Kyberútok a kyberobrana jsou ve své podstatě dvě strany jedné mince, přičemž o síle jednoho či druhého rozhoduje finanční náročnost útoku či obrany a potenciální zisk z odcizení, nebo naopak hodnota uchránění dat. „Nic jako 100% ochrana před kyberútoky neexistuje. Každý systém je napadnutelný, má-li k útočník dostatek prostředků a věří-li, že se mu útok i s vynaložením těchto prostředků vyplatí,“ říká Adam Paclt, spoluzakladatel společnosti APPSEC, která je předním specialistou na kybernetickou bezpečnost na českém trhu.

Adam Paclt

Tři tipy kybernetických útoků

Kyberútoky lze rozdělit na tři základní skupiny: V první skupině najdeme hackery, jejichž cílem je „pouze“ disrupce a páchání škody. Z útoků tím pádem neplynou žádné významné finanční zisky, a proto jsou tyto útoky poměrně jednoduché, byť potenciálně nepříjemné. Typickým příkladem jsou DDoS útoky, které lze přirovnat k hození cihly do výlohy a jednorázové škodě, jež z takového činu plyne.

Na druhé straně spektra kybernetických hrozeb jsou státy organizované či sponzorované hackerské akce, které mají velké zdroje financování a soustředí se obvykle na strategické cíle a kritickou infrastrukturu. Příkladů takových útoků jsme mohli vidět v aktuální rusko-ukrajinské válce několik. Ruským hackerům se například podařilo krátce před vypuknutím invaze vyřadit z provozu satelitní komunikační systém americké firmy Viasat, který využívala ukrajinská armáda. Hlavní motivací těchto útoků jsou (geo)politické či vojenské záměry, ať už se jedná o odcizení dat nebo páchání škod za účelem oslabení jiného státu a jeho složek.

Protože bránit se státy sponzorovaným útokům je pro běžné firmy, jejich uživatele, a především rozpočty téměř nereálné, je pro ně největším rizikem třetí skupina kybernetických hrozeb. Do ní spadají profesionální skupiny soukromých hackerů, jejichž cílem je zisk. Jeli­kož je jejich primární motivací vydělávat na útocích peníze, zvyšuje se i sofistikovanost útoků. Hackeři obvykle nakupují komerční exploi­ty, s jejichž pomocí se snaží proniknout do firmy a získávat z ní data, které posléze prodají. Tyto skupiny tak fungují jako plnohodnotné „hackerské firmy“ se vším všudy, včetně specializovaných tipařů, kteří vyhledávají cíle útoků, hackerů, kteří útok provedou, a obchodníků, kteří odcizená data zpeněží na darknetu.

Strojové učení v rukou hackerů

Právě v případě komerčních skupin hackerů, kteří útočí na komerční subjekty, hrají klíčovou roli technologie – a to jak na straně útočníků, tak na straně firem.

Kybernetické hrozby jsou totiž čím dál sofistikovanější. Black hat hackeři mnohdy používají k nalezení slabin společností zcela automatizované prostředky, ať už pro získání informací v reálném čase nebo analýzu velkých dat. Mezery v zabezpečení firem díky tomu nemusí hledat ručně – mnohé hackerské skupiny využívají automatizaci a algoritmy strojového učení, které zranitelnost odhalí za ně. Cílem hackerského útoku se tak mohou firmy stát poměrně nahodile – hackeři zkrátka zaútočí na organizaci jednoduše na základě odhalení její zranitelnosti.

Potenciál etického hackingu

Jedním ze způsobů, jak mohou firmy udržet před hackery náskok, je etický hacking. Ačkoliv mnoho lidí stále pohlíží na legální hackery skrz prsty, právě praxe etického hackingu nabízí v obraně před kyberúto­ky obrovský potenciál. Pomáhá totiž firmám využít ve svůj prospěch stejné technologické prostředky, které používají samotní hackeři.

V čem etický hacking (někdy se nazývá white hat hacking) spočívá? Specializované firmy se při něm pokouší simulovaně proniknout skrz firemní zabezpečení, aby otestovaly jeho skuliny a chyby. Využívají přitom techniky a taktiky typické pro black hat útočníka. Jedná se o jednu z nejmodernějších metod penetračního testování bezpečnostních slabin podnikových systémů.

Penetrace do systému? Někdy i během minut

„Naše služba ,Blackhat‘ testování se obvykle dělí na dvě základní kategorie. Při externím testu se pokoušíme o vnější proniknutí skrz zabezpečení, aniž bychom měli o firmě detailní interní informace. Při interním testu naopak provádíme útok z vnitřní sítě s použitím přístupů běžného uživatele, tedy například zaměstnance společnosti,“ popisuje různé typy etického hackingu Adam Paclt. Společnost APPSEC, již spoluzaložil, se na zajišťování a aktivní testování kybernetické obrany firem specializuje. Využívá k tomu vlastní databáze a interní nástroje založené na algoritmickém testování, s jejichž pomocí lze demonstrovat i exploitace. Díky tomu se analyzuje celý perimetr testovaného systému, předchozí úniky dat a další možné průniky do systému a jeho aplikací.

„Služba ,Blackhat‘ testování otevírá organizacím oči. Penetrační testem jsme například zjistili, že se dá během 10 minut proniknout do systému jisté fakultní nemocnice, během jedné hodiny pak ovládnout kritické systémy, včetně systému pro monitoring životních funkcí pacienta,“ říká Adam Paclt. „Hlavním cílem ale samozřejmě není na zranitelnost pouze ukázat, ale především zjištěné mezery ošetřit a organizacím se zabezpečením odborně pomoct.“ Využití zbraní black hat hackingu k obraně systému je jedním z nejúčinnějších způsobů, jak se před útoky bránit. Tým APPSEC proto tvoří nejen etičtí hackeři, ale také experti na kybernetickou bezpečnost.

Budoucnost v rukách cloudových poskytovatelů

Stejně jako se technologie neustále vyvíjejí, je i kybernetické zabez­pe­če­ní nepřetržitý, nikdy nekončící proces. „Nejpokročilejší kyberne­tic­ké zabezpečení poskytují v současné době technologie XDR, které identifikují hrozby v reálném čase a automatizují jejich nápravu. Typickým příkladem je SentinelOne, jenž k ochraně systému využívá neuronové sítě a chrání kompletní IT infrastrukturu, od pracovních stanic přes servery až po IoT zařízení,“ popisuje Adam Paclt.

Platforma XDR shromažďuje data o hrozbách z různých, dříve separovaných nástrojů zabezpečení. Bezpečnostní telemetrii získává z koncových stanic, cloudových pracovních zátěží, síťových e-mailů a dalších zdrojů napříč organizací. To usnadňuje a urychluje vyhledávání hrozeb, vyšetřování bezpečnostních incidentů, a především reakci na útok.

Aktuální výzvou je pak zabezpečení cloudových služeb, které firmy využívají čím dál častěji. „To však zároveň pro firmy znamená méně starostí, neboť hlavní zodpovědnost za bezpečnost mají v takovém případě poskytovatelé cloudových služeb. Právě ti zřejmě rozhodnou, jakým směrem se oblast kyberbezpečnosti vydá do budoucna, neboť oni budou mít hlavní kontrolu nad daty i zodpovědnost za jejich zabezpečení,“ zakončuje Adam Paclt.