Tvůrci bezpečnostního softwaru se v současnosti musejí potýkat s realitou, kdy bojují s neustále novými způsoby pokusů o infiltraci sítí kybernetickými útočníky. Zatímco před známými hrozbami lze systémy velmi účinně ochránit, pokud jde o úplně novou a neznámou hrozbu, nelze s ní bojovat, dokud není detekována, důkladně prozkoumána a není zjištěn způsob, jak ji řešit.
Jaké jsou hlavní cíle kybernetických útoků?
Cíle kybernetických útoků mohou být různé, ale útočníkům dnes nejčastěji jde o odcizení citlivých dat nebo vyřazení důležitých systémů z provozu. V obou případech mohou zásadním způsobem narušit chod firmy a způsobit rozsáhlé finanční škody i poškození dobré pověsti společnosti a vztahů se zákazníky a obchodními partnery. Pokud budou hackeři úspěšní a dojde k odcizení citlivých osobních dat, jde o závažný problém i z pohledu evropské regulace GDPR (Obecné nařízení o ochraně osobních údajů), která vstoupila v platnost minulý rok. GDPR totiž správcům citlivých údajů ukládá udělat maximum pro jejich zabezpečení.
Zatímco velké korporace si mohou dovolit na zavedení a správu bezpečnostních opatření například najmout poskytovatele řízených služeb, menší firmy a různé organizace k tomu často nemají finanční prostředky, a navíc ani nedisponují potřebnými znalostmi a personálem. Právě pro malé a středně velké společnosti ale mohou být pokuty za nezavedení robustnějších opatření proti kybernetické kriminalitě likvidační. Úřady pro ochranu osobních údajů mají navíc právo nejen vyměřit pokutu, ale také zpracování údajů dočasně nebo trvale zakázat. Smyslem tohoto zákazu, který by mohl ohrozit samotnou existenci organizace, zejména pokud zvážíme s ním spojené poškození pověsti, je zabránit narušení dat během vyšetřování incidentu.
Opatření pro malé organizace
Pro snížení rizik a zajištění zabezpečení podnikové sítě v souladu s požadavky nařízení GDPR a dalšími oborovými či legislativními požadavky mohou malé organizace přijmout několik praktických opatření. Především je naprosto zásadní, aby své sítě budovaly podle nejnovějších standardů kybernetické bezpečnosti a s pomocí moderní síťové infrastruktury. Zásadní chybou je například spoléhat se při připojení na internet na běžný router se základním antivirovým softwarem, určený pro nasazení v domácnostech. Základem bezpečné podnikové sítě je vždy spolehlivý firewall, provádějící hloubkovou inspekci síťového provozu. V dnešní době by softwarová výbava firewallu měla při zabezpečení sítě využívat i technologii umělé inteligence a také cloud.
Hrozby nultého dne
Největší starosti bezpečnostním specialistům dělají zatím neznámé případy malwaru a nové typy útoků, často nazývané také jako hrozby nultého dne. Tyto typy hrozeb nejenže uniknou radaru běžné antivirové kontroly, ale často využívají i nově odhalené, zatím neošetřené mezery v zabezpečení operačních systémů a dalších softwarových produktů. Přestože mohou neznámé typy útoků napáchat značné škody, mají jejich tvůrci jen omezené časové možnosti pro jejich realizaci, protože společnosti vyvíjející bezpečnostní řešení dokážou díky svým zpravodajským sítím na tyto nové hrozby velmi rychle reagovat. Aktualizace bezpečnostního softwaru pak zajistí před novým, ale nyní již popsaným malwarem zajistit ochranu už během několika hodin od zaznamenání jeho prvního výskytu. Je proto klíčové, aby takové aktualizace v reálném čase získával i firewall na rozhraní podnikové sítě a internetu.
Kybernetičtí zločinci mají ale v rukávu ještě další trumfy. S pomocí technologie umělé inteligence (AI) přicházejí s novými hrozbami, které dokážou obejít obranné mechanismy běžného firewallu. Nová generace kryptovirů je díky zabudované umělé inteligenci chytřejší než vše, s čím se tvůrci bezpečnostních řešení doposud potýkali. Tyto viry se totiž dokážou učit nové triky a pak ohrožovat každou síť a každé připojené zařízení. Virus se například může na několik dnů přepnout do „režimu spánku“, aby byl během této doby jeho kód označen za neškodný, ale následně se probudí a začne působit problémy.
Jak si tedy stojíme?
Ukazuje se, že kybernetičtí zločinci dokážou vždy rychle využívat i nejnovější technologie včetně umělé inteligence. Proto dnes čelíme doslova pandemii kybernetické kriminality, která si podle nedávné zprávy společnosti McAfee doposud celosvětově vyžádala již 600 miliard dolarů.
Známý příklad řádění viru WannaCry v roce 2017, který po napadení počítačů zašifroval jejich obsah a požadoval výkupné za jeho opětovné zpřístupnění, ukazuje, že velmi omezený čas mezi prvním útokem, identifikací a ošetřením nové kybernetické hrozby stačí k tomu, aby byly způsobeny opravdu rozsáhlé problémy, především v podobě odstavení klíčových informačních systémů. Virus WannaCry přitom dokázal napadnout sítě bank, nemocnic, aerolinek i telekomunikačních operátorů.
Proto se bezpečnostní specialisté zaměřují na způsoby, jak ochránit sítě před zatím neidentifikovanými hrozbami a v reálném čase zajistit nepřetržitou aktualizaci bezpečnostních mechanismů každého síťového zařízení.
Účinným řešením se ukazuje kombinace cloudových technologií s technologiemi umělé inteligence a strojového učení. Umělá inteligence v tomto případě otevírá cestu k novému poznání a k pochopení změn v síťovém provozu a jejich významu bezprostředně poté, co nastanou. Díky těmto okamžitým poznatkům dokážeme reagovat rychleji, využívat příležitosti a řešit potenciální problémy dříve, než se z nich stanou problémy skutečné.
Moderní firewally Zyxel jsou vybavené bezpečnostní technologií ATP (Advanced Threat Protection), která zajišťuje hloubkovou inspekci datových paketů a zablokování veškerého potenciálně nebezpečného, podezřelého síťového provozu. ATP k tomu využívá strojové učení na detekci anomálií, které mohou indikovat probíhající útok.
Detekce útoků v ATP se primárně spoléhá na technologii sandboxingu, která doposud neznámé soubory odesílá ke cloudové detekci, v reálném čase detekuje, aktualizuje a zastaví veškeré soubory, které by mohly být malwarem, aby nemohly způsobit žádné škody.
Tyto potenciální hrozby jsou analyzovány naprosto detailně pomocí umělé inteligence, a pokud se nějaké podezření potvrdí, dochází k analýze bezpečnostními odborníky a odhalení detailů podezřelého chování.
Údaje o nových hrozbách jsou ukládány a analyzovány v cloudu, odkud jsou prakticky okamžitě po vyhodnocení dále sdíleny jako signatury s ostatními zařízeními.
Tímto způsobem vzniká neustále rostoucí a zdokonalovaná databáze informací o bezpečnostních hrozbách, která umožňuje detekovat a zneškodnit hrozby nultého dne i zcela nové typy útoků velmi brzy po jejich prvním výskytu.
Správci firewallů pak mají k dispozici podrobný přehled o síťovém provozu a odhalených a zneškodněných hrozbách v podobě reportů a infografiky, ze kterých lze zjistit například, z jakých zemí přicházejí útoky nejčastěji, a řadu dalších užitečných detailů.“
Obrana z cloudu
Není pochyb o tom, že hackeři a kybernetičtí zločinci budou ve stále větší míře a novými způsoby zneužívat umělou inteligenci a strojové učení, aby obešli ochranné mechanismy sítí. Úkolem tvůrců bezpečnostních řešení je být před nimi o krok napřed a umělou inteligenci využívat ještě lépe než oni.
Klíčovou zbraní v tomto nekonečném boji je cloud. Využití cloudu ke sdílení aktuálních informací o nových a potenciálních hrozbách pomáhá chránit všechny uživatele a držet kybernetické útočníky na uzdě.
Kromě budování sítí z moderních prvků se spolehlivou ochranou před novými typy kybernetických útoků by pro firmy a organizace mělo být další prioritou zvyšování povědomí jejich vlastních zaměstnanců o kybernetické bezpečnosti, aby každý v organizaci znal způsoby bezpečného zacházení s údaji a dokázal identifikovat bezpečnostní hrozby.
Jedině tak je možné zajistit soulad zabezpečení podnikové sítě s GDPR a dalšími nařízeními na ochranu dat a zároveň i zachovat provozuschopnost a důvěryhodnost společnosti.
Petr Koudelka, Zyxel senior sales engineer