Antivírusové programy založené čisto na signatúrach známych hrozieb? Toto môžeme považovať za stredovek kyberbezpečnosti. Súčasný digitálny priestor si vyžaduje pokročilú ochranu cez exploitačné metódy a spúšťanie podozrivých súborov v izolovanom prostredí. Pre prístup do vnútra siete je nutné zvoliť zabezpečené pripojenie VPN. Ako štandard sa už používa viacfaktorové overovanie pri prihlásení. Stále však platí: prístup Zero Trust, overovanie a nutnosť prístupu prísnych zásad riadenia a správy identít.
Čo však starý známy ransomware, záloha dát či novinky ako umelá inteligencia či IoT (Internet of Things)? Zvyšujú síce produktivitu, no stále sú viac využívané pri útokoch na iné zariadenia v sieti. Pozrite sa na nové i staré výzvy v bezpečnosti firiem a domácností.
Rok 2020 priniesol do pracovného života množstvo zmien. S pandemickou krízou sa prepojili nutnosti pre prácu z domu. To prinieslo firmám nové výzvy, predovšetkým v oblasti kybernetickej bezpečnosti.
V prípade práce z kancelárie má firma dohľad nad väčšinou svojich digitálnych aktív. Má pod kontrolou prístup na internet, keď je schopná pomocou perimetrového firewallu s tzv. nextgen funkcionalitou kontrolovať prístup zamestnancov na služby v internete, a tým sa čiastočne chrániť pred ohrozeniami.
V prípade práce z domu však musí byť funkcionalita ochrany presunutá až na koncové zariadenia zamestnancov. A ochrana koncových bodov sa už nemôže spoliehať ina klasické antivírusové programy. Preto je viac ako nutné zabezpečiť pokročilejšiu ochranu na základe sofistikovaných riešení. Ide napríklad o rôzne explitačné metódy a spúšťanie podozrivých súborov v izolovanom prostredí, tzv. sandboxing.
Zamestnávateľ tiež musí sprístupniť zamestnancom potrebné služby z vnútornej siete alebo z cloudu. Pre prístup do vnútornej siete je potrebné zvoliť zabezpečené pripojenie pomocou VPN.
Štandardom je viacfaktorové overovanie prihlásenia. V prípade využívania služieb z verejných cloudov je odporúčané zvýšiť ochranu dát napríklad nasadením technológie CASB (Cloud Access Security Broker), ktorá je schopná odhaliť podozrivé prístupy a narábanie s dátami uloženými vo verejnom cloude.
Bezpečná identifikácia cez Zero Trust
Z vyššie spomenutého prechodu na home office prichádza aj k rozšíreniu možností tzv. vektorov útokov. Čo teda chrániť a pred kým? Odpoveďou je inventarizácia aktív spoločnosti a následná analýza rizík, a tiež prístup, ktorý sa nazýva “Zero Trust Network”.
Ideou je nedôverovať nikomu, overiť každého a vyžiadavať prísne zásady riadenia prístupu a správy identít. Analytická a poradenská spoločnosť EMA (Enterprise Management Associates) definuje tento prístup ako model sieťového zabezpečenia, ktorý minimalizuje riziko použitím detailných zásad a riadenia pre prístup k sieti a pre sieťovú komunikáciu.
Zero Trust vyžaduje zaviesť mikrosegmentáciu a prideľovanie prístupových práv k aktívam na základe identifikácie užívateľa, jeho polohy a ostatných relevantných informácií na určenie dôveryhodného užívateľa, zariadenie alebo aplikáciu.
Je založený na využívaní viacfaktorovej autentifikácie, IAM (Identity Access Management), orchestrácii aj šifrovaní na rôznych úrovniach prístupových práv k systémom a súborom. Veľmi striktne vyžaduje bezpečnostný prístup a užívatelia musia mať pridelené práva, ktoré potrebujú na výkon práce.
Ransomware útoky sa množia. Čo s tým?
Ransomware sa stal asi najznámejšou hrozbou v oblasti kybernetickej bezpečnosti. Ide o typ škodlivého kódu, ktorého primárnou úlohou je zašifrovanie uložených dát a následne dochádza zo strany útočníka k zažiadaniu výkupného za poskytnutie kľúča na dešifrovanie. Určite sa Vám dostali do pozornosti najznámejšie útoky na medzinárodné spoločnosti ako UBER, Garmin či Maersk.
Pri týchto typoch útokov sú hekeri veľmi dobre zorganizovaní. Zdieľajú medzi sebou informácie a majú prepracované aj vnútorné štruktúry. Ransomware útok je dokonca možné kúpiť ako bežnú službu, tzv. RaaS (Ransomware as a Service). To znamená, že prípadný útočník už nemusí byť ani špeciálne technicky zdatný pre zvolený cieľ.
Ochranou voči vydieraniu a strate dát je správne ich zálohovať. Problém totiž spočíva aj v tom, že pred zašifrovaním dát dochádza k ich úniku. Ransomware útočníci držia ukradnuté dáta a hrozia, že bez zaplatenia výkupného ich zverejnia. V mnohých prípadoch ide o údaje pod ochranu GDPR, čo môže mať pre organizácie aj ďalšie neželané následky.
Základnou ochranou pred týmto typom útokov je samotný užívateľ, ktorý si uvedomuje riziká pri otváraní nevyžiadanej pošty a príloh tzv. phishing. Ten vyžaduje od užívateľov citlivé informácie cez podvrhnuté stránky. Následne treba aplikovať bezpečnostné mechanizmy, ktoré majú za úlohu ransomware útoky eliminovať.
Umelá inteligencia v procese ochrany pred útočníkmi
Moderné bezpečnostné systémy na ochranu pred kybernetickými útokmi už bežne využívajú modely strojového učenia (ML – machine learning) aj umelú inteligenciu (AI – Artificial Intelligence) na detegovanie podozrivých udalostí. A tu pozor! Práca z domu totiž znamená rozšírenie na väčší a zraniteľnejší priestor, a tiež na množstvo neobvyklého správania sa užívateľov. To môže viesť k veľkému množstvu chybných detekcií, tzv. “false positive“.
Dané rizikové faktory je možné eliminovať pomocou “deception” technológie, ktorá je skôr známa pod názvom honeypot. Je založená na princípe nasadenia falošných databáz a serverov do prostredia, fungujúceho ako pasce a návnady pre útočníkov.
Umelá inteligencia a strojové učenie sú využívané na správu tých systémov a na vyhodnocovanie incidentov a útokov, ktoré sa chytia na tieto pasce a návnady. Pomocou honeypotov je možné zachytiť veľké množstvo útočníkov a ich postupov a následne môžu byť využité na modelovanie ich správania sa.
Umelá inteligencia je využívaná, samozrejme, aj na strane útočníkov. Veľké množstvo moderného malware sa snaží rozpoznať prostredie, v ktorom sa nachádza, sandboxe či hardware. V tomto prípade ide o súperenie dvoch sietí, respektíve systémov, ktoré sa snažia navzájom oklamať.
Mimoriadne nebezpečenstvo IoT zariadení
Počet zariadení, ktoré sú pripojené na internet, stúpa. V domácnostiach môžeme hovoriť o hlasových asistentoch, kamerách, televízoroch, a čím ďalej aj o kuchynských spotrebičoch. V prostredí firiem ide hlavne o snímače na meranie rôznych fyzikálnych veličín ako napríklad čas, svietivosť či teplota.
Zariadenia IoT (Internet of Things) pritom predstavujú mimoriadne riziko. Často je svet bežného IT a zariadení IoT prepojený, pričom bezpečnosť je riešená až v druhom rade. Tiež sa stáva, že zo strany výrobcu nie je poskytovaná podpora v prípade objavenia bezpečnostných zraniteľností. To môže mať za následok zneužitia IoT zariadení zo strany útočníka ako vstupného bodu pri útoku na ostatné zariadenia v sieti. Známe sú útoky, keď boli rôzne IoT zariadenia použité pri útokoch typu DDoS (Distributed Denial of Service).
Mnoho organizácií zavádza zariadenia IoT do svojej organizácie bez toho, aby bol ošetrený dôraz na výber IoT v celom procese. Z tohto dôvodu majú často len nejasnú predstavu o ich množstve a stave v celkovej infraštruktúre spoločnosti. Potom sa stáva, že sa mnoho zariadení pripája priamo na internet, napríklad vrátane IP kamier. Ďalším problémom je zasielanie dát cez IoT zariadenia, nakoľko veľké percento prenosov nie je šifrované.
IoT zariadenia by mali byť zároveň súčasťou pravidelného zisťovania zraniteľností cez automatické nástroje na to určené. Mali by byť oddelené od ostatných systémov a zaradené v sieti pomocou segmentácie. Zároveň by ich komunikácia mala byť povolená len na potrebné systémy a len pomocou presne definovaných protokolov.
Bezpečnosť IoT musí byť preto riešená už v procese obstarávania, a to hlavne s prihliadnutím na podporu v prípade výskytu bezpečnostných rizík. Je nutné mať podrobný prehľad o všetkých nasadených IoT zariadení vo firme, pripojených do siete. Samozrejmosťou je ich pravidelná aktualizácia.