Zaměstnanci velkých firem a jejich počítače či mobily, tedy tzv. koncové body, se stávají nejvýznamnějším zdrojem informačních a kybernetických rizik. Proč k tomu docházía jaké metody útoků jsou nejčastěji využívány? Jak se jim lze bránit?
Kyberzločinci už nemusí útočit na dobře zabezpečený perimetr vaší firmy,svého cíle totižmohou dosáhnout mnohem snadněji s využitím vašich vlastních zaměstnanců. Hacker je jednoduše požádáo spolupráci, třeba o prozrazení heselnebo o nainstalování malwaru – stačí přitom, aby uspěl v pouhém 1 % případů a má vyhráno. Reálná efektivita těchto tzv. social-engineering útoků je bohužel poměrně vysoká, a je základemvětšiny těch úspěšně provedených.
Dnes už naštěstí většina firem chápe, že základní firewall pro ochranu informačních systémů nestačí a investuje do sofistikovanější výbavy jako je IPS/IDS, pokročilá detekce malwaru, detekce anomálií atd. Taková pokročilejší ochrana sice přináší úspěchy na perimetru, ale na koncových bodech je zatím využívánajen omezeně. I to je jedním z důvodů, pročjsou koncové body nejčastějším terčem kyberútoků.
Téměř třetina závažných úniků dat je způsobena omylem a neznalostí vlastních zaměstnanců firmy. Motivem napadaných uživatelů, kteří kliknou, kam nemají, bývá chamtivost, touha po rozptýlení, zvědavost, neznalost a strach. Jen díky tomu zaměstnanci v dobré víře prozradí útočníkovi tajné informace, „kliknou“ na odkaz či přímo pošlou peníze.
Na straně útočníků je pak motivací většinou finanční zisk, menší část tvoří cílené špionáže, včetně mezistátních. Sociální inženýrství stojí téměř za polovinou všech úspěšných úniků dat za poslední rok. Ve více než 90 % se jedná o phishing.
Za poslední rok dle dostupných dat zaznamenaly phishingcca tři čtvrtiny firem. 45 % podniků se pak setkalo s tzv. „vishingem“ přes telefonní hovor či „smishingem“ přes SMS zprávy. Vzácnější jsou potom útoky s využitím USB, s nimi se setkala 3 % společností.
Zhruba polovina společností má zkušenost s nějakou formou „spear-phishingu“ (cíleného phishingu), z nichž asi největší dopady mají útoky typu BEC – Business Email Compromise. Útočník např. pošle jménem dodavatele email finančnímu řediteli odběratelské firmy, aby zaplatil fakturu na nový bankovní účet. Je jasné, že se jedná o bankovní účet útočníka. Úspěšnost takových útoků bývá překvapivě vysoká, protože firmy si podvržené emaily nekontrolují a nemají zavedenou křížovou kontrolu u finančních transakcí.
Jaké jsou dopady phishingových útoků?
Phishingové útoky jsou velmi účinné a za loňský rok se jejich negativní dopady ještě zvýšily. Přímé následky lze rozdělit do následujících skupin:
Následné dopady potom zahrnují typicky:
Jaká je úroveň bezpečnosti koncových stanic?
Až 70 % firem vnímá narůstající bezpečnostní riziko v oblasti koncových bodů.Většina z nich všakdosud nezavedla žádný efektivní způsob patchování, který by chránil ty nekritičtější cesty, jimiž se útočník může dostat k citlivým datům nebo k jinému cíli. Útočníci většinou nepotřebují hledat nové cesty, ale stačí jim zneužít zranitelnosti, které jsou už léta známé.
Navíc za poslední roky došlo k několika změnám, které významně přispívají k úspěšnosti útoků pomocí koncových stanic.
V malwarových útocích se výrazně zvyšuje podíl tzv. „fileless“ útoků. Ty jsou hůře detekovatelné, protože nestahují škodlivé soubory, ale místo toho využívají exploity, makra, skripty a legitimní systémové nástroje. Jakmile je počítač kompromitován, útočník může zneužít systémové administrátorské nástroje a procesy, a tím si zvyšovatprivilegia nebo se rozšiřovat dále po síti.
Za loňský rok se podíl fileless útoků zvýšil z 20% na 29% a během letošního rokupravděpodobně stoupne až na 35%. Tento typ útoků sice není nejčastější, za to je nejefektivnější. Fileless útoky se vloni podílely na 77% úspěšných útoků.
Dalším problémem snižujícím efektivitu obrany je „přehuštěný prostor“ v takzvané endpointové obraně. Řada firem postupně přidávala do bezpečnostního portfolia další a další dílčí nástroje a ve větších firmách tak dnes mají na koncových stanicích 7 až 10 různých bezpečnostních agentů, ke kterým bezpečnostní specialisté potřebují několik ovládacích a monitorovacích konzolí.
Provoz takového celku je ale zbytečně nákladný a neefektivní. Nástroje totiž často nespolupracují a způsobují zmatek spouštěním falešných poplachů. Většina firem proto dnes uvažuje o konsolidaci a zvýšení efektivity celého portfolia bezpečnostních nástrojů právě na koncových bodech.
Šifrované komunikace se objevují stále častěji. Pokud je nemůžetedešifrovat na perimetru (z technických či legislativních důvodů), nezbývá vám než posunout veškeré pokročilejší detekční nástroje na úroveň koncového bodu, kde je komunikace rozšifrovaná a můžete zkontrolovat, zda neobsahuje např. nějaký malware.
Mnoho firem využívá cloudová úložiště. Pro přístup do cloudových aplikací můžou dnes zaměstnanci použít libovolný počítač a mobil, a webový broserse potom společně s identifikací a autentizací stává jediným kontrolním mechanismem.
Stále více se také stírají rozdíly mezi firemníma soukromým počítačem či mobilem. Zaměstnanci používají firemní nástroje i k přístupu na soukromé sociální sítě a firmy zároveň umožňují přístup do svého cloudovéhoprostředí z libovolných nástrojů včetně soukromých. V takových situacích je nutné přidávat speciální detekční nástroje, které umožní monitorovat veškeré komunikace v sítích, v aplikacích a v cloudu, sledovat chování zaměstnanců a detekovat anomáliezpůsobené přístupem nějakého útočníka.
Za poslední rok je bilance útoků na soukromá (40 %) i firemní zařízení (42 %) přitom vyrovnaná. Mobilní zařízení pak byla napadena ve 24 % případů.
Optimální řešení by mělo zahrnovat integrovaný komplex všech níže uvedenýchopatření:
práce s uživateli a jejich právy:
zlepšení ochrany koncových stanic a mobilů:
Monitoring, detekce anomálií a blokace útoků na různých vrstvách:
Řízení z nejvyššího managementu:
Business continuity management (protože vždy se něco pokazí)
Z výše uvedeného komplexu opatření bych zvláště upozornil zejména na následující vybrané skupiny.
Řada firem již dnes zavádí povinná školení kybernetické bezpečnosti, většinou však bez adekvátních výsledků. Formoui obsahem jsou často nezáživná auživatel sejen „prokliká“ testy bez většího zájmu. Školení musí být zajímavé a obsahovat bloky užitečné i pro soukromý život (bezpečný pohyb na sociálních sítích, bezpečnost dětí, mobilů, bezpečnost na dovolené atd.), jedině tak bude dostatečně efektivní. Nezbytný je také praktický trénink a průběžné testování chování v reálném životě (testovací phishing ve všech variantách, včetně telefonátů od „kolegů“ nebo „zapomenutých“ USB klíčů).
Monitoring chování a řízení přístupu uživatelů je ve většině firem řešen neefektivně. Objemy dat a aplikací v cloudu narůstají, a tudíž je nutné řešit dohled i v této sféře. Doporučuji zamyslet se nad využitím bezpečnostních služeb jednotlivých cloudových poskytovatelů (jako např. Microsoft, který v prémiových nástrojích umožňuje i detailní vyhodnocování rizikovosti jednotlivých uživatelů, nebo Google se silnějšími metodami autentizace) a při větším počtu využívaných cloudů od různých poskytovatelůvybrat nějaký nástroj typu CASB (Cloud Access Security Broker).
Autorem textu je Ivan Svoboda, poradce pro kybernetickou bezpečnost společnosti Anect
