Vždy mluvte o bezpečnosti

S Patrickem Müllerem ze Sophosu jsme probrali aktuální výzvy na poli kybernetické bezpečnosti, nízkou míru investic do bezpečnostních řešení a služeb u českých organizací, nové metody útoků i jeho nedávné povýšení na regionální pozici.

Vždy mluvte o bezpečnosti


Jak vůbec vnímáte letošní rok?

Řekl bych, že ano, protože těch změn, které se okolo nás dějí, je velmi mnoho. Koronavirus nám změnil pravidla hry v osobní i profesní rovině, mnoho z nás nemůže chodit do kanceláře, nemůžeme se osobně scházet s partnery a zákazníky.

Je pravda, že lidé pracovali z domova už před pandemií, nebylo to však v takto masivní míře a nedobrovolně. V tom je samozřejmě obrovský rozdíl, protože když máte na home office hrstku zaměstnanců, které předtím důkladně poučíte o zásadách bezpečnosti, je možné bezpečnost firemních systémů a dat poměrně dobře uhlídat. Když vám ovšem ze dne na den zůstane doma celá firma, je to úplně jiná situace.

 

Patrick Müller, interim regional manager for Eastern Europe, Sophos. První roky po studiu strávil v barvách společnosti WSCAD Electronic, kde působil na pozici BDM, poté přestoupil do společnosti Symantec, napřed na obchodní pozici v Německu, později v České republice. V Sophosu pracuje od roku 2015, kdy se ujal řízení partnerské sítě v ČR a SR, od léta 2020 je zodpovědný za celý region východní Evropy.

 

 

Co by měly podniky v této situaci dělat?

Sophos už na jaře vydal soubor tipů, jak lze zajistit minimální standard zabezpečení, takže určitě neuškodí si je nyní zopakovat. Začněme u samotných zařízení, kde je povinností podniku coby jejich majitele a provozovatele zajistit komplexní zabezpečení. Zahrnuje to nejen přítomnost bezpečnostního softwaru, ale také průběžné patchování operačního systému a aplikací, možnost zašifrování dat v případě odcizení zařízení a uzamčení USB portů, aby se zamezilo připojení externích úložišť. A abychom nezapomněli na telefony nebo tablety, doporučujeme používat řešení typu unified endpoint management, aby mobilní zařízení byla chráněna stejným způsobem jako firemní počítače.

Do firemní sítě by se měli zaměstnanci zásadně připojovat přes VPN, aby byla komunikace bezpečná a zašifrovaná. Velký důraz by se měl klást na skenování e-mailů a jejich příloh, protože současná situace velmi nahrává phishingu, stejně jako na zabezpečení cloudových úložišť, kam se ukládají firemní data, jež by měla být přinejmenším jištěna dvoufaktorovu autentizací. Z praktického hlediska by pak firmy měly používat produkty se samoobslužnými portály podpory, aby se snížila zátěž na IT pracovníky, a především mít stanovený jednoduchý postup pro hlášení bezpečnostních incidentů.

Na jaře se prioritou stala konektivita a produktivita zaměstnanců, zatímco bezpečnost šla na chvíli stranou -- a to se bavíme o firmách všech velikostí. Rozdíl se ukázal později, kdy větší organizace začaly dodržovat alespoň část bezpečnostních zásad, například používání VPN, zatímco u těch malých v mnoha případech neměly buď potřebné znalosti, nebo lidské i finanční zdroje na zavedení a dodržování potřebných bezpečnostních postupů.

Statistiky bohužel ukazují, že s bezpečností je to stále podobné jako se zálohováním. Řešení pro back-up si firmy zpravidla kupují poté, co přijdou o data, a moderní bezpečnostní řešení, které je schopné detekovat, analyzovat a zastavit aktuální sofistikované hrozby, zase poté, co na vlastní kůži zažijí útok. Nemůžeme to samozřejmě říci úplně o všech organizacích, jistě se najdou osvícené podniky, a je jich stále více, které se vydaly cestou prevence. Ovšem ty, které bezpečnostnímu incidentu zatím nečelily, většinou i nadále spoléhají na své aktuální bezpečnostní technologie, jež nejsou zpravidla schopné reagovat na současné hrozby, a doufají, že se jim budou útoky vyhýbat i do budoucna. Některé firmy se prostě musejí napřed spálit, aby možná rizika začaly brát vážně.

 

Je problémem osvěta?

Bezesporu ano, skoro bych řekl, že nedostatek osvěty zde často hraje ještě zásadnější roli, zejména v segmentu malých firem. U menších organizací často scházejí základní znalosti o IT jako takovém, natož o aktuálních kybernetických hrozbách.

Bezpečnostní produkty tyto firmy sice používají, ale spíše ty základní, které zpravidla nejsou schopné detekovat a reagovat na aktuální hrozby. Přitom si myslím, že kdyby osvěta byla lepší, přinejmenším část těchto společností by do bezpečnosti investovala více, protože by si uvědomovala, že škody způsobené útokem mohou mnohonásobně převýšit náklady na zabezpečení. Zde tedy vidím velký prostor i pro partnery.

Z pohledu firem je však třeba si uvědomit, že zde máme GDPR a další zákony, které jim ukládají určité povinnosti, z nichž se nemohou jen tak vyvléknout a hájit se tím, že je na rizika spojená se zabezpečením IT nikdo neupozornil. Domnívám se, že je v zájmu každé organizace sledovat dění a chránit se před vším, co by mohlo nějak poškodit její byznys, kybernetické hrozby nevyjímaje. To je jejich zodpovědnost, nikoliv naše.

Na druhou stranu je ovšem třeba dodat, že šířit osvětu je v zájmu každého bezpečnostního vendora a partnera, protože to otevírá nové možnosti, jak dělat byznys.

 

S jakými typy útoků se dnes setkáváte?

V současné době považuji za nejzávažnější typ kybernetické hrozby malwaru nultého dne. Jde o škodlivý software, na který ještě není v daný okamžik definovaná a 100% účinná obrana, například v podobě aktualizace softwaru.

Nejúčinnější jsou v českém prostředí stále plošné útoky malwaru, což je dáno částečně i nedostatečnou úrovní ochrany IT. Organizace mají stále ve velké míře zastaralá IT bezpečnostní řešení, která nejsou schopná detekovat hrozby a reagovat na ně včas. Svou roli zde hraje i koronavirová pandemie, v jejímž důsledku pozorujeme nárůst využívání tématu COVID-19 útočníky v jejich kampaních.

Velká rizika pak s sebou nese i masivní přechod zaměstnanců na home office, připojování se do firemní sítě z neznámých sítí s neznámými zařízeními, využívání nových komunikačních platforem apod.

A co se týče skutečně pokročilých hrozeb, je trendem kompilace útočných nástrojů uvnitř v síti. Jinými slovy, útočník tam svůj kód propašuje po částech, které samy o sobě nejsou škodlivé, takže projdou firewallem, aniž vzbudí pozornost, a teprve uvnitř se spojí do celku a začnou páchat škody.

Jak je možné se proti takovému útoku bránit?

Sofistikovanému útoku je možné se bránit pouze se sofistikovanými technologiemi a zkušenými bezpečnostními experty. Za klíčovou bych zde označil technologii EDR (Endpoint Detection and Response), již Sophos nabízí jako součást řešení Sophos Intercept X Advance s EDR a která je navržená pro použití bez nutnosti mít vlastního bezpečnostního IT specialistu. Intercept X Advance s EDR je námi doporučená minimální varianta zabezpečení, jež zajistí firmám všech velikostí dostatečnou ochranu proti aktuálním hrozbám a kterou může obsluhovat jediný IT specialista.

Další úrovní, kterou zejména organizace bez vlastních IT specialistů mohou využít, je služba Sophos Managed Thread Response (MTR), v rámci níž globální tým bezpečnostních expertů poskytuje v režimu 24 x 7 proaktivní, plně řízené služby vyhledávání a analýzy anomálií v síti zákazníka.

Nepřetržitě dohlíží na prostředí klienta, validují potenciální hrozby a incidenty, analyzují dopad platných hrozeb na byznys a zajišťují akční plán v případě bezpečnostního incidentu. Jde o jednu z nejpoužívanějších řízených služeb detekce a reakce (MDR) v odvětví, nyní s více než 1 400 zákazníky.

Tento typ řešení si ale asi nemůže dovolit každá organizace?

Technologie EDR od Sophosu je sice dražší než běžný antivirus, ale troufám si tvrdit, že si ji může dovolit každá organizace, protože při EDR funkcionalitě není potřeba na straně zákazníka drahý interní bezpečnostní IT specialista a jeho obsluhu zvládne klasický IT správce. Součástí řešení je samozřejmě i automatizace, která navíc v mnoha ohledech čas IT správce spoří.

Míříme s ní především do firem, které bez ohledu na velikost zpravidla nedisponují vlastními bezpečnostními IT experty, ale mají potřebu dobrého bezpečnostního systému, jenž automaticky detekuje a navrhuje možné scénáře adekvátního postupu. Naše řešení jsou pro organizace, které potřebují zajistit kontinuitu svého podnikání s využitím jednoduchého, snadno spravovatelného systému.

Z pohledu bezpečnosti se obecně spíše zamýšlíme nad tím, s jak důležitými daty daná organizace pracuje a jaký dopad by případný bezpečnostní incident mohl mít na jejich podnikání, než jak je organizace veliká.

Když hovoříme o řízené bezpečnostní službě, jak si vlastně obecně vede český trh MSSP?

Musím říct, že jakkoliv patří český trh v celé řadě oblastí mezi early adopters, MSSP do nich z mého pohledu nepatří. Potenciál poptávky a nabídky po řízených bezpečnostních službách není ani mezi zákazníky, ani mezi partnery ještě zdaleka naplněný. Jsme stále na začátku a rozvoj této oblasti je teprve před námi.

Na straně zákazníků zde vnímám jistý vliv minulosti, kdy český člověk byl vedený a vychovávaný k tomu, aby si uměl poradit. Často s omezenými zdroji musel být chytrý, vynalézavý, kreativní. Svoji roli zde sehrává i pocit, že nechci řešení přesouvat na někoho jiného, raději vše vyřeším sám, vím, co jsem vybudoval, mám to pod kontrolou a věřím v to.

Srovnáme-li situaci na jiných trzích, i přes to, že zde jsou zákazníci ochotní za služby platit a už je tato forma spolupráce samozřejmostí, i oni jsou opatrní, pečlivě srovnávají nabídku jednotlivých partnerů, porovnávají parametry služby a zvažují přínosy a cenu.

Také nedůvěra zde může hrát určitou roli. To je na jednu stranu vlastně dobře, protože to znamená, že nebudu svěřovat svá data úplně kdekomu, na druhou stranu si zároveň stále více organizací uvědomuje, že model řízených služeb vytváří velmi silná pouta mezi partnerem a zákazníkem a vede ke dlouhodobé, stabilní spolupráci.

I když se stále ještě setkáváme s obavami zákazníků, že poskytovatel uvidí do jejich dat, důvěra v MSSP v tomto ohledu roste. Souvisí to i s osvětou a samotným pokrokem technologií a s přínosy, které tato forma spolupráce pro zákazníky v konečném důsledku má.

Jak se z hlediska bezpečnosti díváte na cloud?

Cloud je bezesporu bezpečnostní výzvou, především kvůli tomu, že koncoví zákazníci často nemají přehled o tom, kde všude mají uložená data­. To je problém, protože kontrola nad daty je základním předpokladem pro jejich zabezpečení.

Sophos na tento problém odpověděl nástrojem Sophos Cloud Optics, který vám dokáže nabídnout vhled do prostředí AWS, Google Cloud a Microsoft Azure a ukáže vám, kde přesně se vaše data nacházejí. V každém případě bych pak doporučil data v cloudu šifrovat, protože pokud jsou uložená v otevřeném formátu, usnadníte tím útočníkům práci.

Závěrem se nemohu nezeptat na vaše nedávné povýšení. Doteď jste řídil Sophos na českém a slovenském trhu, nyní jich je o trochu více, že?

(směje se) Ano, je jich o trochu více, konkrétně dvacet osm. Byl jsem povýšen na pozici interim regional manager pro celý region východní Evropy, takže kromě České republiky a Slovenska nyní zodpovídám za polský a maďarský trh, státy CIS, celý Balkán včetně Rumunska, Bulharska a Moldávie a v neposlední řadě také za Řecko, Kypr a Maltu.

Děkuji za rozhovor

Autor je šéfredaktor magazínu Channel World

Úvodní foto: © Andrea Danti - Fotolia.com



Vyšlo v SecurityWorld 4/2020








Komentáře