Poznali jsme nepřítele: Jsme to my sami

11. 9. 2017

Sdílet

 Autor: © Tommi - Fotolia.com
Práce ředitele bezpečnosti a jeho týmu nikdy nekončí. Proces zajišťování bezpečnosti vyžaduje neustálou pozornost v podobě monitoringu a analýzy, reakcí na hrozby a zdokonalování pravidel a protokolů. Důležité je zůstat o krok napřed před kyberzločinci, kteří neúnavně útočí na vaši infrastrukturu a data. Někdy jsme však sami sobě nejhoršími nepřáteli.

Na základě nedávno zveřejněné studie společnosti Fortinet o globální kyberbezpečnostní situaci za 2. čtvrtletí bylo například detekováno celkem 184 miliard pokusů o zneužití chyb a zranitelností pomocí 6300 unikátních aktivních exploitů, což představuje nárůst o 30 % oproti předchozímu čtvrtletí a vzhledem k rozmachu zneužívání zařízení internetu věcí k vytváření botnetů (tzv. shadownetů) očekáváme, že tato čísla prudce porostou. V průběhu druhého čtvrtletí došlo u 7 z 10 subjektů k závažnému nebo kritickému útoku založenému na zneužití zranitelnosti.

Došlo také k řadě vážných útoků, které upoutaly celosvětovou pozornost. Malware WannaCry a NotPetya úspěšně zneužil zranitelnosti, které byly zveřejněny a opraveny o několik měsíců dříve, a zasáhl miliony subjektů po celém světě. A sofistikované IoT botnety jako Hajime nebo Devil’s Ivy stavěly na ničivém útoku Mirai z léta 2016.

Sítě se rychle rozrůstají a pokrývají řadu vysoce distribuovaných ekosystémů, včetně fyzických, virtuálních a cloudových prostředí. V takových extrémních podmínkách lze snadno ztratit přehled o zařízeních nebo neudržet systematický cyklus aktualizací a obměny.

Sítě se rychle rozrůstají a pokrývají řadu vysoce distribuovaných ekosystémů, včetně fyzických, virtuálních a cloudových prostředí. V takových extrémních podmínkách lze snadno ztratit přehled o zařízeních nebo neudržet systematický cyklus aktualizací a obměny.

 

Červený koberec pro kyberzločince

Bohužel, protože příliš mnoho subjektů neaktualizuje nebo neobměňuje zařízení se známými zranitelnostmi – bez ohledu na důvody –, kyberzločinci jednoduše předpokládají, že budou schopni do sítí a systémů proniknout. V průběhu druhého čtvrtletí celých 90 % subjektů zaznamenalo, že se stalo obětí útoků proti zranitelnostem starým tři a více let. Ještě horší zpráva je, že 60 % podniků zaznamenalo úspěšné útoky proti zranitelnostem, pro něž je oprava k dispozici více než deset let!

Namísto vynakládání zdrojů na přípravu nových útoků nultého dne se kyberzločinci stále častěji zaměřují na prosté zneužívání známých zranitelností. WannaCry využil zranitelnosti v produktech společnosti Microsoft, pro niž byla téměř o dva měsíce dříve vydána oprava. Cílení na relativně nedávno zveřejněné zranitelnosti nazýváme „horké exploity“. Podobně jako u útoků nultého dne je snahou využít příležitost k útoku v období od zveřejnění zranitelnosti do doby, než uživatelé aktualizují své systémy.

V ideálním případě by toto období mělo být co nejkratší. Avšak není. O měsíc později malware NotPetya nejen šel ve šlépějích WannaCry, ale úspěšně cílil na zcela shodnou zranitelnost. Navzdory tomu, že všichni měli zprávy o prvním útoku ještě v živé paměti, mnoho subjektů nijak nereagovalo. To umožňuje kyberzločincům soustředit se na vývoj stále složitějších a dokonalejších exploitů.

Jakmile malware získá přístup, dokáže pomocí inteligentních nástrojů automaticky identifikovat zařízení nebo operační systém, zjistit, jaké zranitelnosti se u takového systému vyskytují, a následně ze své zásoby exploitů zvolit ten nejefektivnější.

Schopnosti podobné umělé inteligenci umožňují malwaru uniknout detekci pomocí řady důmyslných technik. Například odpozorováním a napodobením vzorců datového provozu a přizpůsobením jeho rychlosti dokáže splynout se svým okolím.

 

Jak zajistit ochranu?

Začít od začátku a identifikovat veškerá kriticky důležitá zařízení a služby v síti pomocí nástrojů jako FortiSIEM spolu se službami prakticky využitelného zpravodajství o hrozbách, jako např. FortiGuard TIS. Následně obnovit nebo zintenzivnit úsilí o nalezení a aktualizaci zranitelných systémů a výměnu starších, již nepodporovaných systémů.

Očekáváme nejen pokračující nárůst objemu pokročilého malwaru úmyslně cílícího na výkonnostní omezení bezpečnostních prvků pomocí zneužití výpočetně náročných úloh, jako je zpracování nestrukturovaných dat. Potřebné proto budou nástroje, které dokážou zvládat velké objemy dat a náhlý nárůst zátěže je neochromí.

Nedílnou součástí digitální podnikové strategie se musí stát také segmentace sítě. Ten, kdo zvažuje povolení rizikových aplikací, zavedení IoT a šifrování dat, by měl zajistit jejich maximální oddělení od zbytku sítě.

Řádná segmentace představuje zabezpečení v samotné struktuře sítě, takže infikovaná zařízení a škodlivý software lze detekovat a izolovat, kdekoli se objeví, a dříve než se nákaza rozšíří. Segmentace spolu s pravidelným zálohováním dat je rovněž účinné způsoby, jak čelit vyděračskému softwaru.

Útoky nejen přichází v rychlejším sledu, ale jsou koncipované tak, aby zkrátily dobu mezi narušením a účinkem. Chytřejší malware se dokonce dokáže naučit vyhýbat odhalení. Bezpečnostní experti se mohou „zapojit do boje“ i svou účastí v odborných fórech, jako jsou ISAC, ISAO a další organizace, např. Cyber Threat Alliance.

bitcoin_skoleni

Ve válce proti kyberzločinu platí, že v jednotě je síla.

Zdroj: CSO.com