Všude je to velmi podobné. Úroveň zabezpečení organizací je až na výjimky většinou nedostatečná, ať se podíváme do soukromého, nebo veřejného sektoru. Organizacím často zcela chybí již základní stavební kameny, které jsou nutné, aby nedocházelo k běžným bezpečnostním incidentům. Mohou mít sebelepší IT infrastrukturu, která ale bude bez základních bezpečnostních prvků velmi zranitelná.

Důležité je si uvědomit, že neexistuje jedno univerzální řešení a bezpečnost je zapotřebí řešit na mnoha úrovních/vrstvách. Častým prohřeškem je myšlenka „vykoupení se“ z nízké bezpečnostní zralosti za pomoci třeba externího bezpečnostního dohledového centra (SOC – Security Operations Center). Tato služba je výborným doplňkem v případě, že má společnost vyřešené právě zmiňované základní kameny bezpečnosti, není však samospásným řešením všeho.

Základní bezpečnostní kameny

Finanční prostředky, které je zapotřebí vynaložit na zabezpečení podnikových IT infrastruktur, nejsou malé a náročnost rok od roku stoupá. Vedení firem vždy vyvažuje omezené finanční zdroje a ekonomický smysl řešení. Proto od bezpečnostních firem očekávají primárně koncepční řešení, a nejen jakési doporučení investovat do konkrétní technologie, kterou možná ani nepotřebují. Bezpečnostní firma tak v první řadě musí pochopit podnikání klienta a stát se jeho byznys partnerem. Teprve pak se společně s klientem může bavit o koncepcích, architektuře. Konkrétní technologie přichází na řadu až jako poslední.

Každý zákazník je v zabezpečení na nějaké konkrétní úrovni. Bez kvalitních základních bezpečnostních kamenů se ale nedají implementovat pokročilé koncepty a technologie. Pokud se tak stane, je otázkou, zda se neminou účinkem. A toto je úkol bezpečnostních architektů. Ti totiž objevují potenciální slabá místa v IT infrastrukturách a navrhují jejich nápravu. V zájmu všech potom je, aby vše bylo integrovatelné a hrálo dohromady – proto musí být základní stavební kameny na prvním místě.

Co jsou ale tyto základy? Jde například o řádnou (macro/micro) segmentaci sítě, princip vhodného přidělování oprávnění (tzv. least privilege), centrální správu identit vč. těch privilegovaných a jejich zabezpečení pomocí multifaktorového ověřování, vhodné zabezpečení koncových stanic, zabezpečení e-mailové a webové komunikace, znalost a viditelnost kompletního prostředí (vč. např. CMDB), porozumění datovým tokům a analýzu možných anomálií, centralizaci logů a jejich analýzu, pravidelné skenování zranitelností (externí, interní), pravidelné záplatování, školení zaměstnanců, a to včetně těch privilegovaných. Výčet by mohl pokračovat dalšími metodami a principy či službami, jako je již zmiňovaný SOC pro detekci, a ideálně odpovědí na bezpečnostní incidenty, službami threat intelligence, brand protection nebo přímo koncepcemi popisujícími samotné principy – jako je např. zero trust.

Dopady bezpečnostních incidentů

Každá firma ví, co se stane, když dojde k zatopení nebo vyhoření serverovny, někdo k ní přesekne přívodní elektrický kabel, vybije se UPSka nebo nenaběhne dieselový agregát. Už si ale neuvědomují dopady bezpečnostních incidentů například z pohledu DoS/DDoS útoků, šíření malwaru a ransomwaru a úniku citlivých osobních dat, jejich vystavení na darknetu, phishingových útoků a úniku identit (i těch privilegovaných). Ochranka přes fyzické dveře obvykle nevpustí nikoho bez oprávnění, ale IT oddělení může mít nevědomě otevřeno mnoho zadních vrátek, a komukoliv tak umožňuje vstoupit.

Tyto příklady se skutečně denně stávají, není to jen jakési strašení. Podobné útoky vedou ke ztrátě dobrého jména a reputace společnosti. Vybudovat dobré jméno společnosti trvá léta, jeho ztráta může být dílem okamžiku. Náprava poškozené reputace trvá o poznání déle. Přitom mnoho firem si úspěšnou obranou proti útoku dokázalo utvrdit svou pozici na trhu, a marketingově dokonce z útoku dokázalo udělat výhodu – to ovšem platí pouze v případě, že se útoku ubrání úspěšně.

Nepodceňujme analýzu rizik

Důkazem vysoké vyspělosti kterékoliv firmy je funkční analýza rizik – jedním dechem ale dodejme „funkční“ analýza. Součástí každé analýzy rizik musí být vyhodnocení primárních a podpůrných aktiv – tedy vyhodnocení systémů z pohledu důležitosti pro byznys. Z pohledu bezpečnosti jde o vyhodnocení typů systémů, které zpracovávají či uchovávají citlivá data. Do těchto systémů je potřeba z hlediska zabezpečení investovat primárně.

Správně provedená bezpečnostní analýza aktuálního stavu a vyspělosti, s doporučením řešení v závislosti na byznysu zákazníka, je nejlepší cestou. Vyhodnocení bezpečnostních rizik a jejich postupné nápravy podle úrovně rizika v porovnání s jejich finanční náročností – něco, čemu říkáme tzv. „low-hanging fruit“ – by mělo být požadavkem každého manažera. Firmy se díky tomu mohou vyvarovat nutnosti investovat do všech svých systémů, což by mohlo znamenat přílišnou finanční náročnost nebo nedostatečné zabezpečení ani jednoho ze systémů.

Přidaná hodnota analýzy rizik

Vhodným přístupem je si při řešení úrovně zabezpečení promluvit se zodpovědnými osobami ve firmě. Uspořádat technický workshop se systémovými, síťovými, aplikačními, bezpečnostními administrátory a administrátory koncových bodů, developery a jejich liniovými manažery. Ti totiž pomohou odkrýt aktuální stav a mnohdy sami pojmenují, co vnímají jako potenciální riziko. Přidanou hodnotou společných workshopů je fakt, že se jednotlivé týmy dozvědí řadu informací, které napomáhají k osvětlení mnoha skutečností, například ohledně nastavení procesů. Vznikají tak návrhy úpravy stávajících procesů a rozvíjí se vzájemná komunikace napříč odděleními. Komunikace je totiž v mnoha ohledech základním kamenem úrazu, a to i mezi zaměstnanci na stejném oddělení. Z praxe se jako prospěšné ukazuje, že by se těchto setkání neměl v prvních fázích účastnit vyšší management, protože linioví manažeři v jejich přítomnosti mají někdy tendenci neříkat úplně vše – nejsou otevření a mnohdy se snaží tzv. natírat trávu na zeleno.

Dost často se pak třeba přijde na to, že organizace sice má definované procesy, ale nemá potřebné technologie. Nebo naopak má technologie, ale nemá definované procesy, nebo dokonce nemá dostatek správců, což bývá mnohem častější. Snadno pak dochází k paradoxu, že organizace nakoupí technologie za miliony, ale nikdo jim nerozumí nebo je nemá kdo spravovat a pouze leží ladem. Přitom by je například mohla spravovat externí firma. Je tak více než vhodné odstranit komunikační bariéry uvnitř IT oddělení.

Síťová segmentace jako jeden z mnoha příkladů

Žádná organizace nikdy neřekne, že má špatně vyřešené své zabezpečení. Po assessmentu se však většinou zjistí, že dobře ho řeší pouze zlomek z nich. Typickým příkladem jsou např. výrobní firmy. Ty před auditem často tvrdí, že na úrovni zabezpečení IT mají striktně oddělené kanceláře od výroby. Jakmile proběhne audit, jasně se ukáže, že tomu tak není, a že kdyby na organizaci přes kanceláře udeřil ransomware, postihne to i výrobu. Přitom síťová segmentace je stará jako síťová komunikace sama a ani tento nešvar firmy stále neřeší správně (a to bohužel mnohdy i v rámci bankovního a finančního sektoru).

Abych ale nepoukazoval pouze na chyby. Musím vyzdvihnout, že podniky v Česku jsou dnes více než kdy jindy nakloněny investovat do kybernetické bezpečnosti a zvyšovat tím svou kybernetickou vyspělost. Výše investic opět záleží na konkrétní vertikále, povaze byznysu a sektoru. Například bankovní a finanční sektor je logicky investicím nakloněn více než sektory ostatní. Na druhou stranu, pokud se někde přidává, tak jinde pochopitelně může chybět. Dost často to potom odnáší jiná oddělení a mnohdy i IT oddělení, které musí snižovat své investice na pořizování výpočetní techniky, infrastruktury, nových systémů a služeb.

Bez správné strategie to nepůjde

Aby bezpečnost fungovala na globální úrovni, museli by všichni v celosvětovém měřítku stavět pomyslnou bezpečnostní zeď minimálně tak vysokou, aby bylo možné plošně odolat nejjednodušším typům útoků. Tedy aby bylo pro útočníky složité nebo příliš finančně náročné se přes ni dostat. Výška zdi by vždy měla odpovídat povaze a rizikovosti podnikání zákazníka a zároveň reflektovat finanční výdaje v porovnání s úrovní řízeného rizika. Dnes je zcela běžné si na darknetu za pár dolarů v podobě kryptoměny zakoupit útoky typu DoS/DDoS as a service; phishing as a service; ransomware as a service. Dokážou je ovládat i tzv. script kiddies (hackeři začátečníci), kteří pouze využívají předem vytvořené skripty a služby, a i tak jsou schopni útočit na mnoho společností po celém světě. Děje se tak právě proto, že organizace ve své IT infrastruktuře nemají vybudované dobré bezpečnostní základy, na kterých by mohly stavět a dále je rozvíjet.

Prvním krokem k jejich narovnání by tak mělo být odhalení bezpečnostních rizik a identifikace stavu, ve kterém se aktuálně společnost nachází. Následně by se mělo postupovat klidně po malých krůčcích, ale koncepčně. Architektonicky uchopit a připravit strategii, která povede k bodu, kdy organizace bude disponovat dostatečnou úrovní bezpečnostní vyspělosti. Bezpečnostní strategie tu jsou proto, aby organizace byly dlouhodobě schopné řízeně zvyšovat svou bezpečnost, odrazit plošné, ale ideálně i cílené útoky, fungovat pod takovými útoky, nebo aspoň vědět, co mají dělat, pokud k nim dojde a co se při útoku doopravdy stalo. A na to je zapotřebí pamatovat v první řadě.

Petr Kocmich Autor článku je Global Cyber Security Delivery Manager společnosti Soitron.