Kromě provozu generovaného botnety a necílených pokusů hromadného zneužívání je kybernetický šum tvořený např. vyhledávači zaměřenými na zařízení připojené k internetu (Shodan.io nebo Censys.io). Tento šum na pozadí vytváří také automatizovaný provoz různých webcrawlerů a botů, nebo brute force útoky. Velké množství tohoto nežádoucího provozu je pro organizace náročnou výzvou. Průměrná firma totiž každý den eviduje přístupy z desítek tisíc jedinečných IP adres. Každá z nich může generovat stovky až tisíce událostí, které mohou vyžadovat pozornost bezpečnostního týmu a jejich analýzu. Takže zatímco bezpečnostní analytici vyšetřují výstrahy způsobené botnety nebo amatérskými hackery, skutečný útočník se může vyhnout včasné detekci a nepozorovaně proniknout do podnikové sítě.

Většina firem, zejména malých a středních podniků, tak není ve válce proti cíleným útokům. Bojují proti generickým útokům, botnetům, masové exploataci a kybernetickému šumu. Proč? Protože to funguje. Důvodem, proč pozorujeme miliony útoků každý den, je jejich účinnost. Nestojí téměř nic. Zasáhnout desetitisíce malých a středních podniků s botnetovými agenty nebo ransomwarem možná nedostane útočníky „do zlatého Lamborghini“, ale nejspíš jim pomůže dosáhnout cíle bez zvýšené pozornosti ze strany policie nebo bezpečnostních složek (alespoň na nějakou dobu).

Dřív, než tento problém zamítnete jako irelevantní, položte si otázku: Máte již implementovaný SIEM, SOAR, XDR? Máte tým zkušených analytiků dohlížejících 24/7 na vaši organizaci? Pro většinu malých a středních podniků bude odpovědí „ne“, a právě proto se stávají snadnými oběťmi.

Jak se tedy účinně bránit proti těmto hrozbám?

• Zaveďte alespoň základní opatření kybernetické bezpečnosti: I základní opatření mohou udělat velký kus práce. Používejte firewall, pravidelně aktualizujte svůj software a ujistěte se, že vaše systémy jsou zabezpečeny proti známým zranitelnostem.
• Využijte to, co máte: S největší pravděpodobností má již vaše organizace next-gen firewall. Nastavte užitečné prvky jako dynamický firewall list a systém pro prevenci/odhalení proniknutí (IDS/IPS). Maximalizujte užitečnost svého firewallu jeho správným nastavením a využíváním.
• Používejte anti-malwarové řešení: Pravidelné skenování a funkce ochrany v reálném čase pomáhají snížit rizika.
• Pravidelně zálohujte svá data: V případě ransomwarového útoku mohou mít aktuální zálohy životně důležitý význam. Ujistěte se, že jsou vaše zálohy uloženy bezpečně, a pravidelně je testujte.
• Monitorujte síťový provoz: Ačkoli malé a střední podniky nemusí mít sofistikované monitorovací systémy jako SIEM nebo SOAR, jednoduché nástroje pro monitorování sítě mohou pomoci identifikovat neobvyklé aktivity, které by mohly naznačovat útok.
• Vypracujte plán reakce: Vězte, co dělat v případě kybernetického incidentu. Mít plán reakce může pomoci omezit škody a rychleji se vzpamatovat z útoku.

Vlad Iliushin Autor článku je expertem na kybernetickou bezpečnost, spoluzakladatelem a CEO společnosti ELLIO Technology. Je také členem představenstva AMTSO (Anti-Malware Testing Standards Organisation), kde se aktivně podílí na vývoji nových testovacích pravidel pro produkty kybernetické bezpečnosti.