Nová doba sice přinesla sofistikovanější útoky hackerů, ale zároveň zlepšila i možnosti ochrany. Hlavním trendem je automatizace: samoučící modely podporují efektivní fungování bezpečnostních nástrojů a dokáží chránit i bez lidského dohledu, díky čemuž zvládnou držet s útočníky krok. Inspiraci lze čerpat i z armádních strategií.
Důležité je nepodceňovat některé základní kroky. „Klíčové je začít šifrovat," přibližuje Pavol Lupták, CEO společnosti Nethemba a etický hacker, který firmám pomáhá odhalovat slabiny v jejich systémech.
Šifrovat je třeba firemní disky i úložiště v cloudu. A šifrování by mělo krýt také veškerou interní komunikaci. „Je třeba přejít na nástroje, které umožňují end-to-end šifrovanou komunikaci. Nedoporučuji používat tradiční GSM hovory ani SMS zprávy. Zařízení na odposlouchávání či sledování GSM komunikace si dneska dokáže za pár tisíc euro koupit prakticky kdokoliv," varuje Lupták.
Armádní strategie i umělá inteligence
Základní opatření kybernetické obrany vytváří nezbytný bezpečnostní štít, který ale nemusí zajistit kompletní ochranu, obzvláště když kybernetičtí zločinci vyvíjejí stále sofistikovanější metody útoků.
Dnes je mnohem důležitější chránit data samotná, než stavět ploty kolem firemních serverů. Firmy se mnohem víc musí soustředit na to, aby byly schopny detekovat a vyhodnotit případné nebezpečí a okamžitě na něj reagovat. „Dnes potřebujete reakci hned a přímo na tom místě, kde incident vzniká. To znamená na koncové stanici, což jsou počítače, notebooky, mobily," říká Jan Krob.
Na řadu pak přicházejí nástroje, které jsou schopné držet krok s moderními typy ataků a posilují rychlost detekce bezpečnostních hrozeb i následné reakce na incidenty. „V posledních letech vnímáme velký posun od tradičního firewallu a antivirových programů k nástrojům pro monitorování IT infrastruktury a detekci hrozeb," potvrzuje šéf Microsoftu Rudolf Urbánek.
Firmy se přitom můžou inspirovat i z armádních strategií. Například právě Microsoft přirovnává některé osvědčené postupy v oblasti kyberbezpečnosti ke strategii, kterou popsal John Boyd, někdejší plukovník vzdušných sil USA, armádní stratég a poradce Pentagonu. Ten svoji obrannou smyčku OODA postavil na čtyřech fázích: pozorování, zorientování, rozhodnutí a reakce (Observe, Orient, Decide, Act.)
Jak strategie OODA pomáhá v oblasti cyber security (Microsoft):
Pozorování
Lepší přehled díky rozsáhlým analytickým datům
Zorientování
Získání kontextu z obrovského množství dat s využitím umělé inteligence, strojového učení a lidské odbornosti
Rozhodnutí
Vyšší rychlost a kvalita díky integrovaným pokynům
Reakce
Rychlejší reakce díky orchestraci a automatizaci
Blízká budoucnost
Pomoc využívající rozšířenou realitu a roboty založené na umělé inteligenci
Rozhodování by podle této strategie mělo stát na bleskové detailní analýze, která pak umožní přesnou reakci na nejrůznějších technologiích i platformách. Výrazné zkrácení reakční doby přispívá k vyšší odolnosti, protože omezuje dobu, po kterou má útočník přístup k firemním prostředkům. Klesá tak návratnost útočníkovy investice, protože rostou jeho náklady na útok (musí ho opakovat nebo upravovat) a snižují se jeho plánované výnosy (omezuje se pravděpodobnost dosažení cíle).
Stále větší roli přitom hraje automatizace, při které se využívá umělá inteligence a strojové učení. „Do vývoje a výzkumu v oblasti kyberbezpečnosti investujeme ročně přes miliardu dolarů. Cílem je zajištění vysoké úrovně uživatelské bezpečnosti při současném zachování jednoduché správy, ať už jde o zákazníky z podnikatelské sféry nebo o běžné uživatele domácích počítačů," říká Petr Váša, manažer divize Microsoft 365 české a slovenské pobočky Microsoftu.
Boj proti hackerům
Ve svých Cybercrime centrech Microsoft zaměstnává po celém světě stovky expertů, kteří se specializují na identifikaci hrozeb, pátrání po útočnících i analýzu dat a testování technologií.
Takzvaná Digital Crimes Unit (DCU) je rozesetá ve 20 zemích po celém světě. Mezinárodní tým právníků, vyšetřovatelů, datových vědců, techniků a analytiků vede boj proti počítačové kriminalitě, aby chránil zákazníky a posiloval důvěru v produkty Microsoftu. Používá pokročilé forenzní analýzy a umělou inteligenci k narušení sofistikovaných útoků a rozkrytí celých zločineckých sítí. Spolupracuje přitom s orgány činnými v trestním řízení, výzkumníky i vládními a nevládními organizacemi v jednotlivých zemích.
Microsoft v Česku například v rámci smlouvy GSP (Government Security Program), kde je smluvní stranou za stát Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), dává k dispozici seznamy internetových adres obsahující škodlivé kódy, IP adresy zasažených zařízení, kryptografické podpisy všech MS souborů a další.
Jednotka DCU od roku 2010 spolupracovala na rozkrytí více než dvacítky velkých malwarových kampaní, čímž ochránila přes půl miliardy zařízení před kybernetickými zločinci. Podílela se na likvidaci velké botnetové sítě, která stála za šířením malwaru Citadel. Útočníci prostřednictvím napadených zombie počítačů získávali osobní informace i přístupové a platební údaje uživatelů. Citadel stihl způsobit ztráty přes 500 milionů dolarů a nakazil kolem 11 milionů počítačů.
Zákazníky Microsoftu jednotka ochránila i proti řadě phishingových útoků známé hackerské a špionážní skupiny Fancy Bear (nebo také Strontium), která je spojována s ruskou vojenskou GRU.
Podobně pracuje i globální Detection and Response Team (DART) Microsoftu složený z odborníků na kybernetickou bezpečnost a expertů zodpovědných za rychlou reakci. Tým pomáhá organizacím a vládním i komerčním subjektům odhalovat incidenty a reagovat na ně cíleným posílením zabezpečení. Zároveň zveřejňuje nejnovější poznatky o metodách útočníků.
DART potvrzuje, že kybernetičtí zločinci využili pandemii koronaviru k masivnímu nasazení vyděračského ransomware. Využívají při tom slabiny v systémech, jako jsou slabá hesla a chybějící vícefaktorové ověřování uživatelů nebo používání starších neaktualizovaných verzí Windows. Zranitelná místa přitom vyhledávají mnohem dříve, než dojde k samotnému útoku. Několik týdnů předem infiltrují síť a pak tiše čekají na ideální příležitost k nasazení ransomware.
AI snižuje náklady na vyspělé zabezpečení
S nástupem cloudových technologií je možné začít využívat obrovská množství signálů, analytických dat a výpočetního výkonu pro samoučící modely, které podpoří efektivní fungování bezpečnostních nástrojů ve všech fázích od detekce hrozby až po její odstranění.
V celém tomto procesu se AI stává nepostradatelným nástrojem, který dokáže rozsáhlé datové sady zpracovávat a vyhledávat v nich anomálie, určovat priority a z jednotlivých událostí sestavovat ucelený přehled o bezpečnostních incidentech. Analytici tak mohou rychle přijímat množství rozhodnutí a okamžitě reagovat na výstrahy a zjištěné hrozby.
V některých fázích je navíc možné nechat reakci na systému samotném, což zkracuje čas na nápravu a snižuje potenciální škody. „Zlepšuje se také schopnost zachytávat phishing, ještě než se dostane do schránek uživatelů, a předcházet škodám, pokud uživatelé na takové odkazy kliknou," doplňuje technická ředitelka společnosti Microsoft pro oblast kybernetického zabezpečení Diana Kelley.
Rostoucí nároky na bezpečnost však při tradičním přístupu kombinace několika dodavatelů znamenají i vyšší výdaje na sofistikované nástroje, jejich integraci a personální zajištění celého ekosystému. To pocítila třeba i skupina Packeta, do níž patří česká Zásilkovna. S tím, jak rostla firma, vzrostly i náklady na zabezpečení.
„Do nových technologií jsme investovali výrazné finanční prostředky,“ říká Adam Horzenberger, CIO skupiny Packeta. „Velkou změnou byl přechod celé skupiny na Microsoft Azure cloud, čímž se úroveň bezpečnosti našich systémů několikanásobně navýšila, vedle standardních firewallů používáme také například technologii WAF (webový aplikační firewall). Pravidelně děláme penetrační testy nebo Red Teaming, simulující reálné hackerské útoky.“ Kromě toho absolvují všichni zaměstnanci pravidelná školení na téma IT bezpečnosti.
Ne všechny společnosti jsou však ochotné do zabezpečení výrazně investovat, případně si to nemohou dovolit. „Stejně tak jako kybernetické ohrožení, tak i rostoucí náklady jsou závažný problém,“ připouští Karel Filip, ředitel Information and Communication Technologies ve společnosti Severočeské doly.
Hackeři celosvětově útočí každých 39 vteřin, v průměru 2244krát za den.
University of Maryland„Dnes už nikdo nemá peníze na všechny nástroje, které podporují bezpečnost,“ přidává se i Jan Krob ze společnosti Accenture. Firmy si podle něj musí lépe analyzovat, co vlastně potřebují. „A zaměřit se jen na nástroje, které jim skutečně přinesou nejlepší zabezpečení a posunou je ve schopnosti reagovat na útoky,“ říká Krob s tím, že jednoznačným trendem současnosti je automatizace. „Podle našich zkušeností má smysl investovat do systému, který umožní rychle reagovat bez lidského zásahu. Zcela jistě hraje důležitou roli umělá inteligence a také stále častěji rezonuje buzzword Next Generation Firewall, tedy nikoliv firewall ze začátku století, ale firewall, který kumuluje další schopnosti detekce, filtrace a analýzy toku dat," dodává.
Investujte účelně
Náklady na infrastrukturu může firmám snížit využití dostupných cloudových řešení. Jejich velcí poskytovatelé většinou provozují vlastní Security Operations Centra, tedy specializovaná IT centra složená z týmů analytiků a specialistů, kteří 24/7 monitorují firemní IT, a jejichž zjištění a doporučení mají zákazníci k dispozici v rámci svých dashboardů spolu se všemi signály, které zjistí samy nástroje.
IT specialisté tak mají dostatek informací ke kvalifikovanému a rychlému řešení. Částečně jejich roli může dokonce převzít právě umělá inteligence, což firmám rovněž uleví, neboť v řadě z nich se IT oddělení věnuje kromě bezpečnosti firmy i mnohdy banálním technickým problémům.
„My se snažíme investovat účelně. Stavíme takový systém, který bude robustní, ale zároveň umožní jednoduchou správu a částečně sám převezme roli experta na kybernetickou bezpečnost. Takového experta bychom pravděpodobně nenašli a určitě bychom ho nezaplatili. Díky umělé inteligenci zvládne správu pokročilých systémů i střední IT personál. Moderní nástroje tak vlastně jednoduchým způsobem pomáhají snižovat náklady tím, že si nemusíte platit IT experty a rozsáhlý tým," vysvětluje Karel Filip.
Propracovaná obrana tak nemusí udělat obrovskou díru do firemního rozpočtu. A přitom dokáže zabránit útokům a odradit útočníky, aby se o prolomení vůbec pokoušeli. „Zločinec v kyberprostoru se chová podobně jako zloděj na ulici. Nevybere si dobře zabezpečený cíl, ale útočí tam, kde vidí slabiny, protože v tom případě nebude jeho útok tak nákladný a náročný," poznamenává Rohel, ředitel sekce Bezpečnost Národní agentury pro komunikační a informační technologie.
Strategii pro kybernetické zabezpečení je ale třeba budovat už od skutečného začátku, tedy od uživatelů – Přečtete si kapitolu Uživatel jako nejslabší článek.
Nemáte čas na čtení? To nejdůležitější z tohoto speciálu si můžete v klidu poslechnout v našem podcastu s Danielem Hejdou ze CyberRangers a Petrem Vášou z Microsoftu.
