Rozhovor: Kybernetická bezpečnost v cloudu

Rozhovor s Mgr. Janem Kozákem, projektovým manažerem ve společnosti AXENTA a.s., o cloudu v souvislosti s kybernetickou bezpečností.

Petr Smolník: Dobrý den, Honzo, opět vás zdravím v AVERIA.NEWS a mám na Vás zákeřnou otázku. Já vnímám, že za poslední měsíce bylo několik útoků na velké společnosti, které mají systémy v cloudu, tzn. útoky na data v cloudu jsou poměrně časté. Pokud má společnost celý systém v cloudu, tak stačí jeden jediný člověk, který má přístup a útočníci mají přístup úplně ke všemu. Jak vnímáte cloud z pohledu kybernetické bezpečnosti?

Jan Kozák: Určitě je to pro nás velké téma, které aktuálně ve společnosti řešíme, protože ten trend ve světě je jednoznačný. Dříve to byl více trend západu – přesunout své kritické služby do cloudové infrastruktury. Nyní je to běžné. Je to o lidských zdrojích, které dnes nejsou. Když mám infrastrukturu v cloudu, tak mi odpadne hodně starostí s udržováním on-premise serverů, s jejich správou, držením personálních zdrojů, které se o to budou starat. A to samozřejmě reflektují útočníci.

Tím, jak se více služeb přesouvá do cloudu, vznikají nové taktiky, jak ten systém napadnout, využít jeho slabin, ať už je motivace získání dat anebo je motivací zabránění fungování služby. Ty motivace zde jednoznačně jsou.

Pro nás je to téma, kterému se hodně věnujeme a dnes jsme ve fázi, kdy se zákazníky hledáme způsoby, jak v cloudu monitorovat infrastrukturu, a hlavně vyhodnocovat indikátory kompromitace. To znamená to, že vidíme nějaký systém nebo nějaký vzorec chování, ze kterého můžeme usoudit, že je to pokus o zneužití.

A jedním z těch případů je samozřejmě i to, že někdo zneužije privilegovaný účet, že zcizí identitu, která má přístup k celému cloudovém prostředí a potom například dojde k tomu, že je schopen celý obsah cloudové infrastruktury přenést na svůj účet a tomu původnímu majiteli znemožní přístup. To je konkrétně jeden z případů, který jsme v poslední době řešili s našimi zákazníky.

Petr Smolník: A co byste doporučil jako obranu proti tomu? Rozdělit zálohy, zašifrovat zálohy? Vím, že šifrování nemají ajťáci rádi, protože to prodlužuje čas přístupu k dokumentům a potom když management něco potřebuje, tak to není úplně jednoduché a rychlé.

Jan Kozák: Těch opatření je několik. Když se na to podíváme nějakou slupkovou metodou, tak nejprve kvalitně zabezpečit privilegované účty. Dneska už je složité heslo málo.

Je to o spojení s multifaktorovým ověřením, spojení s konkrétním zařízením tak, aby útočník měl co nejméně prostoru využít ten účet nebo se k němu vůbec dostat. A druhá věc je důsledný monitoring systémů, získávání logů ze systému a jejich vyhodnocení.

A to, co jste zmínil, zálohy, to je samozřejmě také velmi důležité. Já, když celou společnost přesunu do cloudu, tak se nějakým způsobem dávám všanc majiteli toho cloudu, providerovi, který ho spravuje. On sice garantuje dostupnost, ale co je důležité si uvědomit, že většinou negarantuje to, že nedojde k poškození a kompromitaci dat. On pouze říká, ty servery, které jste si u mě koupili, poběží v režimu 99,9, to znamená, máme tady pár minut nebo pár hodin výpadků za rok, ale neříká, já vaše data chráním a nemůžete o ně přijít. Takže proto je zálohování v cloudu důležité. Já bych měl mít někde kopii svých kritických dat a ideálně ne jednu, ale na více úložištích. I když jsem v tom cloudu.

Zároveň, pokud tam mám kritické systémy, vždycky bych měl přemýšlet nejenom o tom, jestli ten systém funguje, ale jestli jsem schopen ho nějakým způsobem auditovat, ať už je to vyhodnocení přístupu jeho uživatelů nebo vyhodnocení funkčnosti systému. A to bych si měl někde separátně vyhodnocovat, protože útočník, pokud ten privilegovaný účet získá a začne se v systému rozhlížet, aby identifikoval, co má pro něj hodnotu, s čím vás potom bude vydírat, tak se samozřejmě snaží smazat po sobě všechny stopy. Funguje tedy tak, že získá data, smaže stopy, aby vy jste měli co nejméně prostoru pro nějaké vyšetřování. Takže bez systému, který by vám to logoval a vyhodnocoval, a nějakého dalšího úložiště nezávislého na cloudové službě, už po útoku prakticky nezjistíte, co se stalo, protože nemáte dostatek dat.

Takže firmám bych poradil zabezpečit privilegované účty, řídit privilegované účty, vyhodnocovat systém z pohledu toho, jak se chová a sbírat logy a zálohovat.

Mám potom určitou jistotu, že jsem schopen se vrátit do stavu před útokem. A s tím samozřejmě souvisí nejenom to, mít to vymyšlené technicky, ale mít to nějakým způsobem popsané, protože v krizové situaci je vždycky jednodušší vytáhnout nějaký dokument, nějaký workbook a postupovat pak podle něj. Mám potom jistotu, že obnova bude kvalitní, než rychle vzpomínat, jak jsem to tenkrát vlastně naplánoval.

Petr Smolník: Děkuji za dobré rady pro naše čtenáře a přeji Vám hezký den.

Jan Kozák: Děkuji, Vám také.

AI, Axenta, cloud, heslo, kybernetická bezpečnost, security
security

security

Spyware CapraRAT maskovaný jako populární aplikace ohrožuje uživatele Androidu

Aktér hrozeb známý jako Transparent Tribe pokračoval ve vypouštění aplikací pro Android s malwarem v rámci kampaně sociálního inženýrství, která se zaměřuje na jednotlivce, kteří

ČÍST DÁLE »

Jaromír Rozsíval 26 července, 2024

security

Nová zranitelnost OpenSSH by mohla vést k RCE jako root na systémech Linux

Správci OpenSSH vydali bezpečnostní aktualizace, které obsahují kritickou bezpečnostní chybu, která by mohla vést k neověřenému vzdálenému spuštění kódu s oprávněními root v systémech Linux

ČÍST DÁLE »

Jaromír Rozsíval 24 července, 2024

security

Čínští hackeři využívající Zero-Day v přepínačích Cisco k šíření malwaru

Kybernetická špionážní skupina Velvet Ant s vazbou na Čínu byla pozorována, jak využívá chybu nultého dne v softwaru Cisco NX-OS, který používá ve svých přepínačích,

ČÍST DÁLE »

Jaromír Rozsíval 22 července, 2024