Známé pravidlo říká, že nejlepší obranou je útok. V kyberprostoru to však neplatí. Tedy neplatí to, pokud nejste státem podporovaná skupina, nebo armáda a neděláte to ze strategických důvodů. My ostatní si musíme vystačit s konvenčními obrannými prostředky a na tzv. hack-back můžeme zapomenout. Navíc by nám to v 99,9% případů ani nepomohlo.

Co nám ale pomoci může, je připravenost. Proto se v této sérii článků podíváme na to, jak se poučit z chyb minulosti a být připraven na (nejen) nové útoky v roce 2019.

Standardní opatření – hesla, firewally, záplaty, vzdělávání

Potřeba bezpečných hesel a využívání správců hesel by již měla být každému jasná. S větším množstvím úniků dat vidíme, že je nutná i multifaktorová autentizace, kde navíc už nestačí SMSka na mobil, který představuje jen další zařízení, které je snadno zneužitelné. V současnosti jsou prostředky vícefaktorové autentizace už mnohem dostupnější i pro běžné uživatele, což umožňuje jejich zařazení do běžných bezpečnostních opatření v organizaci.

Druhým opatřením je firewall, který je dnes již standardem snad v každé společnosti. Bohužel je však častokrát chybně chápán jako něco, co slouží jen jako stěna mezi internetem a naší sítí. Stejně důležité využití firewallu však spočívá v segmentaci sítě.

Přijde nám samozřejmé, že z Wi-Fi sítě, do které se uživatelé připojují mobilem, by asi neměl být povolen přístup do sítě, ve které máme umístěny důležité servery nebo citlivá data. Kolik společností však má odpovídající nastavení na firewallu? Nemluvě o tom, že o důležitosti segmentace jsme se již několikáté přesvědčili v roce 2017 při útocích WannaCry a NotPetya. Nesegmentované sítě při napadení tímto malwarem umožnily jeho rychlé šíření v interních sítích, což mělo za následek obrovské škody.

Neméně důležitým opatřením je záplatování. O tom jsme se také přesvědčili nejen v roce 2017 při WannaCry a NotPetya, ale také v dubnu a srpnu roku 2018, kdy probíhaly globální útoky na weby využívající CMS Drupal (tzv. Drupalgeddon) resp. webový framework Apache Struts. Tyto útoky zneužívaly zranitelnosti, které byly opraveny během pár hodin po jejich zveřejnění. Přesto bylo velké množství webů hacknutých. Důvodem bylo zanedbané záplatování.

Zejména v případě uživatelského softwaru existuje velmi málo výjimek, které mohou omluvit nezáplatovaný software. V případě softwaru používaného v kritické infrastruktuře, v nemocnicích a dalších kritických odvětvích je však situace mnohem složitější. Situaci komplikuje nejen finanční náročnost, ale zejména v případě vysoce specializovaného softwaru nedostupnost záplat, požadavky na zpětnou kompatibilitu, zda vysoké nároky na dostupnost zařízení, které neumožňují důkladné záplatování softwaru daného zařízení.

Dobrou zprávou však je, že i v případě, že není možné software důkladně záplatovat, můžeme z toho plynoucí rizika často snížit vhodnou kombinací ostatních bezpečnostních opatření, které zabrání zneužití přítomných zranitelností.

Nesmíme zapomenout ani na vzdělávání. Na jedné straně s postupným zdokonalováním technik sociálního inženýrství přicházíme na to, že tvrzení o tom, že uživatel je nejslabší článek, nemusí být univerzálně platné. Na straně druhé je spearphishing stále nejrozšířenější metodou útoku pokročilejších útočníků – a navíc i velmi úspěšnou.

Vysokou úspěšnost můžeme kromě rafinovanosti útočníků připsat zejména málo vzdělaným uživatelům. Velké množství veřejně dostupných dat o uživatelů jen pomáhá útočníkům, kteří dokáží s použitím těchto dat dokonale oklamat uživatele, aby si nainstaloval malware nebo z něj dostat přístupové údaje. Vždyť kdo by nekliknul v e-mailu o výpadku vody v posilovně, do které běžně chodí, o čemž informuje na svém veřejném profilu v Instagramu?

Endpoint řešení

Kliknutím ve výše zmíněném e-mailu si uživatel právě nainstaloval do počítače malware, který umožní útočníkovi zaznamenávat stisky kláves, podvrhnout mu falešnou stránku internetbankingu nebo se přes jeho počítač dostat k firemním datům. Právě tomuto by se dalo zabránit pomocí vhodně zvoleného endpoint řešení. Klasické EDR řešení můžeme chápat jednoduše jako antiviry na steroidech. I proto často antivirem splývají přesto, že nabízejí více funkcionality zaměřené na pokročilých útočníků namísto komoditního malwaru.

Dobře zvolený EDR software dokáže na základě behaviorální analýzy a využití AI zablokovat, nebo alespoň detekovat různé druhy malwaru a aktivit útočníka na napadeném počítači a následně počítač „opravit“ do zdravého stavu. To se vztahuje nejen na pokročilých útočníků ale také na zcela běžné spamové e-maily obsahující malware v přílohách, malware pocházející z pochybných webových stránek či nestandardní způsoby nákazy, například malware z USB zařízení.

Ani EDR však nepředstavuje všelék a sám o sobě nedokáže útokům 100% zabránit. Velkým problémem může být i tzv. insider threat. Pod tím si můžeme představit úmyslné poškozování IT infrastruktury nebo krádež citlivých dat, či sabotáž, kterou dobrovolně provádí samotný zaměstnanec. Pokud si k tomu domyslíme aktuální trend přesunu nejen dat ale i infrastruktury do cloudu, vyvstává obecný požadavek na řešení problému správy přístupu.

I o tom, jak řešit správu přístupu, si řekneme v dalším článku z této série.

Autor: Dávid Kosť, Lead SOC Analyst, Axenta a.s.