci. To je diametrální rozdíl oproti klasickým počítačům, kde může stačit pouhé otevření dokumentu z e-mailu. I proti tomuto velmi rozšířenému vektoru útoku v PC světě – e-mailu – jsou mobilní zařízení v podstatě imunní. Aplikace jsou sandboxované, aby mohl malware v e-mailu napadnout mobilní zařízení, musel by zneužít neopravenou chybu v poštovním klientovi nebo specifickém prohlížeči obsahu a následně využít další chyby v samotném operačním systému. Vzhledem k tomu, že by se muselo jednat ještě o škodlivý kód napsaný přímo pro mobilní zařízení, s těmito typy útoku se nesetkáváme. U tohoto příkladu lze však ilustrovat, jak je důležité dbát o aktualizace i na mobilních zařízeních.
Dalším faktorem je ochrana daného zařízení pomocí bezpečnostní aplikace. V případě telefonů chrání své zařízení jen necelých 50 % uživatelů. Z této perspektivy mají útočníci situaci jednodušší.
Jestli si můžete dovolit prognostiku, můžete přiblížit kybernetická rizika, která definují následující rok? Které sektory jsou nejohroženější?
V poslední době jsme viděli enormní nárůst útoků na služby vystavené do internetu. Ve většině případů se jednalo o útoky typu brute-force na RDP (Remote Desktop Protokol) umožňující vzdálené přihlášení. Útočníci skenují celý internet, hledají zranitelná zařízení, a pokud je najdou, využijí jej, proniknou do sítě a celou ji ovládnou. Po větším či menším vytěžení svých obětí následuje finální fáze – zašifrování dat a požadování výkupného.
Tyto útoky nebývají cílené na konkrétní sektor. Myslím, že tito zločinci většinou až ex post zjišťují, kam se dostali. A pokládají si otázky jako: můžeme odcizit osobní data uživatelů, zaměstnanců? Know-how oběti? O jak vysoké výkupné si říct?
Před čím bych možná trochu varoval, jsou útoky skrze outsourcingové firmy, společnosti poskytující nějaké služby. Ty mají často téměř nelimitovaný přístup do firemních sítí svých zákazníků nebo na ně zákazník spoléhá, protože u nich běží důležitá část jejich systému. Pokud se podaří takovou společnost napadnout, existuje vysoké riziko ohrožení i pro veškeré její zákazníky. Pro útočníky to znamená širší zásah, útokem je postiženo více firem a s tím je spojena i vyšší pravděpodobnost, že některá firma útočníkům zaplatí za zprovoznění jimi vyřazených systémů nebo odcizených (zašifrovaných) dat. V dnešní době jsou terčem hackerů hlavně dodavatelské firmy v zámoří, ale pravděpodobně je jen otázkou času, kdy těmto typům útoků budou čelit i české společnosti. Přičemž tato rizika by samozřejmě nemělo podceňovat nejen IT zmiňovaných společností, ale i IT zákazníků závislých na těchto dodavatelských společnostech.
Jaký podíl na hrozbách nadcházejícího roku přikládáte útokům využívajících umělou inteligenci? Jaké jiné technologie pravděpodobně začnou útočníci v brzké době používat?
Přestože útoků využívajících pokročilé algoritmy přibývá, nemluvil bych o umělé inteligenci. Umělá inteligence je dnes obrovský trend, ale samotný výraz se, myslím si, nesprávně používá a často se zaměňuje se strojovým učením, anglicky machine learning.
Stále chytřejší systémy automatizace na straně kybernetických zločinců budou jistě přibývat. A to na mnoha frontách. Zrychlují tím vývoj, obcházejí různé detekční technologie a komplikují analýzu svého malwaru. Nebo jednoduše zvyšují pravděpodobnost interakce uživatele, když používají překladatelské služby založené na strojovém učení pro zvýšení důvěryhodnosti svého tvrzení. Dnes již v České republice neuděláte úspěšnou spamovou kampaň bez využití češtiny a hezkého zpracování e-mailu. Grafická stránka a samotné zpracování je rozhodujícím faktorem.
Nyní k vaší společnosti. Můžete zhodnotit minulý rok? Co se vám povedlo uskutečnit a co naopak prozatím ne? Něco, na co jste vyloženě pyšný?
V loňském roce se toho u nás událo mnoho. Z mého pohledu byla nejzajímavějším počinem implementace modulu pokročilého strojového učení do našich antimalware produktů. S tímto stále aktualizovaným systémem poskytujeme svým zákazníkům novou konfigurovatelnou vrstvu ochrany, která přispívá k silnější ochraně před zero day útoky. Další velkou událostí bylo uzavření spolupráce s Googlem s cílem zvýšení bezpečnosti uživatelů zařízení na platformě Android.
Co se byznysu týče, jsem rád, že se nám daří získávat stále více zákazníků mezi enterprise společnostmi. Těmto zákazníkům dokážeme nabídnout nadstandardní softwarové vybavení mj. v podobě EDR (Endpoint Detection and Response) systému nebo doplňkové ochrany v podobě cloudového sandboxu. A nesmím určitě zapomenout ani na poskytované služby. Od penetračních testů a auditů až po kontinuální dohled nad sítí zákazníků či forenzní analýzu bezpečnostního incidentu.
A co nového Eset plánuje do následujícího roku? Nějaká nová řešení, technologie, služby? Nějaké reakce na nové trendy útočníků?
V tomto roce plánujeme celou řadu nových vydání produktů. Jak nových verzí mnoha našich softwarových řešení, tak zcela nových produktů.
Zmíním Eset Security Management Center jako službu (SaaS). Již delší dobu pracujeme na plnohodnotné cloudové verzi své vzdálené správy a letošní rok se naši zákazníci a partneři dočkají. Již se nemůžeme dočkat, až partnerům tuto možnost představíme a umožníme jednoduše spravovat všechny zákazníky z jedné administrativní konzole a využívat veškeré benefity s tím spojené. Zásadní výhodou jsou snadnější reakce na vzniklé incidenty a účinná prevence díky pravidelné aktualizaci, monitoringu a udržování správných bezpečnostních politik.