Když se řekne bezpečnost IT, představíte si nekonečnou řadu nebezpečí, které mohou svět ICT ohrožovat – od sociálního inženýrství, přes útoky na infrastrukturu, viry, ztrátu dat až po fyzické poškození. Položili jsme tedy několik otázek z různých oblastí, abychom dostali obrázek o tom, co dnes považují společnosti věnující se této oblasti za důležité.
Bezpečnostní experti již před delším časem definovali tři základní stupně bezpečnosti: lidé, procesy, technologie. Jakým způsobem se jim věnuje zrovna vaše firma?
Zdeněk Jiříček, Microsoft: „V oblasti lidí (koncových uživatelů) se Microsoft aktivně účastní informační a bezpečnostní gramotnosti v rámci iniciativ Safer InternetBezpečný Internet, obecně pak informacemi publikovanými na www.microsoft.com/security, včetně prostředků pro dohled rodičů na bezpečnost jejich dětí na Internetu (např. Zabezpečení rodiny ve Windows). Osvěta koncových uživatelů je klíčovým aspektem obrany před kybernetickými útoky.
Oblast procesů se týká zejména podnikových zákazníků, kde nabízíme řízení procesů bezpečnosti pomocí nástroje Microsoft System Center, a také konzultační služby nad tímto nástrojem. Dále zajišťujeme nezávislou validaci našich interních procesů v oblasti řízení bezpečnosti cloudových služeb (ISO/IEC 27001) a v oblasti ochrany soukromí v cloudových službách. Microsoft je prvním poskytovatelem cloudových služeb, který získal certifikaci ISO 27018 pro své hlavní cloudové služby (Office 365, Azure, CRM Online).
V oblasti technologií poskytujeme několik úrovní poradenství – od jednoduchých návodů jak zabezpečit svůj počítač (viz www.microsoft.com/security), přes publikace doporučených nastavení platformy Windows, až po konzultační služby našim zákazníkům, kteří spadají pod Zákon o kybernetické bezpečnosti 181/2014 Sb. Platforma Microsoft WindowsOffice obsahuje řadu bezpečnostních prvků, které jednotlivci a firmy zatím nevyužívají, a přitom by mohli efektivně vyřešit některé slabiny (např. šifrování nástrojem BitLocker, bezpečný dálkový přístup pomocí Direct Access, nebo federace identit pomocí Active Directory Federation Services, ochranu PC pomocí Windows 8.X Secure Boot a UEFI). Je třeba také zdůraznit, že každá další verze Windows přináší nové bezpečnostní prvky, které hackerům omezují jejich možnosti útoku. Stejně tak je důležité instalovat bezpečnostní záplaty co nejdříve po jejich vydání.“
Uživatel MS Office 2013 nebo Office 365 využívá OneDrive k zálohování dat a jejich zpřístupnění do všech svých zařízení (NB IBM/PC, Apple MacBook, smartphone Windows Mobile). V poslední době se šíří hacking v podobě zašifrování souborů na desktopu s vydíráním o zaplacení pro odblokování těchto souborů. Může zašifrované soubory smazat, nahrát je znovu z OneDrive, a udělat pak na hackera „dlouhý nos“? Jak bezpečný vlastně OneDrive v tomto ohledu je?
Zdeněk Jiříček, Microsoft: Online úložiště OneDrive je chráněno hned několika možnými druhy zabezpečení: „Heslem – soubory na úložišti OneDrive jsou obecně chráněny tak, jak silné je uživatelem nastavené heslo. Toto si často řada uživatelů neuvědomuje. Microsoft dlouhodobě pracuje na edukaci uživatelů v této oblasti. Technicky méně zdatným uživatelům pomáháme prostřednictvím sady doporučení a jednoduché animace, jak správně nastavit dostatečně silné heslo a chránit tak svá data.
Přidáním dodatečných bezpečnostních informací ke svému účtu Microsoft – jedná se především o přidání telefonního čísla, alternativní e-mailové adresy či bezpečnostních otázek a odpovědí na ně. Všechny tyto dodatečné informace slouží k ochraně před možným pokusem o prolomení účtu Microsoft.
Využití dvoufázové autentifikace – spárování účtu Microsoft s telefonním číslem a primární nastavení této formy autentizace pro přístup do služby. Při každém přihlášení na OneDrive je pak uživateli zasílán na jeho telefon vícemístný kód, který je nutné zadat pro úspěšné přihlášení do služby.
Soubory, které se ukládají do složek OneDrive na klientském zařízení, se vzápětí začnou replikovat „do cloudu“. Pokud by virus zašifroval a uložil soubory na klientském zařízení pod stejným jménem, začnou se tyto soubory automaticky replikovat „do cloudu“ a přepisovat ty „dobré“ verze. Pokud to uživatel nezjistí včas, znehodnotí se tedy postupně i zálohy v cloudu. OneDrive má však zabudované verzování souborů, takže důležité soubory je možné manuálně obnovit v předchozích verzích při přístupu na složky OneDrive v prohlížeči.“
Co je dnes největším problémem při ochraně IT infrastruktury?
René Pospíšil, is4technologies: „Jde především o ‚útok nultého dne‘ a očekávání většiny uživatelů, že antimalware je ochrání, což neodpovídá realitě. Tradiční nástroje antimalware jsou schopny detekovat průměrně jen 20 procent nových malwarů a po 30 dnech je tzv. detection rate nových malwarů jen cca 61 procent. Ochranou je proto změna nasazení hlavní bezpečnosti koncového bodu aplikací tzv. white application listingu. Jde o specifikace business-critical aplikací a jejich aktualizací, kterým důvěřujeme, a pak blokování všech ostatních aplikací, aniž bychom je specifikovalli. Jde o obrácený postup tzv. black-listu, kde bychom museli postupně zakazovat při současném nárůstu hrozeb několik identifikovatelných signatur každou vteřinu. Už v roce 2014 bylo průměrně zaznamenáno 12 milionů nových identifikovaných hrozeb měsíčně, což reprezentuje 4,6 útoku za vteřinu. Žádná technologie, která se opírá o signatury, takto nemůže koncovou stanici ochránit. Přitom nutných firemních aplikací, které administrátor zařadí do white-listu, bývají pouze desítky. Takovýmto přístupem eliminujete jak známé, tak neznámé hrozby (útoky nultého dne), ale i nechtěné aplikace apod. Vhodné je doplnit tuto funkcionalitu také patch-managementem, který se aplikuje nejen na Windows, ale i na ostatní operační systémy jako Linux, Unix, Mac OS a aplikace na nich běžících.“
V současné době se celá infrastruktura virtualizuje (operační systémy, sítě, storage…), a i takové prostředí je třeba chránit. Jak se k problematice ochrany virtuálního prostředí staví vaše firma, jaké nabízíte řešení?
Jan Sekera, Kaspersky Lab, Regionální manažer CEE: „Naše společnost dnes nabízí tři možné způsoby zabezpečení virtualizovaných desktopů a serverů na platformách VMware, Microsoft Hyper-V, Citrix XenServer nebo Linux. Kaspersky Security for Virtualization Light Agent je dnes nejvíce pokročilou technologii v zabezpečení a správě v oblasti produktů pro virtualizované prostředí. Hlavní funkce Light Agent řešení jsou: Anti-malware, Automatic Exploit Prevention, System Watcher, Mail/Web/IM Antivirus, Application/Web/Device Control, HIPS, firewall, Network Attack Blocker, Anti-phising.“
Martin Skýpala , Product Specialist, Eset: „Bezpečnostní produkty Eset, včetně nástroje pro vzdálenou správu Eset Remote Administrator, poskytují ve virtuálních prostředích stejné nástroje i bezpečnostní funkce jako u fyzické instalace. Bonusem je možnost významného zrychlení skenování díky Eset Shared Local Cache. Virtuální stroje jsou totiž obvykle stejně nastaveny, což má za výsledek až 80% duplicitu souborů. Eset Shared Local Cache proto zajišťuje, že již kontrolované soubory na jednom virtuálním stroji se podruhé v tomtéž téhož virtuálním prostředí na dalších strojích nemusejí kontrolovat, což má značně pozitivní dopad na rychlost skenování souborů.“
Jaké bezpečnostní hrozby očekáváte v nastávajícím období a jak se proti nim hodláte bránit?
Petr Švéda, Sberbank, Information Security Manager: „V letošním roce lze očekávat nárůst cílených útoků na konkrétní uživatele, kdy varovným faktorem je kvalita podvodných zpráv a realizace jednotlivých útoků. Nejzranitelnějším článkem jsou sami uživatelé a jednou z priorit je budování bezpečnostního povědomí, čemuž má pomoci připravovaná silná kampaň ze strany ČBA. I přes řadu preventivních opatření budou banky i nadále zaznamenávat pokusy o krádeže dat z platebních karet. Tomu brání i účinný monitoring transakcí v případech, kdy je banka schopna zpětným voláním u klienta ověřit platnost transakce.“
Do nedávna se všichni generálové připravovali na válku, která již byla. V oblasti ICT bezpečnosti se válčí od počátku existence tohoto průmyslu. Existují tedy i hrozby, které zatím neznáme. Kterých oblastí se dnes mohou týkat nejspíše?
Jakub Jiříček, PaloAltoNetwoks, Systems Engineer – Eastern Europe: „Hledání a účinné zastavování dosud neznámých hrozeb je čím dál tím důležitějším úkolem IT bezpečnosti. Klasické ochrany (antivir, síťové IDS/IPS) totiž při své práci spoléhají na často velmi objemné databáze signatur, jejichž aktualizace, testování a distribuce obvykle trvá od přinejmenším několika hodin až po jednotky dnů. A právě v této době se nové hrozby stihnou rozšířit na většinu počítačů, které kdy napadnou. Nové detekční technologie, jako například sandboxing, pracují výrazně rychleji a hrozby velmi přesně zastavují již během několika minut po prvním zjištěném výskytu. Tato rychlost může být velmi zajímavá pro průmyslové řídící systémy, kterých se útoky týkají čím dál tím častěji, a ve kterých každý, i jen krátký výpadek, může znamenat konkrétně vyčíslitelné, a mnohdy nemalé finanční náklady.“
Vidíte na poli podnikové IT bezpečnosti nějaký významný trend?
Petr Špringl, obchodní ředitel Invea-Tech pro ČR: „Pokud se podíváme na problematiku bezpečnosti v českých podnicích z odstupu, lze říci, že většina spoléhá, z historických i jiných důvodů, na zavedený koncept IT, tedy bezpečný perimetr a ochranu koncových stanic. Je to legitimní přístup, ale v současné době to již často nestačí. Je totiž třeba si uvědomit, že se mezi perimetrem a koncovými stanicemi nachází rozsáhlá, z pohledu bezpečnosti mnohdy opomíjená infrastruktura. Jakmile úspěšný útok či malware překročí hranici perimetru a ochrana na koncových stanicích jej není schopna detekovat, například z důvodu neexistující signatury, a pak může nastat problém. Typicky jde o hrozby typu cílené útoky, neznámé viry, malware psaný na míru a podobně.
Ochranu této oblasti řeší systémy, které monitorují síťový provoz a na bázi technologie analýzy chování sítě (Network Behavior Analysis) v něm automaticky detekují jakékoliv anomálie či útoky. Tyto nástroje analyzují datové toky, vyhledávají mezi nimi neobvyklé vztahy a závislosti, a umožňují detekovat hrozby, proti kterým jsou ostatní bezpečnostní nástroje typu IDS/IPS, firewall či antivirus neúčinné. Nejde přitom o to tyto nástroje nahradit, ale doplnit o další, významný kousek ‚bezpečnostní skládačky‘. To nakonec doporučuje i analytická agentura Gartner, která NBA označuje za trend v oblasti monitorování a zabezpečení počítačových sítí. Vidím tedy posun, kdy zákazníci implementují tato řešení, která ještě nedávno byla dostupná jen pro ty největší podniky.“
Co podle vás firmy v oblasti bezpečnosti nejvíce „pálí“?
Petr Špringl, obchodní ředitel Invea-Tech pro ČR: „Jako největší problém vnímám rostoucí počet stále sofistikovanějších útoků a malware, které cílí na konkrétní organizace. Detekovat a bránit se jim je pro ně velmi složité, neboť běžně používané bezpečnostní nástroje je z principu své činnosti ani nemohou odhalit. Ale tím se vracíme k předešlé odpovědi o detekcí útoků a hrozeb za využití monitorování síťového provozu.
V celosvětovém měřítku se na čele žebříčku potenciálních hrozeb už pár let pohybují útoky DDoS. Přestože je to věc známá přes deset let, drtivá většina organizací na ně není připravena. I podle studie renomované bezpečnostní firmy Radware již řada organizací začíná vnímat DDoS útoky nejen jako největší hrozbu, ale zároveň i jako hrozbu, která je může nejvíce poškodit. V Česku tomu tak zatím není, ale registrujeme, že i k nám tento trend velmi rychle přichází.
Určitě bych chtěl zmínit také to, že stále větším problémem se stává nedostatek IT specialistů se zaměřením na bezpečnostní technologie. Podle studie společnosti Cisco jich v roce 2014 chybělo na trhu asi milion. Pociťujeme to i my. Jako rostoucí firma v podstatě neustále poptáváme jak technické, tak obchodní pozice, juniorské i seniorské. Najít vhodné kandidáty, především na obchodně-technické pozice, kde člověk musí skloubit technické znalosti a přehled o IT prostředí s komunikačními dovednostmi, je mnohdy velmi složité.“
V poslední době narůstá geometrickou řadou počet neznámých hrozeb, jejichž signatury antimalwarové programy samozřejmě nemohou znát. Existuje vůbec nějaká ochrana?
Roman Veselý, bezpečnostní expert Alwil Trade: „Antivirové programy už dlouhou dobu nejsou právě jen o signaturách, tedy o databázi známých hrozeb. Počet škodlivých kódů je tak obrovský a kódy jsou velmi často a rychle modifikované, že se standardním způsobem porovnávání škodlivého kódu nelze vystačit. Do hry vstupují další technologie, pomocí kterých se výrobci antivirových řešení snaží hrozby detekovat, aniž by popis konkrétního škodlivého kódu znaly. Avast například používá technologii, kterou nazývá DeepScreen. Tato technologie s prvky umělé inteligence se při analýzách učí rozpoznat podezřelé chování škodlivých kódů a těchto znalostí využívá při detekci nových virů.
Avast rovněž umožňuje všechny neznámé, neprověřené aplikace nebo webové stránky spouštět ve virtualizovaném prostředí tzv. sandboxu, tedy chcete-li na vlastním písečku tak, aby zůstaly zcela odděleny od operačního systému počítače. Lze zvolit i opačný postup, kdy je možné ve virtualizovaném prostředí, prohlížeči nazvaném SafeZone, spouštět weby, internetové aplikace, kde se pracuje s citlivými údaji. Velmi zajímavým produktem z nabídky Avast Software je aplikace SecureLine VPN, která umožní zařízením, která se do internetu připojují prostřednictvím veřejných wi-fi sítí zcela ‚zmizet‘ z dosahu potencionálního útočníka.“
Co byste ohledně ochrany poradil firmě střední velikosti?
Roman Veselý, bezpečnostní expert Alwil Trade: „Jednoduchá rada je neustálá ostražitost. Jakákoli společnost, střední firmy nevyjímaje, by neměla tuto oblast své IT infrastruktury podcenit a měla by jí věnovat patřičnou pozornost a myslet na ni ve svých rozpočtech. Zcela univerzální rada, jakou ochranu zvolit pravděpodobně neexistuje. Velmi záleží na konkrétním prostředí. Jinak je třeba zabezpečit firmu, kde je převážná část počítačů umístěna v lokální síti a jinak je třeba řešit firmu, kde se velká část pracovníků pohybuje se svými zařízeními často nebo téměř neustále mimo firemní síť. Dnes se přitom zdaleka nejedná pouze o notebooky, ale stále častěji o tablety a chytré telefony. A právě mobilní zařízení všeho druhu se také stále častěji dostávají do hledáčku tvůrců škodlivého kódu.“
V čem spočívá správné nastavení antimalwaru?
Roman Veselý, bezpečnostní expert Alwil Trade: „Vždy je třeba vycházet z konkrétního prostředí a pro toto prostředí zvolit vhodné řešení a vhodnou konfiguraci nasazeného produktu. Nasazení bezpečnostního řešení by vždy měla předcházet analýza potřeb a podle toho volit vhodné řešení. Antivirové řešení není, respektive nemělo by být to, čemu by se nutně mělo podřídit vše ostatní, spíše naopak. Pro administrátora je ideálním stavem zvolit takové antivirové řešení, které lze jednoduše nainstalovat a nakonfigurovat a do další obnovy licence jen pravidelně kontrolovat reporty bezpečnostní aplikace.“
