Co bude hrozit vašim počítačům a datům v nich uloženým v roce 2018? Anebo ještě lépe: Co byste měli udělat, abyste rizika pro svá data maximálně omezili? Právě na tyto otázky do značné míry odpovídá článek o trendech v počítačové bezpečnosti, který vám zde přinášíme.
V roce 2017 se hodně mluvilo o ransomwaru, tedy o útocích škodlivým kódem, který vám zašifruje data a pak požaduje výkupné. Tušili jste ale, že může fungovat jen jako zástěrka pro další nekalé aktivity ve vašich počítačích? Hrozeb je ale daleko více, třeba nedostatečná řešení ochrany IT některých výrobců. Podívejme se, jaké trendy v bezpečnosti informačních technologií vidí pro rok 2018 specialisté ze společnost Sophos. Zmiňují přitom zčásti trendy přetrvávající již delší dobu, jako například na růst významu prevence, zčásti na trendy pozorované nově, které se mohou výrazněji projevit právě v roce 2018.
Peter Mackenzie se na základě některých trendů, které jsou stále výraznější, domnívá, že dochází k posunu ve způsobu využívání ransomwaru. Na rozdíl od většiny jiných forem škodlivého kódu, které se snaží maskovat, jak se jen dá, je ransomware hlučný a strašidelný. Dává najevo uživateli, že tam je, co všechno způsobil a co ještě způsobí, pokud uživatel nezaplatí, prostě se snaží vyvolat v uživateli strach.
„Jelikož bezpečnostní nástroje se v poslední době zaměřují na řešení problémů způsobených ransomwarem, na jejich detekci a eliminování důsledků škodlivé činnosti, někteří útočníci používají rozruch vyvolaný ransomwarem jako techniku pro skrytí něčeho jiného, kdy se snaží dosáhnout zisku jiným způsobem, například použitím keyloggerů nebo těžbou kryptoměny. Samozřejmě pokud uživatel chce za takto maskovaný ransomware ještě zaplatit výkupné, nebudou mu v tom bránit,“ varuje Mackenzie.
Skutečný záměr takového jednání je však podle něj jiný. Po odstranění infekce ransomware, která se projevovala navenek, získá uživatel pocit bezpečí, pocit, že se mu podařilo vyčistit systém. Nevyřeší ale sekundární účel škodlivého kódu a například těžba kryptoměny dále nerušeně pokračuje. Proto si je v případě ransomware třeba položit také otázku: "Proč se to právě teď takto viditelně projevilo?" a ještě důležitější otázku: "Co ještě běželo nebo stále běží na počítači, kde jsme našli ransomware?"
Ross McKerchar očekává, že v příštích šesti měsících stráví hodně času mazáním a redukováním ukládaných dat. Upozorňuje, že čím méně údajů ukládáte, nebo lépe řečeno, čím méně údajů máte k dispozici, tím méně jich musíte chránit a zálohovat, a co je nejdůležitější, tím méně údajů můžete ztratit. Platí to především pro důležité údaje. Je třeba si klást otázku: Skutečně k nim musí mít ta či ona aplikace na serveru přístup? Například webové servery by měly mít přístup pouze k minimálnímu množství údajů, které potřebují, a k ničemu navíc.
McKerchar pokládá varovné otázky: „Proč musí mít webový server přístup například k rodným číslům a ostatním citlivým údajům zákazníků nebo zaměstnanců? Možná je někdy budete z rozličných důvodů potřebovat a tehdy si je můžete vyžádat od jiného subsystému s vlastní a lépe zabezpečenou databází. Nač by měl citlivé údaje uchovávat webový server jen tak, co kdyby je náhodou na něco potřeboval?“
Greg Iddon upozorňuje, že prevence, především včasné aplikování bezpečnostních záplat aktualizací, již není něčím, na čem byste mohli ušetřit a hasit pak až to, co vás aktuálně pálí.
V příštích šesti až dvanácti měsících bude podle něj klíčovým předpokladem implementace opatření na prevenci a ochranu před zneužitím známých nebo neznámých chyb a zranitelností bez ohledu na způsob, jak útočníci tyto chyby a zranitelnosti zneužijí.
„Co mě nejvíce znepokojuje, je, že se objevují noví dodavatelé, kteří se zaměřují na detekci hrozeb v spustitelných souborech, takzvaných PE (Portable Executable). Využívají přitom strojové učení jako jedinou techniku pro zajištění bezpečnosti koncových bodů. Toto prostě není dobrá filozofie. Nechápejte mě špatně, strojové učení je skvělé, ale je to jen jedna vrstva v nutně vícevrstvém přístupu k bezpečnosti,“ varuje Iddon.
Fraser Howard upozorňuje, že dosud byly útoky, které na své šíření nevyužívaly soubory, poměrně izolované. Zdá se ale, že se jejich počet zvyšuje - a připomíná Poweliks, Angler, Kovter i nedávný Powmet. Je to podle něj přirozená odpověď na rozsáhlé zavádění strojového učení.
Stephen Edwards očekávám výrazné zlepšení sofistikovanosti fuzzingu (technika testování založená na vkládání velkého množství dat, neplatných nebo pozměněných dat). Fuzzing může být použitý na automatické vytváření miliard primitivních hloupých testů, přičemž další výzvou bude učinit tyto testy chytré tím, že je naučíme, jak daný program funguje.
„Několik slibných přístupů ke zlepšení fuzzingu už bylo vymyšleno a přezkoumáno a cítím, že jsme téměř dosáhli přelomu, kdy se tyto různé techniky efektivně a synergicky zkombinují a zveřejní,“ vysvětluje Edwards.
Zástupci společnosti Kaspersky Lab pak upozorňují, že už rok 2017 byl rokem intenzivních hrozeb. Mezi největší hrozby pro průmyslovou bezpečnost v nadcházejících 12 měsících pak podle odborníků z oddělení ICS CERT této společnosti patří:
1) Ransomware: Je velmi pravděpodobné, že budou průmyslové bezpečnostní systémy čelit zvýšenému riziku cílených ransomwarových útoků. Letošní útoky WannaCry a ExPetr poukázaly na to, že jsou provozní technologické systémy zranitelnější než počítačové. Bývají totiž většinou připojené k internetu, což z nich dělá lákavý cíl pro útočníky. Je také velmi pravděpodobné, že se objeví ransomware zaměřený na nižší úroveň průmyslových zařízení připojených k internetu, jako jsou například čerpadla nebo elektrické vypínače.
2) Průmyslová kyberšpionáž. Největší nárůst očekávají v oblasti krádeží dat z průmyslových informačních systémů. Tyto informace následně zločinci využijí pro přípravu a realizaci cílených (včetně ransomwarových) útoků.
3) Prodej a výměna ICS dat a citlivých údajů, které byly ukradeny z průmyslových podniků, se pravděpodobně spolu s botnety z „průmyslových“ počítačů stanou hnací silou rozrůstajícího se černého trhu. Ten se navíc rozvrství na jednotlivé oblasti jako je „malware-as-a-service“, „attack-vector-design-as-a-service“, „attack-campaign-as-a-service“ a další sféry.
„Rok 2017 byl pro oblast průmyslové bezpečnosti převratný. Ničivé ransomwarové útoky WannaCry a ExPetr změnily přístup průmyslových firem k zabezpečení nejdůležitějších výrobních systémů. To je velmi důležitý posun, protože provozní bezpečnostní systémy bývají zabezpečeny hůře než korporátní IT sítě, a malware tak u nich může působit větší škody. V nadcházejícím roce 2018 bude proto třeba zavést řadu různých opatření týkajících se bezpečnosti průmyslových systémů. Díky nim budou odborníci moci provádět bezpečnostní analýzy. Tím se zvýší bezpečnost a povědomí o hrozbách. V novém roce bude také pro průmyslové firmy dostupnější pojištění kybernetických rizik, do kterých začnou společnosti více investovat,“ komentuje pak situaci Evgeny Goncharov, vedoucí týmu ICS CERT společnosti Kaspersky Lab.
Jaké vyhlídky mají české a evropské podniky v roce 2018 a jak se bude dařit tuzemské i evropské ekonomice jako...
