facebook LinkedIN LinkedIN - follow
Hlavní partner sekce
Partneři sekce
Tematické sekce
 
Branžové sekce

Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky

Přehledy
 
Partneři webu
Cyber Security I , IT Security

Tradiční bezpečnostní modely v éře AI útoků nestačí

Filip Černý


Kybernetická bezpečnost prochází v posledních letech zásadní transformací. S nárůstem digitalizace, rozvojem umělé inteligence a rostoucím geopolitickým napětím se kybernetické hrozby stávají čím dál sofistikovanějšími a zároveň destruktivnějšími. Evropská unie na tuto situaci reagovala aktualizovanou směrnicí NIS2, která výrazně rozšiřuje požadavky na kybernetickou odolnost subjektů kritické infrastruktury. V tomto kontextu se jako klíčový prvek efektivní obrany ukazuje maximální viditelnost v síti, která umožňuje nejen včasnou detekci hrozeb, ale také účinnou analýzu a reakci na incidenty.


Evoluce kybernetických hrozeb

Finanční dopady ransomware útoků dosáhly v roce 2023 historického maxima, když celkové platby překročily 1 miliardu dolarů. Zajímavý je přitom vývoj v předchozích letech – zatímco v roce 2020 šlo o 905 milionů USD a v roce 2021 o 983 milionů USD, v roce 2022 došlo k dočasnému poklesu na 567 milionů USD. Tento pokles však neznamenal snížení aktivity útočníků, ale spíše jejich přesun k cílenějším a lukrativnějším obětem.

Z globálního průzkumu mezi 900 IT a bezpečnostními profesionály vyplynuly alarmující závěry. Celých 83 % firem uvedlo, že se v posledních dvanácti měsících stalo obětí ransomware útoku. Ještě znepokojivější je, že 74 % napadených subjektů čelilo opakovaným útokům. Většina obětí (78 %) se rozhodla výkupné zaplatit, přičemž téměř třetina z nich tak učinila čtyřikrát nebo vícekrát. Nejhorší zprávou však je, že 35 % zaplatilo, ale nedostalo dešifrovací klíč nebo se jim nepodařilo data plně obnovit.

Tyto údaje jasně dokazují, že tradiční preventivní opatření, jako jsou firewally nebo antivirové programy, již nestačí. Moderní kybernetická obrana musí být založena na pokročilých detekčních a reakčních mechanismech, které firmám umožní efektivně čelit útokům i po jejich průniku do sítě.

Nebezpečné zneužití AI

Umělá inteligence sice přináší nové možnosti pro kybernetickou obranu, ale zároveň radikálně zefektivňuje útočné techniky. Mezi nejčastější zneužití patří hlasové klonování a deepfake technologie, které umožňují útočníkům věrohodně napodobit hlasy vedoucích pracovníků a podvodně iniciovat finanční transakce.

Dalším významným rizikem je využití generativní AI a velkých jazykových modelů (LLM). Hackeři je používají k automatizaci phishingových kampaní a tvorbě přesvědčivých podvodných zpráv, které snáze obelstí i ostražité uživatele. Stále také roste popularita modelu RaaS (Ransomware-as-a-Service), který umožňuje i technicky méně zdatným útočníkům provádět sofistikované útoky, což vede k masivnímu nárůstu incidentů.

Geopolitické napětí a útoky na kritickou infrastrukturu

V kontextu globálních konfliktů dochází k výraznému nárůstu cílených útoků na klíčové sektory, jako je energetika, zdravotnictví a výroba. Státem sponzorované hackerské skupiny využívají kybernetické operace k destabilizaci, špionáži a ekonomickému nátlaku. Právě proto je nutné posílit odolnost kritické infrastruktury, jak požaduje směrnice NIS2.

Proč tradiční prevence selhává?

Běžné bezpečnostní nástroje, jako jsou firewally nebo řešení pro detekci a reakci na koncových zařízeních (EDR), často nedokážou čelit pokročilým útokům. Jakmile útočník překoná preventivní bariéry, firma bez účinné druhé linie obrany zůstává prakticky bezbranná.

Výzvy spojené s rostoucím objemem síťového provozu

Exponenciální nárůst east-west provozu (komunikace uvnitř sítě) představuje významný problém pro monitorovací nástroje, které často nedokážou dostatečně škálovat. Další komplikací je rostoucí podíl šifrované komunikace (TLS 1.3, Perfect Forward Secrece), která sice zvyšuje bezpečnost, ale zároveň omezuje možnosti detekce založené na signaturách.

Nutnost pokročilé detekce a reakce

Vzhledem k neustálému zdokonalování útočných technik musí moderní obrana spoléhat na behaviorální analýzu, která dokáže odhalit anomálie na základě odchylek od běžného provozu. Klíčové je také monitorování šifrovaného provozu bez nutnosti jeho dešifrování. Nejefektivnější obrannou strategií je integrovaný přístup založený na kombinaci SIEM (Security Information & Event Management), NDR (Network Detection & Response) a EDR (Endpoint Detection & Response), který tvoří tzv. SOC Visibility Triad. Přináší komplexní viditelnost a výrazně zvyšuje šanci na to, že útočník v síti nebude řádit tak dlouho, aby naplnil své poslání.

Dopad směrnice NIS2 na kybernetickou bezpečnost

Směrnice NIS2 ukládá subjektům kritické infrastruktury (Essential and Important Entities) nové povinnosti, včetně povinného hlášení incidentů (do 24 hodin prvotní varování, do 72 hodin podrobné ozná­me­ní, do 1 měsíce závěrečná zpráva). Dále vyžaduje kontinuální mo­ni­to­ro­vá­ní sítě v reálném čase (článek 11) a zajištění odolnosti do­da­va­tel­ské­ho řetězce včetně použití vhodného šifrování (článek 21).

Firmy, které nedokážou prokázat dostatečnou úroveň zabezpečení, čelí vysokým pokutám. Klíčovým nástrojem pro splnění těchto požadavků je NDR technologie, která umožňuje detekci anomálií v N/S a E/W provozu, analýzu šifrovaného provozu bez nutnosti jeho dešifrování a automatizovanou reakci na hrozby včetně integrace s CSIRT týmy.

Praktický příklad: Detekce laterálního pohybu v DMZ

Organizace veřejného sektoru se stala obětí útoku, při kterém útočník pronikl do vnitřní sítě a získal přístup na server v DMZ. Díky nasazení NDR řešení se podařilo včas odhalit neobvyklé připojení z DMZ do interních segmentů, identifikovat slovníkový útok a lateral movement pomocí behaviorální analýzy a hrozbu zastavit. Díky včasné detekci NDR a reakci bezpečnostního týmu se útok podařilo izolovat do jedné hodiny. Dříve, než mohlo dojít k masivní kompromitaci. Tento případ jasně ukazuje, že bez pokročilé síťové viditelnosti by útočník mohl operovat v síti dlouhodobě bez povšimnutí a páchat škody.

Vidět, znamená přežít

V současné éře, kdy kybernetické útoky využívají umělou inteligenci, ransomware představuje každodenní hrozbu a geopolitické napětí se promítá do kyberprostoru, je síťová viditelnost naprosto zásadním prvkem obrany. Směrnice NIS2 tento trend potvrzuje a vyžaduje od firem proaktivní monitorování, rychlou detekci a efektivní reakci. Komplexní přístup založený na trojkombinaci SIEM, NDR a EDR po­má­há zajistit vrstvenou ochranu a odolnost proti moderním hrozbám.

Investice do pokročilých technologií pro detekci a reakci na síťové hrozby již není pouhou možností, ale nezbytností pro přežití v digitálním světě. Firmy, které tuto skutečnost podcení, riskují nejen finanční ztráty, ale také poškození reputace a v konečném důsledku i svou existenci.

Filip Černý Filip Černý
Autor článku je Product Marketing Manager ve společnosti Progress.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Modernizace IS je příležitost přehodnotit způsob práce

IT Systems 4/2025V aktuálním vydání IT Systems bych chtěl upozornit především na přílohu věnovanou kybernetické bezpečnosti. Jde o problematiku, které se věnujeme prakticky v každém vydání. Neustále se totiž vyvíjí a rozšiřuje. Tematická příloha Cyber Security je příležitostí podívat se podrobněji, jakým kybernetickým hrozbám dnes musíme čelit a jak se před nimi můžeme chránit. Kromě kybernetické bezpečnosti jsme se zaměřili také na digitalizaci průmyslu.