Zabezpečit svou firmu je stále složitější
Následující řádky vám jistě ukážou, že není moudré otázku bezpečnosti podceňovat. Množství bezpečnostních útoků v poslední době radikálně vzrůstá. Vývoj těchto hrozeb není ani v nejmenším lineární. Jednotlivé metody zabezpečení se už sice razantně zlepšují, ale útočníci bohužel s těmito trendy neustále drží krok a daří se jim jejich škodlivé výtvory stále vylepšovat.
Proč tak výrazně narostl počet útoků?
Odpověď je poměrně jednoduchá. Kvůli relativně nezjistitelným převodům peněz, díky nimž se mohou útočníci téměř beztrestně obohacovat. Dříve totiž útoky prováděli hackeři s vidinou přístupu k bankovním účtům oběti, případně se záluskem na důležité informace. Dnes se spíše snaží vydírat zašifrovanými soubory, než aby se museli složitě dostávat do bankovních účtů. To nám potvrdil i námi oslovený odborník Vojtěch Dvořák, technický ředitel a jednatel S&T CZ: „Dost často jde o útoky na peníze formou kybervydírání, pak se samozřejmě setkáváme také s útoky informačního charakteru, které se vyskytují především u větších organizací. Útočníci se snaží ukrást informace, které by jim poskytly například konkurenční výhodu na trhu. Podobné útoky provádějí také skupiny sponzorované státy, jež v tuto chvíli na světlo moc nevycházejí, protože informace o nich jsou obvykle v utajovaném režimu.“
Nerozvíjí se jen kvantita, ale i kvalita
Vzhledem ke stále se zdokonalujícím metodám ochrany musejí útočníci neustále inovovat své programy. Od časů, kdy nám do e-mailové schránky chodily phishingové kampaně psané anglicky, případně lámanou češtinou, už také uběhla dlouhá doba. Dnes tyto zprávy chodí z e-mailových adres totožných, případně téměř shodných s reálnými adresami, od nichž většinou zprávy přijímáme, setkáme se rovněž s plynulou češtinou, a dokonce i překvapivě důvěryhodným obsahem. „Dnes jsou už phishingové e-maily velmi propracované. Očividně je tvoří, nebo alespoň pomáhají formulovat Češi. Tvůrci znají aktuální situaci na českém trhu, takže například během odstávky banky rozesílají jejím klientům phishingové e-maily, do nichž vloží informaci, že proběhla odstávka, a odkaz, na němž si adresát má ‚zkontrolovat‘ své údaje. Lidé pak vyplní formulář a útočníci získají jejich osobní údaje nebo přihlašovací hesla,“ uvedl Vojtěch Dvořák ze S&T.
Jak to chodí v praxi?
Hackeři už dnes neútočí pouze masově, ale snaží se také proniknout do konkrétních společností. Více se soustřeďují na jednotlivce, jejichž prostřednictvím se snaží proniknout do firemní infrastruktury, a bohužel se jim to často podaří. Samozřejmě útočníky nejvíce zajímají především banky, kde by mohli dosáhnout co možná nejvyššího zisku. S takovými problémy však všechny banky počítají, a proto se také řadí mezi jedny z nejlépe zabezpečených institucí na světě. To ovšem útočníky od snahy nemusí odradit. „Neútočí přímo na banky či ministerstva, ale spíše se soustředí na společnosti, které těmto subjektům spravují IT nebo poskytují nějaké konzultační služby. Nejhorší případy, které se v poslední době v zahraničí staly, vznikly právě prostřednictvím subdodavatelů, kteří měli za úkol data jakýmkoliv způsobem zpracovávat nebo se starali o systémy. Jejich prostřednictvím tyto útoky mohly uspět a bohužel také často uspěly,“ poznamenal Dvořák.
Ochrana především
Ve firemním prostředí se také začínají množit tzv. BEC útoky (business e-mail compromise), kdy uživatele osloví útočník s žádostí o platbu. To by za normálních okolností nebylo nic nebezpečného. Kdo by přece platil peníze někomu neznámému. Útočníci však svou žádost odesílají tak, že adresátovi dorazí, jako by ji poslal jejich nadřízený, případně účetní. Vzhledem k dokonalé češtině/angličtině (dle potřeby) a důvěryhodné i po stránce obsahu není divu, že jim lidé věří. Jediné, v čem se tyto e-maily liší, jsou čísla bankovních účtů, kam mají být peníze zaslány. Pokud útočníci do e-mailu nenasadí žádné další hrozby v podobě malwaru, často uživateli ani nepřijde divné, že by měl takovou platbu hradit. V tomto případě může pomoci i obyčejný, ale správně nastavený ERP systém, který si v paměti uchovává čísla účtů pravidelných dodavatelů. Tento systém pak účetní upozorní, že hodlá platit na jiný účet. V tom případě stačí jednoduše telefonicky ověřit správnost čísla účtu a odhalí se, zda jde o podvod, či jen změnu účtu. Tyto útoky rozhodně nejsou neobvyklé, či dokonce málo nebezpečné, vždyť podle americké FBI dosáhly takto způsobené škody jenom za první pololetí letošního roku na 12,5 miliardy dolarů. „Konkrétně mně takové e-maily opravdu občas chodí, protože lze předpokládat, že disponuji firemní kreditkou. Věřím tedy tomu, že lidé podobným e-mailům uvěří a následně peníze opravdu zaplatí. Tyto e-maily jsou totiž dobře gramaticky i stylisticky napsané, sedí oslovení a odesílatel většinou i podobné zprávy posílá. To je činí opravdu velmi nebezpečnými. Útočník zřejmě dostal informace o e-mailech – kdo s kým komunikuje a jak zprávy vypadají, nebo pečlivě analyzoval volně dostupné údaje na internetu a sociálních sítích,“ podotkl Dvořák.
Nejčastější hrozby
Podle informací od společnosti S&T CZ patří v současnosti mezi nejčastější útoky právě již zmíněné phishingové kampaně. Ty sbírají soukromé údaje nebo se snaží získat kontrolu nad zařízením uživatele prostřednictvím důvěryhodných e-mailů s přílohami nakaženými malwarem, odkazy na podvržené stránky bank, sociálních sítí, institucí a dalších známých online služeb. Stěžejním opatřením proti phishingu je důkladná edukace zaměstnanců ve společnosti. Ovšem ani tak nebudete proti tomuto útoku 100% ochráněni. Lidská hloupost totiž někdy nezná mezí.
V poslední době se na českém trhu objevily i některé hoax e-maily, které sice podobně jako ransomware nebo některé druhy phishingu dobrou češtinou vyhrožovaly a požadovaly výkupné, ale na rozdíl od opravdu nebezpečných e-mailů s malwarem se jedná jen o planou výhrůžku. Autoři e-mailu nedisponují žádnými materiály či daty, jen se snaží z adresáta vymámit peníze. „Tyto e-maily byly poslední dobou poměrně populární. Vyhrožovaly, že na kameru zachytily adresáta při sledování lechtivých videí na internetu, a když nezaplatí, pošlou tyto záběry všem v jeho adresáři. Spousta lidí na tyto zprávy skočila, a přitom když se nad tímto e-mailem člověk zamyslel, šlo už na první pohled o nesmysl. Navíc obsah tohoto e-mailu stačilo ověřit na internetu a hned by bylo jasné, o co jde,“ popsal konkrétní příklad z praxe Vojtěch Dvořák.
Mezi nejčastější hrozby se samozřejmě řadí i škodlivé malwary. Těch na trhu najdeme obrovské množství. Například vloni byl obrovským „hitem“ ransomware, tedy malware, který zašifroval data a v podstatě s nimi jako s rukojmím u únosu vyjednával výkupné. Malwarů však existuje hned několik druhů. Některé umožní svým tvůrcům plně ovládat napadená zařízení, jiné zase přeposílají informace a najdou se i multifunkční malwary zvládající více škodlivých činností zároveň. Do malwarů se řadí také letošní hit – minery, které sice nijak neohrožují systém v podobě nekalých operací s daty, ale zatíží koncové zařízení – využijí jeho výpočetní výkon k těžbě kryptoměny.
Nejvíce nebezpečné pak jsou již zmíněné malwary s více funkcemi. Systém může být vůči těmto programům často bezbranný. Navíc jeden takový škodlivý program může udělat v zařízeních pořádnou spoušť. Přitom nemusíte být ani bůhvíjaký programátorský génius, abyste si mohl takový malware pořídit. Jak tomu s malwary skutečně je, vysvětlil Dvořák: „Dříve šlo většinou o jednoúčelové programy, ve většině případů si ani nevybavím, že bych v praxi viděl malware, který by dělal více než jednu věc. Buď těžil nebo kradl data, nebo šifroval data a pak vydíral. Vždycky šlo o jednoúčelový malware. Objemově je to stále nejčastější, ale multifunkční malwary už nejsou tak neobvyklé, a na dark webu si je dokonce můžete opatřit za poměrně přijatelnou cenu.“
V praxi se také můžete setkat se „spícími“ malwary, které po infiltraci systému pronikají hlouběji dovnitř a šíří se všemi možnými směry, ale následně nedělají vůbec nic. Čekají na signál k aktivaci. Pak by mohly teprve začít škodit a pátrat po konkrétních informacích. „Někdy se zjistí, že je v síti dlouhou dobu (může to být v horizontu i několika let) malware, který ale nic nedělá. Někdy se ani neví, zda byl daný malware činný, či ne. Pokud daná organizace nemá systémy pro logování událostí, což stále většina ze středních a menších organizací nemá, nikdo nedokáže zpětně zjistit, co se dělo. Pak jediná rada specialistů na bezpečnost zní: Všechno smažte a začněte znovu ze ‚zelené louky‘. Při obnově dat si musíte dát ale veliký pozor na to, jaké zálohy se obnovují a zda nejsou také nakaženy. Bezpečná obnova dat sice zabere obrovské množství úsilí i času, ale na druhou stranu budete vědět, že jste ‚čistí‘,“ poznamenal Dvořák.
Umělá inteligence (AI) chrání
I v případě, že organizace mají potřebné technologie na logování a dohled nad tím, co se děje v jejich IT systémech a infrastruktuře, je často pro lidské zaměstnance velmi náročné v reálném čase sledovat a především efektivně vyhodnocovat, zda daná aktivita je, nebo není podezřelá, případně nebezpečná. Musí být neustále ve střehu, aby jim nikde neproklouzla žádná nekalá činnost, což je například u pracovníků velkých SOCů (security operation center) poměrně náročné, protože musejí během dne projít obrovské množství informací a logů. „Na první úrovni mohou být u některých firem klidně stovky i tisíce událostí za den i za minutu podle toho, jak je daná organizace veliká a na kolik zdrojových systémů dohlíží. V takové situaci je rozumné uvažovat o zapojení technologie typu AI, která již dnes může významně pomoci odlehčit v aktivitách běžně vykonávaných lidským personálem,“ řekl Dvořák.
Když je SOC hodně velký, může na první vlně bezpečnostní události a logy procházet umělá inteligence. V případě, kdy zjistí anomálii, může na ni upozornit lidský dohled, který pak ve druhé vlně pečlivě a profesionálně analyzuje vše do potřebného detailu. Jak je na tom dnes umělá inteligence, nám pověděl Vojtěch Dvořák: „Ve finále je maximálně srovnatelná například se schopnostmi 13letého dítěte (zatím), respektive velkého množství těchto AI teenagerů. Například lze systém nastavit/naučit tomu, že pokud se zaměstnanec přihlásí k systému v době, kdy by měl být na dovolené, AI na tuto nesrovnalost upozorní s tím, že není obvyklé, aby se daný uživatel takto do práce na dálku připojoval. Nedokáže už však zjistit, zda opravdu nejde o pouhý operativní přístup z dovolené pro vyřešení pracovního problému, nebo o útok.“ V tu chvíli přichází na řadu lidský dohled, který vše řeší dále.
Nyní už se tedy můžeme setkat s aplikacemi umělé inteligence v roli bezpečnostního technika. Bude ale vždy stát na naší straně? „Upřímně se děsím chvíle, kdy útočníci nasadí AI k prolomení bezpečnostních bariér. Pak objem podobných událostí – logů stoupne několikanásobně. Pak už bude u ochranných systémů AI nutností. Včera byla bezpečnost bitvou lidí, dnes bitvou systémů a zítra spolu budou válčit stroje. My pak budeme vymýšlet stále nové algoritmy, jak tyto ‚obranné mašiny‘ vylepšit,“ uzavřel Dvořák.