Evoluce kybernetických hrozeb

Finanční dopady ransomware útoků dosáhly v roce 2023 historického maxima, když celkové platby překročily 1 miliardu dolarů. Zajímavý je přitom vývoj v předchozích letech – zatímco v roce 2020 šlo o 905 milionů USD a v roce 2021 o 983 milionů USD, v roce 2022 došlo k dočasnému poklesu na 567 milionů USD. Tento pokles však neznamenal snížení aktivity útočníků, ale spíše jejich přesun k cílenějším a lukrativnějším obětem.

Z globálního průzkumu mezi 900 IT a bezpečnostními profesionály vyplynuly alarmující závěry. Celých 83 % firem uvedlo, že se v posledních dvanácti měsících stalo obětí ransomware útoku. Ještě znepokojivější je, že 74 % napadených subjektů čelilo opakovaným útokům. Většina obětí (78 %) se rozhodla výkupné zaplatit, přičemž téměř třetina z nich tak učinila čtyřikrát nebo vícekrát. Nejhorší zprávou však je, že 35 % zaplatilo, ale nedostalo dešifrovací klíč nebo se jim nepodařilo data plně obnovit.

Tyto údaje jasně dokazují, že tradiční preventivní opatření, jako jsou firewally nebo antivirové programy, již nestačí. Moderní kybernetická obrana musí být založena na pokročilých detekčních a reakčních mechanismech, které firmám umožní efektivně čelit útokům i po jejich průniku do sítě.

Nebezpečné zneužití AI

Umělá inteligence sice přináší nové možnosti pro kybernetickou obranu, ale zároveň radikálně zefektivňuje útočné techniky. Mezi nejčastější zneužití patří hlasové klonování a deepfake technologie, které umožňují útočníkům věrohodně napodobit hlasy vedoucích pracovníků a podvodně iniciovat finanční transakce.

Dalším významným rizikem je využití generativní AI a velkých jazykových modelů (LLM). Hackeři je používají k automatizaci phishingových kampaní a tvorbě přesvědčivých podvodných zpráv, které snáze obelstí i ostražité uživatele. Stále také roste popularita modelu RaaS (Ransomware-as-a-Service), který umožňuje i technicky méně zdatným útočníkům provádět sofistikované útoky, což vede k masivnímu nárůstu incidentů.

Geopolitické napětí a útoky na kritickou infrastrukturu

V kontextu globálních konfliktů dochází k výraznému nárůstu cílených útoků na klíčové sektory, jako je energetika, zdravotnictví a výroba. Státem sponzorované hackerské skupiny využívají kybernetické operace k destabilizaci, špionáži a ekonomickému nátlaku. Právě proto je nutné posílit odolnost kritické infrastruktury, jak požaduje směrnice NIS2.

Proč tradiční prevence selhává?

Běžné bezpečnostní nástroje, jako jsou firewally nebo řešení pro detekci a reakci na koncových zařízeních (EDR), často nedokážou čelit pokročilým útokům. Jakmile útočník překoná preventivní bariéry, firma bez účinné druhé linie obrany zůstává prakticky bezbranná.

Výzvy spojené s rostoucím objemem síťového provozu

Exponenciální nárůst east-west provozu (komunikace uvnitř sítě) představuje významný problém pro monitorovací nástroje, které často nedokážou dostatečně škálovat. Další komplikací je rostoucí podíl šifrované komunikace (TLS 1.3, Perfect Forward Secrece), která sice zvyšuje bezpečnost, ale zároveň omezuje možnosti detekce založené na signaturách.

Nutnost pokročilé detekce a reakce

Vzhledem k neustálému zdokonalování útočných technik musí moderní obrana spoléhat na behaviorální analýzu, která dokáže odhalit anomálie na základě odchylek od běžného provozu. Klíčové je také monitorování šifrovaného provozu bez nutnosti jeho dešifrování. Nejefektivnější obrannou strategií je integrovaný přístup založený na kombinaci SIEM (Security Information & Event Management), NDR (Network Detection & Response) a EDR (Endpoint Detection & Response), který tvoří tzv. SOC Visibility Triad. Přináší komplexní viditelnost a výrazně zvyšuje šanci na to, že útočník v síti nebude řádit tak dlouho, aby naplnil své poslání.

Dopad směrnice NIS2 na kybernetickou bezpečnost

Směrnice NIS2 ukládá subjektům kritické infrastruktury (Essential and Important Entities) nové povinnosti, včetně povinného hlášení incidentů (do 24 hodin prvotní varování, do 72 hodin podrobné ozná­me­ní, do 1 měsíce závěrečná zpráva). Dále vyžaduje kontinuální mo­ni­to­ro­vá­ní sítě v reálném čase (článek 11) a zajištění odolnosti do­da­va­tel­ské­ho řetězce včetně použití vhodného šifrování (článek 21).

Firmy, které nedokážou prokázat dostatečnou úroveň zabezpečení, čelí vysokým pokutám. Klíčovým nástrojem pro splnění těchto požadavků je NDR technologie, která umožňuje detekci anomálií v N/S a E/W provozu, analýzu šifrovaného provozu bez nutnosti jeho dešifrování a automatizovanou reakci na hrozby včetně integrace s CSIRT týmy.

Praktický příklad: Detekce laterálního pohybu v DMZ

Organizace veřejného sektoru se stala obětí útoku, při kterém útočník pronikl do vnitřní sítě a získal přístup na server v DMZ. Díky nasazení NDR řešení se podařilo včas odhalit neobvyklé připojení z DMZ do interních segmentů, identifikovat slovníkový útok a lateral movement pomocí behaviorální analýzy a hrozbu zastavit. Díky včasné detekci NDR a reakci bezpečnostního týmu se útok podařilo izolovat do jedné hodiny. Dříve, než mohlo dojít k masivní kompromitaci. Tento případ jasně ukazuje, že bez pokročilé síťové viditelnosti by útočník mohl operovat v síti dlouhodobě bez povšimnutí a páchat škody.

Vidět, znamená přežít

V současné éře, kdy kybernetické útoky využívají umělou inteligenci, ransomware představuje každodenní hrozbu a geopolitické napětí se promítá do kyberprostoru, je síťová viditelnost naprosto zásadním prvkem obrany. Směrnice NIS2 tento trend potvrzuje a vyžaduje od firem proaktivní monitorování, rychlou detekci a efektivní reakci. Komplexní přístup založený na trojkombinaci SIEM, NDR a EDR po­má­há zajistit vrstvenou ochranu a odolnost proti moderním hrozbám.

Investice do pokročilých technologií pro detekci a reakci na síťové hrozby již není pouhou možností, ale nezbytností pro přežití v digitálním světě. Firmy, které tuto skutečnost podcení, riskují nejen finanční ztráty, ale také poškození reputace a v konečném důsledku i svou existenci.

Filip Černý Autor článku je Product Marketing Manager ve společnosti Progress.