Nejlepší obranou je útok. Tedy řešení, která nejen aktivně detekují hrozby, ale i jim brání a sama vytvářejí protiopatření. O kybernetických útocích jsme mluvili s Tomášem Vobrubou, Lead Security Engineerem ve společnosti CheckPoint Software Technologies, lídrem v oblasti kybernetické bezpečnosti, a ptali jsme se…
Jakým kybernetickým útokům čelí firmy v České republice nejčastěji?
Pokud se podíváme na aktuální CheckPoint report, který mapuje útoky po celém světě a na Slovensku, kybernetickým útokům jednoznačně dominuje ransomware. V první polovině roku 2022 se počet incidentů ransomwaru zvýšil o 42 %. Neměli bychom však zapomínat na druhé místo v žebříčku, kde jsou dlouhodobými stálicemi skupina Cryptomining a bankovní malware.
Jaký je dlouhodobý trend?
Trend je jasný – malware se dnes používá především k monetizaci a obohacování. Už to není žádná amatérská činnost nebo zlý úmysl. Ve skutečnosti čelíme strategickým kybernetickým útokům se silným motivem zisku, což také vypovídá o závažnosti situace, ve které se právě nacházíme.
Co mají společnosti tendenci podceňovat v oblasti zabezpečení?
V praxi se setkáváme s několika zjednodušenými scénáři:„Zálohování mě vždy zachrání.“Není tomu tak. Sice zálohujete a děláte to i kvůli ransomware útoku, ale plán obnovy už nikdo nedělá a zejména občas jeho testování. Pokud je útok úspěšný, přicházejí nepříjemná překvapení. „To se mě netýká, kdo by mi ještě něco vzal.“Ale malware, a zejména ransomware, se neptá, kdo jste, a co máte.„Podruhé se nám to snad nestane. Nebudu investovat další peníze, už jsem prodělal dost“.Říkáme tomu také posttraumatické vystřízlivění. Útok proběhl, vzpamatovali jsme se ze ztráty a co dál? Počáteční nadšení rychle vyprchá spolu s fakturou za opravu škod a prevenci, která může být velmi vysoká.
Prevence je nejlepší obrana – platí toto tvrzení i v případě kybernetické bezpečnosti?
Jde o to, abyste zvolili správnou technologii. Lepší je číst si v protokolu : „Malware byl detekován a zastaven, ransomware byl automaticky odstraněn“, než číst toto: „Podívejte, vidím tu nějaký ransomware, ale nemohu ho zastavit, takže udělejte, co můžete, milý správce.“ Navíc to můžete zjistit až po několika hodinách, a to už může být velmi vážný problém.
Plán reakce krok za krokem. Jaké jsou základní principy?
Platí jednoduchý postup – identifikovat, chránit, odhalit, reagovat a obnovit. Je snadné to napsat na papír a do pokynů, ale skutečnost může být zcela jiná. Je dobré se nadechnout a začít uvažovat racionálně. Dokonce i panika typu „vytáhnout vše ze sítě“ může být prospěšná. Cvičení a důsledná příprava však vedou k dokonalosti. Pro účinnou reakci na útok je nutné rozpoznat rozsah poškození, mít plán odstavení infrastruktury, tým pro reakci, SOC, sběr logů a další technologie. V případě plánů reakce musíte mít také dostatek zdrojů (lidí a financí), abyste mohli činnost zvládnout sami, a to může být problém.
Lze služby reakce a obnovy outsourcovat?
Ano. Firmy si mohou vybrat vhodného partnera, který jim doporučí vhodné technologie a zajistí dohled a plány obnovy. Například IXPERTA nabízí vlastní týmy SOC a IRT (Incident Response Team). Firmám může pomoci s procesy, a to i technologicky.Chcete mít přehled o technologiích a nejnovějších trendech v oblasti kybernetické bezpečnosti? Neváhejte a přidejte se k nám na SECURITY NIGHT 20. října 2022 v Košicích.
Kdo všechno ve společnosti by měl být zapojen do plánu reakce?
Při plánování reakce na incidenty by neměl rozhodovat pouze ředitel CISO, ale celý tým managementu na úrovni C, včetně osoby, která dokáže vyhodnotit aktiva a firemní majetek a jejich rizika. Tyto informace jsou vodítkem při definování postupů, které mohou být zcela odlišné v bankovním, státním nebo silovém prostředí, v menším výrobním závodě nebo ve společnosti s 10 zaměstnanci. Ano, i tyto společnosti musí myslet na plán reakce, protože ransomware pro ně může být existenčně zničující. Ale především je třeba mít podporu majitele firmy, který je v konečném důsledku sponzorem této činnosti. Někdy je však bohužel majitele těžké přesvědčit. Na jedné straně chápu úvahy majitele malé lakovny zemědělských strojů, který investuje spíše do výroby než do bezpečnosti. Co když ale taková firma přijde o své jediné dva počítače s účetnictvím a kontakty? Co pak?
Jak útok nahlašovat?
Záleží na závažnosti problému a také na místě, kde k útoku dochází, na zemi a její legislativě, na odvětví a velikosti společnosti. Je to velmi různé. U nás je například vhodné (a někdy nutné) informovat SK-CERT. Týmy a technologie SOC mohou pomoci s konkrétními postupy.
S jakým kuriózním případem jsi se setkal v praxi?
U jednoho zákazníka jsme pomocí našich zařízení kontrolovali infrastrukturu, zda je v pořádku z hlediska kybernetické bezpečnosti. Ihned po zapojení jsme zjistili aktivní útok ransomwaru, o kterém nevěděla ani stávající antivirová ochrana, ani oddělení IT. Zajímavé je, že i přes tyto skutečnosti se dotyčná společnost nechtěla problémem zabývat a nereagovala ani na zabezpečení do budoucna.Kybernetické útoky už dávno nejsou o amatérských aktivitách a zlomyslnosti. Ve skutečnosti čelíme strategickým kybernetickým útokům se silným motivem zisku, což také vypovídá o závažnosti situace, ve které se právě nacházíme. Říká Tomáš Vobruba, vedoucí bezpečnostní inženýr ve společnosti Check Point Software Technologies Ltd. Je prevence skutečně nejlepší obranou? Jak reagujete, když zjistíte, že jste se stali obětí kybernetického útoku? Děkujeme Tomášovi za skvělý rozhovor a užitečné informace.Chcete mít přehled o technologiích a nejnovějších trendech v oblasti kybernetické bezpečnosti? Neváhejte a přidejte se k nám na SECURITY NIGHT 20. října 2022 v Košicích.
Publikováno: 24. srpna 2022
Přečtěte si také
Získejte technologické novinky z první ruky
Trendy, inspirace z praxe a doporučení přímo do vaší schránky