Detailní pohled: Jak kyberzločinci útočí na firmy a jak se tomu lze bránit



Zaměstnanci velkých firem a jejich počítače či mobily, tedy tzv. koncové body, se stávají nejvýznamnějším zdrojem informačních a kybernetických rizik. Proč k tomu docházía jaké metody útoků jsou nejčastěji využívány? Jak se jim lze bránit?

Kyberzločinci už nemusí útočit na dobře zabezpečený perimetr vaší firmy,svého cíle totižmohou dosáhnout mnohem snadněji s využitím vašich vlastních zaměstnanců. Hacker je jednoduše požádáo spolupráci, třeba o prozrazení heselnebo o nainstalování malwaru – stačí přitom, aby uspěl v pouhém 1 % případů a má vyhráno. Reálná efektivita těchto tzv. social-engineering útoků je bohužel poměrně vysoká, a je základemvětšiny těch úspěšně provedených.

Dnes už naštěstí většina firem chápe, že základní firewall pro ochranu informačních systémů nestačí a investuje do sofistikovanější výbavy jako je IPS/IDS, pokročilá detekce malwaru, detekce anomálií atd. Taková pokročilejší ochrana sice přináší úspěchy na perimetru, ale na koncových bodech je zatím využívánajen omezeně. I to je jedním z důvodů, pročjsou koncové body nejčastějším terčem kyberútoků.

Úspěchy sociálního inženýrství

Téměř třetina závažných úniků dat je způsobena omylem a neznalostí vlastních zaměstnanců firmy. Motivem napadaných uživatelů, kteří kliknou, kam nemají, bývá chamtivost, touha po rozptýlení, zvědavost, neznalost a strach. Jen díky tomu zaměstnanci v dobré víře prozradí útočníkovi tajné informace, „kliknou“ na odkaz či přímo pošlou peníze.

Na straně útočníků je pak motivací většinou finanční zisk, menší část tvoří cílené špionáže, včetně mezistátních. Sociální inženýrství stojí téměř za polovinou všech úspěšných úniků dat za poslední rok. Ve více než 90 % se jedná o phishing.

Za poslední rok dle dostupných dat zaznamenaly phishingcca tři čtvrtiny firem. 45 % podniků se pak setkalo s tzv. „vishingem“ přes telefonní hovor či „smishingem“ přes SMS zprávy. Vzácnější jsou potom útoky s využitím USB, s nimi se setkala 3 % společností.

Zhruba polovina společností má zkušenost s nějakou formou „spear-phishingu“ (cíleného phishingu), z nichž asi největší dopady mají útoky typu BEC – Business Email Compromise. Útočník např. pošle jménem dodavatele email finančnímu řediteli odběratelské firmy, aby zaplatil fakturu na nový bankovní účet. Je jasné, že se jedná o bankovní účet útočníka. Úspěšnost takových útoků bývá překvapivě vysoká, protože firmy si podvržené emaily nekontrolují a nemají zavedenou křížovou kontrolu u finančních transakcí.

Jaké jsou dopady phishingových útoků?

Phishingové útoky jsou velmi účinné a za loňský rok se jejich negativní dopady ještě zvýšily. Přímé následky lze rozdělit do následujících skupin:

  • infekce malwaru (např. ransomwaru)
  • kompromitace interních účtů
  • únik dat

Následné dopady potom zahrnují typicky:

  • finanční ztráty
  • ztrátu času a produktivity
  • narušení provozu
  • ztrátu reputace apod.

Jaká je úroveň bezpečnosti koncových stanic?

Až 70 % firem vnímá narůstající bezpečnostní riziko v oblasti koncových bodů.Většina z nich všakdosud nezavedla žádný efektivní způsob patchování, který by chránil ty nekritičtější cesty, jimiž se útočník může dostat k citlivým datům nebo k jinému cíli. Útočníci většinou nepotřebují hledat nové cesty, ale stačí jim zneužít zranitelnosti, které jsou už léta známé.

Navíc za poslední roky došlo k několika změnám, které významně přispívají k úspěšnosti útoků pomocí koncových stanic.

Fileless útoky

V malwarových útocích se výrazně zvyšuje podíl tzv. „fileless“ útoků. Ty jsou hůře detekovatelné, protože nestahují škodlivé soubory, ale místo toho využívají exploity, makra, skripty a legitimní systémové nástroje. Jakmile je počítač kompromitován, útočník může zneužít systémové administrátorské nástroje a procesy, a tím si zvyšovatprivilegia nebo se rozšiřovat dále po síti.

Za loňský rok se podíl fileless útoků zvýšil z 20% na 29% a během letošního rokupravděpodobně stoupne až na 35%. Tento typ útoků sice není nejčastější, za to je nejefektivnější. Fileless útoky se vloni podílely na 77% úspěšných útoků.

Konflikty a nákladnost stávajících nástrojů

Dalším problémem snižujícím efektivitu obrany je „přehuštěný prostor“ v takzvané endpointové obraně. Řada firem postupně přidávala do bezpečnostního portfolia další a další dílčí nástroje a ve větších firmách tak dnes mají na koncových stanicích 7 až 10 různých bezpečnostních agentů, ke kterým bezpečnostní specialisté potřebují několik ovládacích a monitorovacích konzolí.

Provoz takového celku je ale zbytečně nákladný a neefektivní. Nástroje totiž často nespolupracují a způsobují zmatek spouštěním falešných poplachů. Většina firem proto dnes uvažuje o konsolidaci a zvýšení efektivity celého portfolia bezpečnostních nástrojů právě na koncových bodech.

Další související problémy

Šifrování komunikací a posun detekce na koncové body

Šifrované komunikace se objevují stále častěji. Pokud je nemůžetedešifrovat na perimetru (z technických či legislativních důvodů), nezbývá vám než posunout veškeré pokročilejší detekční nástroje na úroveň koncového bodu, kde je komunikace rozšifrovaná a můžete zkontrolovat, zda neobsahuje např. nějaký malware.

Cloud a BYOD

Mnoho firem využívá cloudová úložiště. Pro přístup do cloudových aplikací můžou dnes zaměstnanci použít libovolný počítač a mobil, a webový broserse potom společně s identifikací a autentizací stává jediným kontrolním mechanismem.

Stále více se také stírají rozdíly mezi firemníma soukromým počítačem či mobilem. Zaměstnanci používají firemní nástroje i k přístupu na soukromé sociální sítě a firmy zároveň umožňují přístup do svého cloudovéhoprostředí z libovolných nástrojů včetně soukromých. V takových situacích je nutné přidávat speciální detekční nástroje, které umožní monitorovat veškeré komunikace v sítích, v aplikacích a v cloudu, sledovat chování zaměstnanců a detekovat anomáliezpůsobené přístupem nějakého útočníka.

Za poslední rok je bilance útoků na soukromá (40 %) i firemní zařízení (42 %) přitom vyrovnaná. Mobilní zařízení pak byla napadena ve 24 % případů.

Jaké jsou možnosti řešení?

Optimální řešení by mělo zahrnovat integrovaný komplex všech níže uvedenýchopatření:

práce s uživateli a jejich právy:

  • trvalá inventarizace všech dat, aplikací/systémů, uživatelů, jejich rolí a přístupových práv
  • řízení přístupu uživatelů (zejména těch pokročilých jako jsou administrátoři a management), včetně minimalizace práv a vícefaktorové autentizace
  • vzdělávání uživatelů, včetně testování, trénování a víceúrovňové osvěty
  • monitoring a vyhodnocování rizikovosti uživatelů

zlepšení ochrany koncových stanic a mobilů:

  • integrované balíky nástrojů, tzv. EPP (EndpointProtectionPlatform)
  • detekce zranitelností a řízené patchování
  • minimalizace administrátorských práv a řízení aplikací

Monitoring, detekce anomálií a blokace útoků na různých vrstvách:

  • Detekce podezřelého chování v síti, v cloudu, v aplikacích
  • Možnosti rychlého zastavení útoků, například pomocí karantény pro podezřelé stanice

Řízení z nejvyššího managementu:

  • Jasné a vymahatelné směrnice, práva a povinnosti pro všechny oblasti
  • Stanovení zodpovědnosti, včetně pravomocí a rozpočtu

Business continuity management (protože vždy se něco pokazí)

  • Havarijní plánování
  • Incident response plány a procesy
  • Efektivní zálohování

Z výše uvedeného komplexu opatření bych zvláště upozornil zejména na následující vybrané skupiny.

 

Vzdělávání a osvěta uživatelů

Řada firem již dnes zavádí povinná školení kybernetické bezpečnosti, většinou však bez adekvátních výsledků. Formoui obsahem jsou často nezáživná auživatel sejen „prokliká“ testy bez většího zájmu. Školení musí být zajímavé a obsahovat bloky užitečné i pro soukromý život (bezpečný pohyb na sociálních sítích, bezpečnost dětí, mobilů, bezpečnost na dovolené atd.), jedině tak bude dostatečně efektivní. Nezbytný je také praktický trénink a průběžné testování chování v reálném životě (testovací phishing ve všech variantách, včetně telefonátů od „kolegů“ nebo „zapomenutých“ USB klíčů).

Monitoring chování a řízení práv uživatelů a dohled nad cloudem

Monitoring chování a řízení přístupu uživatelů je ve většině firem řešen neefektivně. Objemy dat a aplikací v cloudu narůstají, a tudíž je nutné řešit dohled i v této sféře. Doporučuji zamyslet se nad využitím bezpečnostních služeb jednotlivých cloudových poskytovatelů (jako např. Microsoft, který v prémiových nástrojích umožňuje i detailní vyhodnocování rizikovosti jednotlivých uživatelů, nebo Google se silnějšími metodami autentizace) a při větším počtu využívaných cloudů od různých poskytovatelůvybrat nějaký nástroj typu CASB (Cloud Access Security Broker).

Autorem textu je Ivan Svoboda, poradce pro kybernetickou bezpečnost společnosti Anect


(5. 4. 2018 | redakce2)


Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Nepřehlédněte nové odborné speciály

Reality v ČR, Zabezpečení dat, Formuláře - podnikání



Články čtenářů

Autobusové nádraží Zličín – kde je c...


Můžete jet soukromě, nebo třeba služebně, každopádně když cestujete z Prahy na západ, jihozápad nebo severozápad, pojedete možná z autobusového nádraží Zličín. Pokud...

Jak vypnout zprávy webů v prohlížeči


Rozmohl se nám tady takový nešvar - lecjaký zpravodajský web teď v prohlížeči stále dokola otravuje s tím, abyste si zapnuli jeho zprávy do prohlížeče. A vy musíte s...

Komentáře čtenářů

Děkuji
To byl nepříjemný překlep, opraveno. V obou případech jde o předpověď do roku 2020. Děkujeme za upozorně...>>
Konkrétněji, prosím
My ale nikde nepíšeme, že jinde se to neděje. Pokud máte informace o konkrétních větších výpadcích, ocen...>>
Drobné
Mám obavu, že u většiny nákupů ty drobné nebudou stát za trable, které s tím budou spojené. Z lenosti si...>>

©2013-2018 OnBusiness.cz, ISSN 2336-1999 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu OnBusiness.cz a ochrana soukromí | pg(3922)