Kyberzločinci už nemusí útočit na dobře zabezpečený perimetr vaší firmy, svého cíle totiž mohou dosáhnout mnohem snadněji s využitím vašich vlastních zaměstnanců. Hacker je jednoduše požádá o spolupráci, třeba o prozrazení hesel nebo o nainstalování malwaru – stačí přitom, aby uspěl v pouhém 1 % případů a má vyhráno. Reálná efektivita těchto tzv. social-engineering útoků je bohužel poměrně vysoká, a je základem většiny těch úspěšně provedených.

Dnes už naštěstí většina firem chápe, že základní firewall pro ochranu informačních systémů nestačí a investuje do sofistikovanější výbavy jako je IPS/IDS, pokročilá detekce malwaru, detekce anomálií atd. Taková pokročilejší ochrana sice přináší úspěchy na perimetru, ale na koncových bodech je zatím využívána jen omezeně. I to je jedním z důvodů, proč jsou koncové body nejčastějším terčem kyberútoků.

Úspěchy sociálního inženýrství

Téměř třetina závažných úniků dat je způsobena omylem a neznalostí vlastních zaměstnanců firmy. Motivem napadaných uživatelů, kteří kliknou, kam nemají, bývá chamtivost, touha po rozptýlení, zvědavost, neznalost a strach. Jen díky tomu zaměstnanci v dobré víře prozradí útočníkovi tajné informace, „kliknou“ na odkaz či přímo pošlou peníze.

Na straně útočníků je pak motivací většinou finanční zisk, menší část tvoří cílené špionáže, včetně mezistátních. Sociální inženýrství stojí téměř za polovinou všech úspěšných úniků dat za poslední rok. Ve více než 90 % se jedná o phishing.

Za poslední rok dle dostupných dat zaznamenaly phishing cca tři čtvrtiny firem. 45 % podniků se pak setkalo s tzv. „vishingem“ přes telefonní hovor či „smishingem“ přes SMS zprávy. Vzácnější jsou potom útoky s využitím USB, s nimi se setkaly 3 % společností.

Zhruba polovina společností má zkušenost s nějakou formou „spear-phishingu“ (cíleného phishingu), z nichž asi největší dopady mají útoky typu BEC – Business Email Compromise. Útočník např. pošle jménem dodavatele email finančnímu řediteli odběratelské firmy, aby zaplatil fakturu na nový bankovní účet. Je jasné, že se jedná o bankovní účet útočníka. Úspěšnost takových útoků bývá překvapivě vysoká, protože firmy si podvržené emaily nekontrolují a nemají zavedenou křížovou kontrolu u finančních transakcí.

Jaké jsou dopady phishingových útoků?

Phishingové útoky jsou velmi účinné a za loňský rok se jejich negativní dopady ještě zvýšily. Přímé následky lze rozdělit do následujících skupin:

• infekce malwaru (např. ransomwaru),
• kompromitace interních účtů,
• únik dat.

Následné dopady potom zahrnují typicky:

• finanční ztráty,
• ztrátu času a produktivity,
• narušení provozu,
• ztrátu reputace apod.

Jaká je úroveň bezpečnosti koncových stanic?

Až 70 % firem vnímá narůstající bezpečnostní riziko v oblasti koncových bodů. Většina z nich však dosud nezavedla žádný efektivní způsob patchování, který by chránil ty nekritičtější cesty, jimiž se útočník může dostat k citlivým datům nebo k jinému cíli. Útočníci většinou nepotřebují hledat nové cesty, ale stačí jim zneužít zranitelnosti, které jsou už léta známé.

Navíc za poslední roky došlo k několika změnám, které významně přispívají k úspěšnosti útoků pomocí koncových stanic.

Fileless útoky

V malwarových útocích se výrazně zvyšuje podíl tzv. „fileless“ útoků. Ty jsou hůře detekovatelné, protože nestahují škodlivé soubory, ale místo toho využívají exploity, makra, skripty a legitimní systémové nástroje. Jakmile je počítač kompromitován, útočník může zneužít systémové administrátorské nástroje a procesy, a tím si zvyšovat privilegia nebo se rozšiřovat dále po síti.

Za loňský rok se podíl fileless útoků zvýšil z 20% na 29% a během letošního roku pravděpodobně stoupne až na 35%. Tento typ útoků sice není nejčastější, za to je nejefektivnější. Fileless útoky se vloni podílely na 77% úspěšných útoků.

Konflikty a nákladnost stávajících nástrojů

Dalším problémem snižujícím efektivitu obrany je „přehuštěný prostor“ v endpointové obraně.

Řada firem postupně přidávala do bezpečnostního portfolia další a další dílčí nástroje a ve větších firmách tak dnes mají na koncových stanicích 7 až 10 různých bezpečnostních agentů, ke kterým bezpečnostní specialisté potřebují několik ovládacích a monitorovacích konzolí.

Provoz takového celku je ale zbytečně nákladný a neefektivní. Nástroje totiž často nespolupracují a způsobují zmatek spouštěním falešných poplachů. Většina firem proto dnes uvažuje o konsolidaci a zvýšení efektivity celého portfolia bezpečnostních nástrojů právě na koncových bodech.

Další související problémy

Šifrování komunikací a posun detekce na koncové body

Šifrované komunikace se objevují stále častěji. Pokud je nemůžete dešifrovat na perimetru (z technických či legislativních důvodů), nezbývá vám než posunout veškeré pokročilejší detekční nástroje na úroveň koncového bodu, kde je komunikace rozšifrovaná a můžete zkontrolovat, zda neobsahuje např. nějaký malware.

Cloud a BYOD

Mnoho firem využívá cloudová úložiště. Pro přístup do cloudových aplikací můžou dnes zaměstnanci použít libovolný počítač a mobil, a webový browser se potom společně s identifikací a autentizací stává jediným kontrolním mechanismem.

Stále více se také stírají rozdíly mezi firemníma soukromým počítačem či mobilem. Zaměstnanci používají firemní nástroje i k přístupu na soukromé sociální sítě a firmy zároveň umožňují přístup do svého cloudového prostředí z libovolných nástrojů včetně soukromých. V takových situacích je nutné přidávat speciální detekční nástroje, které umožní monitorovat veškeré komunikace v sítích, v aplikacích a v cloudu, sledovat chování zaměstnanců a detekovat anomálie způsobené přístupem nějakého útočníka.

Za poslední rok je bilance útoků na soukromá (40 %) i firemní zařízení (42 %) přitom vyrovnaná. Mobilní zařízení pak byla napadena ve 24 % případů.

Jaké jsou možnosti řešení?

Optimální řešení by mělo zahrnovat integrovaný komplex všech níže uvedených opatření.

Práce s uživateli a jejich právy

Do této skupiny opatření patří například:

• trvalá inventarizace všech dat, aplikací/systémů, uživatelů, jejich rolí a přístupových práv,
• řízení přístupu uživatelů (zejména těch pokročilých jako jsou administrátoři a management), včetně minimalizace práv a vícefaktorové autentizace,
• vzdělávání uživatelů, včetně testování, trénování a víceúrovňové osvěty,
• monitoring a vyhodnocování rizikovosti uživatelů.

Trvalá inventarizace, klasifikace a řízení aktiv, uživatelů a jejich rolí

Jedním z naprosto základních opatření, které dokonce patří do seznamu „základní kybernetické hygieny“ a přináší nejvyšší efektivitu v obraně proti útokům, je obyčejné zavedení pořádku v inventarizaci aktiv. V naprosté většině firem však dodnes chybí. V tomto ohledu by si však každá společnost měla umět odpovědět na následující otázky:

• S jakými daty pracuje?
• K čemu jednotlivé skupiny dat potřebuje? Nemají nějaká data „navíc“?
• Která data jsou pro jejich byznys nejdůležitější?
• Která data jsou citlivá z pohledu zajištění důvěrnosti?
• Která jsou kritická z pohledu integrity a/nebo dostupnosti?
• A která kritická data je opravdu potřeba mít přímo na koncových stanicích? (Většinou je to jen malá část z té směsi, kterou na koncových stanicích při auditu nacházíme.)

Podobně, jako je nutné mít pořádek v datech, je nezbytné mít „čisto“ v IT nástrojích a aplikacích. Je důležité vědět, kolik má firma aktuálně běžících serverů. Který z nich patří do produkce, který je v testech a který ve vývoji. Jaký software je nainstalován a jaký software, které aplikace jsou nainstalovány na různých koncových stanicích. Dále také, co z toho spektra uživatelé doopravdy nutně potřebují pro svou práci.

Na úklid dat a aplikací by měl navázat také úklid v přístupových právech a rolích všech uživatelů. Firma by měla zhodnotit, zda je nutné, aby všichni (i řadoví uživatelé) měli plná administrátorská práva na koncových stanicích. V případě jejich omezení zablokujete obrovskou část různých útoků, například můžete zamezit instalaci malwaru apod. Dále, zda všichni zaměstnanci opravdu potřebují mít práva zápisu na všech serverech a úložištích. V neposlední řadě je třeba si říct, zda pravidelně alespoň jednou za rok kontroluje přístupová práva nějaký auditor.

V rámci nastavení tohoto pořádku lze obecně doporučit jedno „zlaté“ pravidlo: minimalizace, minimalizace a ještě jednou minimalizace. Samozřejmě, že uživatelé musí mít pohodlný a efektivní přístup ke všemu, co pro svou práci potřebují, o nic méně ani více. Totéž platí i pro administrátory a management, včetně generálního ředitele. Koneckonců, cílený útok hackerů je velmi často směřován právě na koncové stanice a účty pokročilých administrátorů nebo nejvyššího managementu (tzv. „whaling“), tj. na někoho, s jehož právy se dostanou k cílovému bodu.

Vzdělávání a osvěta uživatelů

Řada firem již dnes zavádí povinná školení kybernetické bezpečnosti, většinou však bez adekvátních výsledků. Formou i obsahem jsou často nezáživná a uživatel se jen „prokliká“ testy bez většího zájmu. Školení musí být zajímavé a obsahovat bloky užitečné i pro soukromý život (bezpečný pohyb na sociálních sítích, bezpečnost dětí, mobilů, bezpečnost na dovolené atd.), jedině tak bude dostatečně efektivní. Nezbytný je také praktický trénink a průběžné testování chování v reálném životě (testovací phishing ve všech variantách, včetně cvičných phishingových emailů, telefonátů od „kolegů“ nebo „zapomenutých“ USB klíčů).

Monitoring a vyhodnocování rizikovosti uživatelů

Na osvětu uživatelů, úklid a minimalizaci jejich práv, přístupu k datům a kontrolu SW konfigurace jejich stanic a mobilů, by měla navázat další fáze, pod heslem „důvěřuj, ale prověřuj“, respektive „nedůvěřuj, a prověřuj“. Přinejmenším všichni „citliví“ zaměstnanci, tj. všichni s pokročilými právy, by měli být i pod drobnohledem, který sleduje jejich chování a vyhodnocuje všechny rizikové anomálie.

Monitoring chování a řízení přístupu uživatelů je ve většině firem řešen neefektivně, zejména v oblasti mobilních a cloudových aplikací. Objemy dat a aplikací v cloudu narůstají, a tudíž je nutné řešit dohled i v této sféře. Doporučuji zamyslet se nad využitím bezpečnostních služeb jednotlivých cloudových poskytovatelů (jako např. Microsoft, který v prémiových nástrojích umožňuje i detailní vyhodnocování rizikovosti jednotlivých uživatelů, nebo Google se silnějšími metodami autentizace) a při větším počtu využívaných cloudů od různých poskytovatelů vybrat nějaký nástroj typu CASB (Cloud Access Security Broker).

Zlepšení ochrany koncových stanic a mobilů

Na koncových stanicích a mobilech je kromě již zmíněného úklidu vhodné zavést i technická bezpečnostní opatření, minimálně ve dvou oblastech:

• Endpoint Protection Platform
• detekce zranitelností a řízené patchování

Pojem „Endpoint Protection Platform“ se dnes používá jako zastřešující název pro skupinu donedávna roztříštěných bezpečnostních nástrojů, které jsou dnes často k dispozici jako předintegrované balíky. Tyto balíky, které bychom v mírných modifikacích měli používat na klasických koncových počítačích i na mobilech, potom zahrnují zejména následující funkce:

1. Ochrana proti škodlivému softwaru – tato ochrana by měla zahrnovat nejen „tradiční“ antivir, ale i napojení na sandboxing pro detekci a blokaci pokročilého, tzv. zero-day malwaru. Je nutné si říci, že tato ochrana často může narážet na několik limitů, např.:
   • Plnohodnotná analýza v sandboxu často trvá několik minut, a tudíž buďto budeme uživatelům „zadržovat“ stažení souborů až do dokončení kontroly, nebo jim budeme doručovat alespoň „obrázek“ dokumentu, či budeme riskovat nákazu a následně budeme řešit zpětné „dohledávání“, kam všude se mezitím malware stihl rozšířit.
   • Plnohodnotná analýza je výkonově dost náročná a zatím není reálné ji provádět přímo na koncových stanicích, proto je potřeba počítat s přeposíláním všech podezřelých souborů do externího sandboxu (on-premise ve firmě, nebo spíše v cloudu).
   • Útočníci neustále vylepšují efektivitu útoků, například přesunem od souborových malwarů k fileless útokům.
2. Personální firewall a řízení portů – tyto funkce by měly zajistit ochranu před všemi základními typy útoků a zajistit, aby se uživatel vědomě či nevědomě nepřipojoval na nebezpečné služby.
3. Kontrola aplikací – tato funkce, pokud si uděláme úklid v inventarizaci všech potřebných aplikací, nám potom může tento úklid „vynutit“. S ní zajistíme, že na koncové stanici se spustí pouze předem vybrané a schválené aplikace, ve schválené konfiguraci (white-listing), a že se naopak nespustí vybrané známé škodlivé aplikace (black-listing).
4. Ochrana uložených dat – zejména pro mobilní stanice (notebooky, mobily a tablety) bychom měli zajistit šifrování celého úložiště, nebo alespoň vybraných složek či souborů.
5. Kontrola práce s citlivými daty (Data Loss Prevention) – pojem DLP představuje skupinu nástrojů, které zajistí kontrolu všech operací s citlivými daty (což mohou být osobní údaje, nebo obchodní tajemství apod.). Nemělo by se například stát, že si uživatel zkopíruje citlivá data na USB, nebo vytiskne, čio odešle na soukromé úložiště či email v cloudu, atd., aniž bychom o tom alespoň věděli (nebo aniž bychom měli šanci v tom zabránit).
6. Endpoint Detection & Response (EDR) – skupina funkcí pod zkratkou EDR představuje nástroje, které jsou schopné monitorovat běžící procesy na koncové stanici, detekovat podezřelé anomálie a útoky, a zajistit včasnou reakci, nejlépe plné zastavení útoku a obnovu „čistého“ stavu.
7. Detekce mobilních hrozeb – s postupným nárůstem množství útoků na mobilní platformy vzrůstá také důležitost pokročilých nástrojů, určených pro detekci podezřelých mobilních aplikací, podezřelých wifi sítí, podezřelých SMS atd.

Detekce zranitelností a řízené patchování

Další oblast, která často nemusí být ani příliš nákladná z pohledu dodatečných nástrojů, je vynucení pravidelného přehledu nad otevřenými zranitelnostmi na koncových stanicích a vynucené patchování alespoň těch nejkritičtějších. Obecně platí, že naprostá většina útoků využívá zranitelnosti, které jsou známé i několik let, a každý tedy měl (teoreticky) dost času je odstranit.

Monitoring, detekce anomálií a blokace útoků na různých vrstvách

Tak jako jsme zmínili nástroje pro detekci a blokaci útoků přímo na koncových stanicích, je vhodné mít připravené obdobné nástroje i na dalších vrstvách, jako například v podnikové síti, na perimetru či v cloudu, ve vybraných aplikacích.

Na tyto detekční nástroje by potom měly navazovat nástroje, které nám umožní okamžitě (nejlépe s plnou automatizací) podezřelou stanici odpojit od sítě a od přístupu k dalším systémům (přesunout ji do karantény), provést detailní forenzní analýzu (zjistit odpovědi na otázky: co se vlastně přesně stalo? Kudy se útočník dostal dovnitř? Co všechno viděl, změnil apod.?), a zajistit obnovu normálního bezpečného provozu.

Řízení z nejvyššího managementu

Tak jak jsme si rozebrali, jaké nejrůznější typy opatření je vhodné zavést (ať již technických, procesních či organizačních), je asi zjevné, že není možné dosáhnout efektivního nasazení a smysluplného výsledku bez jasné spolupráce z úrovně nejvyššího managementu. Doporučujeme proto zpracovat a s nejvyšším managementem schválit závaznou strategii řízení bezpečnosti, včetně stanovení zodpovědností, pravomocí, rozpočtu a pravidelného reportingu ohledně postupu a stavu rizik.

Business continuity management a zálohování

Protože Murphyho zákony platí – vždy se něco pokazí, a to v nejnevhodnější dobu, buďme na to připraveni a zaveďme procesy havarijního plánování, zpracujme incident response plány a držme vždy funkční zálohy.

Ivan Svoboda Autor článku je poradce pro kybernetickou bezpečnost společnosti Anect.