Zajistíme kompletní zabezpečení IT pro partnery a jejich zákazníky

Patrick Müller, regionální manažer pro východní Evropu ve společnosti Sophos, nám zrekapituloval rok 2020 ze svého pohledu jednoho z lídrů v oblasti kybernetické bezpečnosti.

Jak se Sophosu dařilo v roce 2020?

Rok 2020 byl pro Sophos v České republice významný hned v několika ohledech. Obchodně se nám velmi dařilo, uzavřeli jsme řadu zajímavých obchodů zejména v oblasti zdravotnictví. V tomto čtvrtletí uzavíráme fiskální rok a již nyní mohu potvrdit, že jej zakončíme úspěšně. Rok 2020 byl pro Sophos i rokem personálních změn. V našem regionu mimo jiné rozšířil naše řady i nový slovenský kolega Stefan Jacso.

Ve kterých oblastech se vám nejvíce dařilo?

V minulém roce se nám dařilo především v oblasti zdravotnictví. Naším posláním je mimo jiné i chránit instituce, které mají zvýšené nároky na zabezpečení, aby mohly vykonávat své povolání a chránit lidský život. Bohužel hackeři na současnou situaci v nemocnicích neberou ohled, a naopak ještě více využívají příležitostí, které jim tato nelehká doba přináší. IT týmy i samotný zdravotnický personál jsou oslabené nejen přepracovaností, ale i potřebou střídat se na pracovištích, čímž samozřejmě roste riziko, že se nechtěný průnik do organizace nezaznamená včas. O to důležitější je mít k dispozici systém, který automaticky detekuje podezřelé chování a incidenty, aby se čas na reakci na ně zkrátil z řádu dní na hodiny, nebo ideálně minuty, vteřiny.

Dokážete posoudit, jaký byl rok 2020 pro Sophos z hlediska trendů v IT bezpečnosti?

Prostředí hrozeb se do značné míry stabilizovalo a až na několik výjimek jsou nejvýznamnější skupiny hrozeb, typy hrozeb a způsoby jejich fungování za posledních pár let konzistentní. Skládá se z útočníků podporovaných státy, vysoce kvalifikovaných organizací z oblasti kyberkriminality a nízce kvalifikovaných oportunistických skupin a jednotlivců. Bránit se proti útočníkům podporovaným státem, pokud je to vůbec možné. Jsou extrémně vysoce kvalifikovaní, nekonečně trpěliví a mají neomezené zdroje. Můžeme se však poučit z jejich minulých taktik a nástrojů, které nakonec skončí v rukou organizované kyberkriminality. Tato skupina je téměř výlučně finančně motivovaná a je zodpovědná za většinu hrozeb, se kterými se setkáváme. Mnoho z útočníků je vysoce kvalifikovaných a dobře financovaných. Neustále hledají další možnosti, jak překonat naši obranu, tu technologickou i lidskou. Provozují botnety a vytvářejí většinu malwaru, se kterým se setkáváme. Nízce kvalifikovaní, oportunističtí zločinci přispívají ke zbývajícímu šumu a rozptýlení v prostředí hrozeb. Většinou se spoléhají na automatizaci a starší, nadměrně používané a zjistitelné nástroje.

Preferovaným mechanismem distribuce hrozeb v první fázi zůstává e-mail. Ať už jde o infikované přílohy, nebo odkazy na škodlivé weby, skupiny hrozeb stále zaznamenávají u e-mailových kampaní úspěch. E-mail je také zodpovědný za phishingové útoky, jejichž cílem je získat přihlašovací údaje pro jejich další prodej nebo použití v potenciálně cílených útocích na organizace. Mnoho velkých botnetů, například Emotet, se také používá k šíření malwaru, jako jsou bankovní trojské koně a ransomware. Jednou z nejviditelnějších a nejničivějších hrozeb, kterým organizace čelí, je i nadále ransomware. Více než polovina organizací, kterých jsme se nedávno dotazovali, přiznala, že se stala obětí útoku ransomwaru.

Velmi znepokojivé jsou pro mnoho organizací také krádeže dat. Odcizená data mohou mít mnoho podob, ať už jde o duševní vlastnictví, přístupové údaje, finanční informace, osobní údaje, seznamy zákazníků, nebo státní tajemství atd. Každý typ dat může být použit k dalšímu útoku, zveřejněn, aby společnost poškodil, nebo prodán třetím osobám. Bohužel, krádež dat se někdy projevuje ve spojení s útokem ransomwaru. To znamená, že některé organizace jsou postiženy dvojnásobně. Při hrozbě krádeže dat hrají roli i další hrozby, jako jsou krádeže přístupových údajů, keyloggery a phishingové útoky. Stejně jako u ransomwaru někdy i tyto hrozby fungují ve vzájemné shodě. Příkladem je řetězec nákazy malwarem Emotet (který krade informace), bankovním trojanem Dridex a ransomwarem Ryuk.

Jaký dopad na vaši činnost a směrování měla epidemie nemoci covid-19?

Pandemie se promítla do všeho, co jsme letos v oblasti informační bezpečnosti udělali, a vyostřila jednu skutečnost: v době krize, kdy jsou všechny systémy kolem nás pod tlakem a ve stresu, je pro zachování naší schopnosti přežít a prosperovat životně důležité chránit to, co stále funguje. Pod vlivem útoků ze všech stran odložili lídři odvětví informační bezpečnosti a tisíce odborníků svou konkurenční rivalitu a přistoupili k tomu, aby společně jako komunita bojovali proti zlu.

A samozřejmě, pandemie měla a stále má zásadní dopad na způsob naší práce – zejména pokud jde o režim práce z domova – kde hraje zabezpečení IT důležitou roli. Vzhledem k tomu, že se administrativní pracovníci přesunuli do režimu omezení typu „pracujte z domu“, musely podniky vymyslet nové způsoby, jak svým zaměstnancům zajistit bezpečný přístup k interním počítačovým systémům a rozšířit podnikový perimetr, aby zapouzdřily tisíce domácností. A protože organizace tyto funkce vzdáleného přístupu nasadily rychle, útočníci vymysleli nové způsoby, jak je použít proti nám, přičemž zvláštní pozornost zaměřili na naše VPN i další služby a zařízení připojené k internetu. V Sophosu jsme se ještě více zaměřili na tuto oblast, řešení této výzvy nabízíme a bude se i nadále soustředit na poskytování řešení pro pracovní svět bez statických sítí.

Jak rezonovala pandemie v oblasti kybernetické bezpečnosti?

Kybernetičtí zločinci neváhali využít pandemii jako záminku pro své probíhající kampaně proti spotřebitelům i podnikům. Ve skutečnosti vždy používali významné regionální nebo globální události jako návnady ve škodlivých e-mailových kampaních i jiných podvodech. Ale to, co dělá tuto situaci odlišnou, je jak rozsah této události, tak rozmanitost potenciálních subjektů. Viděli jsme vše od útoků typu sextortion až po podvody spojené s charitou. Zaznamenali jsme kampaně zaměřené na akademické výzkumné organizace a dezinformace ohledně vakcín. Šíření některých podvodů dokonce odráželo skutečné šíření viru v západní Evropě. Tyto návnady používají tradiční podvodníci i skupiny hrozeb odpovědné za známý malware, jako je bankovní trojan Trickbot.

Podle studie Sophos Threat Report bude v letošním roce dominovat hrozbám ransomware – jak se mu lze efektivně bránit a proč je pro útočníky stále tak atraktivní?

Útoky ransomwaru mohou vypadat jako náhodné, nespravedlivé návaly smůly, jako by právě bez varování spadly z nebe. Ale ve skutečnosti se útočníci ransomwaru často vyzradí předem, pokud tedy víte, co vlastně máte hledat. Klasifikace ransomwaru jako náhodné epizody svědčí o tom, že se tyto varovné signály proaktivně nehledají, nebo se prostě vůbec neví, co by se mělo hledat. 

Původci ransomwaru neustále vyhledávají nové způsoby, jak se vyhnout bezpečnostním produktům na ochranu koncových bodů a ransomware rychle rozšířit. Dokonce přišli s řešením problému (z jejich pohledu) zacílených jednotlivců nebo společností, kteří mají dobré zálohy bezpečně uložené tam, kde jim ransomware nemůže ublížit. Ale to, co se zdálo jako široká škála ransomwaru, nemusí být až tak široké, jak to vypadá. Postupem času a vyšetřováním rostoucího počtu útoků analytici společnosti Sophos zjistili, že, jak se zdá, některé kódy ransomwaru se sdílejí mezi rodinami a některé ransomwarové skupiny spíše spolupracují, než aby si navzájem konkurovaly. Vzhledem k tomu všemu je těžké spolehlivě předpovědět, co ransomwaroví zločinci dále podniknou. Tvůrci a původci ransomwaru strávili spoustu času prací na obraně proti bezpečnostním produktům na zabezpečení koncových bodů. A my bojujeme s jejich protiopatřeními. Oni ukazují kreativitu a všestrannost při navrhování nové taktiky, my ukážeme houževnatost při studiu toho, co dělají, a při hledání chytrých způsobů, jak je zastavit.

A jak se útokům bránit…?

Primárním zaměřením pro IT organizace během jakékoli narušující události je bezpečným a spolehlivým způsobem zajistit kontinuitu podnikání. Proto je prioritou vytvořit a otestovat plán zajištění kontinuity ještě před tím, než dojde k pohromě. S tím souvisí i bezpečnost zaměstnanců, která může zahrnovat i zavírání kanceláří, jak vidíme během pandemie. Vzhledem k tomu, kolik lidí nyní pracuje z domova, znamená zajištění podnikání implementaci pevného základu nezbytného zabezpečení. Je nutné udržet si přehled o všech aktivech a zajistit, aby systémy správy záplat a zranitelnosti fungovaly podle očekávání. Doporučujeme zapnout automatické záplatování pro tolik systémů, kolik je jen v daném podniku možné, povolit a vynutit vícefaktorové ověřování pro cloudové služby a vzdálený přístup k interním systémům a poskytnout klienty pro vzdálený přístup, nástroje pro spolupráci a aplikace na virtuální schůzky, aby si uživatelé tyto nástroje nehledali sami. Zálohování musí být prioritou, zálohy prováděné často a pravidelně testována jejich funkčnost. V neposlední řadě je potřeba zajistit, aby uživatelé věděli, jak hlásit bezpečnostní incidenty, a pokusit se jim to co možná nejvíce usnadnit.

Na podzim jste uvedli službu Sophos Rapid Response, která je součástí Managed Threat Response, můžete uvést, jak služba funguje a komu je určena?

Sophos Rapid Response je první služba v oboru poskytující na základě paušálního poplatku vzdálenou odezvu na incidenty, která identifikuje a neutralizuje aktivní kybernetické bezpečnostní útoky po celou dobu trvání 45denního závazku. Sophos Rapid Response poskytuje organizacím nepřetržité služby dedikovaného týmu specialistů na reakci na incidenty, lovců a analytiků hrozeb, kteří rychle zastaví pokročilé útoky, odstraní útočníky ze sítě, minimalizují škody a náklady a zkrátí dobu potřebnou k nápravě. Sophos Rapid Response neutralizuje širokou škálu bezpečnostních incidentů včetně ransomwaru, napadení sítě, manuálně operujících útočníků a dalších. Tým služby Sophos Rapid Response může být sestaven a aktivován během několika hodin a většina útoků se může klasifikovat během 48 hodin.

Když jste zasaženi útokem, je čas klíčový. Každá minuta mezi úvodní kompromitací a neutralizací se počítá, jelikož útočníci pokračují v životním cyklu útoku. Pokročilé útoky mohou rychle zastavit provoz podniku a IT manažeři, kteří zažili ransomware z první ruky, to velmi dobře vědí, když uvádějí, že je potřeba věnovat proporcionálně více času reakci na incident a méně času prevenci hrozeb, než ti, kteří zatím zasaženi nebyli. Sophos Rapid Response narušuje aktivní útoky, čímž eliminuje složitý a časově náročný proces zastavení odhodlaných útočníků, takže se organizace mohou rychleji vrátit ke svému běžnému provozu.

Jakmile tým Rapid Response aktuální hrozby neutralizuje, posune se program Sophos Rapid Response k permanentnímu monitorování s nepřetržitým vyhledáváním hrozeb, vyšetřováním, detekcí a reakcí ze strany týmu Sophos MTR. Samozřejmostí je zpráva o vyšetřování hrozeb: podrobně popisuje provedená zjištění, přijatá opatření a další doporučení k nápravě a pomáhá organizacím pochopit původ útoku a také to, jaké prostředky byly napadeny, k jakým datům útočníci přistupovali a jaká exfiltrovali.

Služba Sophos Rapid Response je okamžitě k dispozici stávajícím i novým zákazníkům společnosti Sophos. Na rozdíl od tradičních služeb reakce a vyšetřování, které vyžadují složité a zdlouhavé nasazení s hodinovými sazbami, je služba Sophos Rapid Response k dispozici na dálku a s pevným cenovým modelem založeným na počtu uživatelů a serverů v organizaci. Služba Sophos Rapid Response je zároveň strukturována tak, aby vyhovovala firmám všech velikostí, včetně menších organizací, které zatím nebyly schopné využít takovouto službu bez pravidelného poplatku.

Chystáte na rok 2021 nějaké zásadní produktové novinky, změny nebo technologie?

Samozřejmě. Vývoj má Sophos zakódován v DNA, a proto je dokonce součástí i našeho sloganu „Cyber security evolved“. Moderní IT prostředí se neustále vyvíjejí a jsou stále složitější, stejně jako taktiky a techniky používané kyberzločinci. A vyvíjet se proto musí i vaše IT zabezpečení. Od zabezpečení sítí a koncových bodů až po cloud jsou naše produkty navrženy tak, aby vyhovovaly výzvám dneška i zítřka. Synchronized Security je první – a aktuálně nejlepší – systém kybernetické bezpečnosti na světě. Produkty Sophos spolupracují, aktivně sdílejí informace v reálném čase a automaticky reagují na incidenty. To zvyšuje účinnost ochrany, zjednodušuje správu a umožňuje škálovat zabezpečení bez škálování prostředků. Tuto misi budeme i v roce 2021 nadále podporovat novými produkty, technologiemi a aktivitami.