• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Vybudujte linii obrany pro zastavení vlny ransomwarových útoků

Redakce
23. 12. 2022
| Články

Pojem ransomware už pravděpodobně všichni známe, ale jaký druh uživatelů dnes napadá nejčastěji a jak se mu bránit? Existuje nějaké obecné, případně konkrétní řešení? Na tyto otázky odpovídá Rudolf Hruška, CTO pro Datacenter Solutions ve společnosti Huawei Technologies Czech.

Co je to ransomware a proč je tak diskutovaným tématem v poslední době?
Ransomware je zvláštní typ škodlivého malwaru, který hackeři obvykle používají ke krádeži a šifrování dat k znepřístupnění systému. Na rozdíl od jiných virů je ransomware doprovázen cílenými organizovanými síťovými útoky. Útočníci poté požádají o zaplacení výkupného za dešifrování systému. Mezi další hrozby patří zveřejnění odcizených dat nebo jejich ebezničení, pokud výkupné zaplaceno nebude.

Ochranou proti takovým útokům by se tedy měla věnovat každá firma…
Ransomware se stal hlavní kybernetickou hrozbou po celém světě a vážně ovlivňuje rozvoj digitální ekonomiky. Podle zprávy o výzkumu ransomwaru z roku 2021 kterou vydala IDC, zhruba 37 % podniků na celém světě utrpělo nějakou formu ransomwarových útoků. Ty ovlivňují jednotlivce, podniky i kritickou národní infrastrukturu. Škody způsobené takovými útoky se neomezují pouze na výkupné, avšak související ztráty jsou šokující. Průměrná doba výpadku je 21 dní podle zprávy o trendu pro rok 2021 vydané společností Coveware. Průměrné celkové náklady na obnovu dat a provozu se meziročně více než zdvojnásobily, ze 761 000 USD v roce 2020 na 1,85 milionu USD v roce 2021. Do této částky ovšem nejsou zahrnuty škody na reputaci a důvěryhodnosti značky.

Pokud se mi do firmy ransomware dostane, je zaplacení výkupného řešením?
Podle nově vydané zprávy průzkumu společnosti Sophos o stavu ransomwaru v roce 2021 úspěšně obnovilo všechna data po zaplacení výkupného pouze 8 % napadených společností a 29 % atakovaných firem získalo zpět méně než polovinu dat. Ta například uvádí, že v České republice se v předchozím roce setkalo s ransomwarem 77 % z oslovených společností.

Dají se vypozorovat v oblasti ransomware nějaké trendy?
Ano, lze najít několik společných rysů. Za prvé, útočníci se zaměřují na velké podniky a infrastrukturu. Předchozí ransomwarové útoky obvykle vypadaly jako rozhazování širokých sítí s cílem někoho ulovit. To se změnilo někdy v roce 2020, kdy si profesionální ransomwarové organizace stanovily jako hlavní cíle velké podniky a infrastrukturu. Výzkum a vniknutí, které musí hackeři podniknout, začalo být obtížnější a časově náročnější. Někdy to trvá týdny nebo dokonce měsíce. Podle jejich názoru se to ale vyplatí kvůli potenciálnímu výnosu. Ransomwaroví útočníci mají tendenci používat k platbám výkupného bitcoiny, přičemž darknet ztěžuje u těchto plateb dohledání. Silné šifrovací algoritmy, bitcoin a darknet dohromady tvoří pro ransomwarové útočníky „železný trojúhelník“.
Dále je tu ransomware jako služba (RaaS). Provozovatelé této „služby“ nyní prodávají ransomware dalším útočníkům prostřednictvím přizpůsobených řešení, členství nebo předplatného. To snižuje překážku vstupu pro spouštění ransomwarových útoků a vedlo k jejich explozivnímu nárůstu výskytu.
Stále častější je také dvojí vydírání, což vede ke zvýšenému riziku úniku dat. Ransomware se neomezuje pouze na šifrování dat a požadavek na výkupné. Útočníci také kradou data a vyhrožují jejich únikem. Takové útoky mohou oběť dostat do zranitelné pozice poté, co jsou její data odhalena.
Za čtvrté, útočníci cílí rovněž vývojáře a dodavatele softwaru. Pokud je škodlivý kód distribuován již jako součást originálních aplikací, pak může vést k jeho velice rychlému šíření. Vývojáři se tak stali pro útočníky rychlým vstupním bodem.


Rudolf Hruška, CTO pro Datacenter Solutions, Huawei Technologies Czech

Ještě horší je, že útoky ransomwaru jsou stále častější. Rychlý rozvoj síťových a informačních technologií, rozšířené používání velkých dat, cloud computingu a mobilního internetu a pokračující popularita digitálních kryptoměn vytvořily správné podmínky pro to, aby se kybernetický ransomware uchytil.
Posledním z trendů je, že útoky ransomwaru mají schopnosti podobné APT – Advanced Persistent Threat (neboli APT). To je komplexní a nepřetržitý síťový útok, který má tři charakteristiky: je pokročilý, dlouhodobý a ohrožující. Pokročilý znamená, že útoky APT vyžadují vyšší přizpůsobení a složitost než tradiční útoky. Jsou také náročné na čas a zdroje, neboť útočník musí prozkoumat a identifikovat zranitelná místa v systému. Dlouhodobý znamená, že útočníci aby dosáhli svých cílů je budou sledovat, získávat a rezervovat si dlouhodobá přístupová oprávnění. Ohrožující znamená, že se zaměřují na vysoce hodnotné organizace. Pokud jsou úspěšné, mohou vést k obrovským ekonomickým ztrátám, politickým důsledkům a zničujícím reputačním ranám.
Ransomware se poprvé objevil na scéně v roce 2013, kdy byl široce rozšířený, bezúčelný a omezený rozsahem. V roce 2017 se světem začal šířit slavný ransomware WannaCry a v letech 2018 až 2019 se útoky ransomwaru začaly vyvíjet od náhodného šíření v síti k šíření prostřednictvím metod, jako jsou phishingové e-maily a RDP útoky prostřednictvím hrubé síly. V roce 2020 začaly týmy na vysoké úrovni přizpůsobovat útoky za účelem vydírání cílených obětí. Útočné schopnosti a hrozby jsou podobné APT.

Co lze s ransomwarem dělat a kde umístit obranné štíty?
Zranitelné společnosti, což jsou téměř všechny, by měly být motivovány ke zvýšení své připravenosti na kybernetické hrozby. Je potřeba schopnost vyhodnotit účinnost řízení rizik dříve, než dojde k narušení nebo útoku.
Vniknutí ransomwaru lze rozdělit do čtyř fází: detekce, implantace útoku, aktivace a šifrování souborů. Tradiční firewallové brány, detekce narušení na síťové vrstvě a antivirový software na hostitelské vrstvě nedokáží proniknutí ransomwaru stoprocentně zabránit.
Ransomware používá další techniky pro zamezení jeho včasného odhalení. Například se vyhýbá statické analýze souborů tím, že dává své programy do balíčků a používá šifrování. Varianty ransomwaru používají náhodné přípony souborů, aby se vyhnuly blokování. V souborových systémech mohou být umístěny soubory návnady pro identifikaci a detekci ransomwaru, avšak významná produkční data mohou být zašifrována předtím, než se ransomware tohoto souboru návnady vůbec dotkne. Ransomware také běží při nízkých rychlostech šifrování, aby se vyhnul monitorování a zachycení detekčním softwarem kvůli abnormální aktivitě. Ransomware pomalu šifruje soubory, aby se vyhnul detekci, která je založena na rychlosti aktualizace dat.

Proč je podnikové úložiště poslední linie obrany?
Ransomwarové útoky lze rozdělit do tří fází. Nejprve se útočníci zaměřují na podnikové servery prostřednictvím zranitelností sítě nebo správy. Poté, co nelegálně získají oprávnění serveru, implantují ransomwarové viry a šíří je v podnikové síti, aby infikovali co nejvíce serverů za účelem získání cenných podnikových dat. Během druhé fáze útočníci iniciují ransomware, aby zašifrovali uživatelova cenná data. Ve třetí fázi útočníci provedou vlastní zálohu a vymažou uživatelská data. Pak nastane vydírání.
Tváří v tvář útokům ransomwaru je proto na jedné straně potřeba zlepšit obranyschopnost na straně sítě, aby se snížila možnost napadení. Na druhou stranu je třeba zvýšit odolnost zabezpečení dat. Konkrétně řečeno, pokud je obranná linie na straně sítě prolomena, existují ochranná opatření, která účinně zabrání šifrování dat, včas varují před útoky ransomwaru a zajistí úplnou a čistou kopii dat pro včasnou a efektivní obnovu systému služeb, když jsou produkční data zašifrována, nebo je dokonce celé datové centrum kontaminované.
V první fázi můžeme implementovat obranu na síťové a hostitelské vrstvě, ale taková opatření nejsou schopna zablokovat 100 % útoků. Během druhé a třetí fáze je nutné využít datové úložiště k ochraně před útoky ransomwaru. Proto je nejlepší myslet na ukládání dat jako na poslední linii obrany.

Existuje nějaká pomoc proti ransomwaru na úrovni datových úložišť?
Ano, například řešení ochrany před ransomwarem od společnosti Huawei s úložištěm typu SAN má dvě verze ochrany: základní a pokročilou.
Základní využívá funkci ochrany dat proti neoprávněné manipulaci na produkčním úložišti k ochraně kopií dat. Pokud dojde k poškození dat v důsledku ransomwarových útoků, lze chráněné kopie dat použít k jejich obnovení. Místní zabezpečené snímky také pomáhají dosáhnout obnovení během několika sekund.
Pokročilá ochrana pak zajišťuje, že pokud je produkční úložiště napadeno hackery a všechna data jsou poškozena, jsou v izolační zóně k dispozici bezpečné kopie dat pro obnovu.
Úložiště SAN obsahuje čtyři technologie na obranu proti útokům. Nejprve vybuduje Air-Gap fyzicky izolovanou ochrannou zónu, která se nazývá izolační zóna. Dále je nasazena sada produkčního úložiště a úložiště v izolační zóně pro zálohování a ochranu produkčních dat. Při nasazení izolační zóny je nutné nakonfigurovat řídící software, který plánovaně řídí link pro propojení z produkčního úložiště do produkční izolační zóny. Když je potřeba zálohovat data, bude komunikační port připojen. Jakmile je zálohování dokončeno, je odpovídající port odpojen, aby byla provedena fyzická izolace. Technologie Air-Gap tím „utěsňuje“ izolační zónu před hackery.
Dále jsou na produkční úložiště a úložiště izolované zóny nasazeny zabezpečené snímky (SAN Secured Snapshots), aby se zabránilo manipulaci s daty. Zabezpečený snímek je snímek s ochrannou lhůtou. Během ochranné doby nelze snímek upravit ani odstranit. Díky bezpečným snímkům si uživatelé mohou užívat absolutního klidu.
Pak je zde šifrování replikační linky. Mezi produkčním úložištěm a produkční izolační zónou se provádí šifrování IPsec, aby se zabránilo odcizení dat během replikace. V neposlední řadě jsou úložiště v produkční i izolační zóně šifrována, aby bylo zajištěno, že data nemohou být z úložiště odcizena, i když dojde k fyzickému zcizení médií z úložiště.
Stejně jako úložiště SAN, úložiště typu NAS také poskytuje základní a pokročilou ochranu proti ransomwaru. Rozdíl je v tom, že úložiště NAS používá k zajištění této ochrany dvě další technologie – detekci a analýzu a šifrování protokolu. Protokolem máme na mysli protokoly NAS, včetně NFS, CIFS a SMB. Tato technologie šifruje data před jejich odesláním servery a úložnými zařízeními, aby byla zajištěna integrita a bezpečnost dat.

Ochranu dnes poskytuje každý výrobce, v čem se dokážete odlišit?
Zde jde o technologie detekce a analýzy, která byla vyvinuta společností Huawei. Je aplikovatelná na úložiště typu NAS, díky tomu, že souborový systém je součástí úložiště. Rychle odhaluje útoky ransomwaru a umožňuje proaktivní ochranu dat s vysokou přesností detekce. Lze ji využít ve všech třech fázích ransomwarových útoků: před, během a po útočné události.
Než se ransomware pokusí modifikovat soubory, tato funkce, konkrétně Ransomware Interception, zachytí útok ransomwaru, aby nebyla poškozena data.
Pokud ransomware začne modifikovat soubory, funkce Real-time Ransomware Detection provádí analýzu souborů. Algoritmy strojového učení, které se učí a analyzují chování I/O, identifikují 99,9 % ransomwarových útoků. Poté, co dojde k detekci, je automaticky vytvořen zabezpečený snímek (NAS Secured Snaphot), aby chránil napadený souborový systém a omezil ztrátu dat. Zároveň je o útoku okamžitě informován správce systému.
Pokud byly již soubory ransomwarem modifikovány, funkce Intelligent Ransomware Detection prozkoumává periodické snímky a porovnává je mezi sebou. Výsledky laboratorních testů Huawei ukazují, že detekce identifikuje 99,9 % virů díky algoritmům strojového učení, které jsou zde použity. V případě, že je snímek shledán infikovaným, systém okamžitě upozorní administrátora.
Funkce detekce a analýzy je patentovaná technologie Huawei. Může být nasazena na produkčním úložišti, i v jeho izolační zóně, aby fungovala jako výkonný nástroj prevence ransomwaru.
Úložiště Huawei jistě stojí v případě zájmu za průzkum.

Rubriky: Security

Související příspěvky

Zprávičky

Hackeři ukradli data 5,7 milionu zákazníků australských aerolinek Qantas

11. 7. 2025
Články

Útoky zaměřené na cloud jsou stále sofistikovanější kvůli automatizaci a vytrvalosti

11. 7. 2025
Nebojte se hlásit na seniornější pozice, radí IT pracovní portál
Články

NÚKIB vydal oficiální varování před některými produkty společnosti DeepSeek

10. 7. 2025
Sophos představil XDR řešení pro synchronizované zabezpečení
Zprávičky

Ministerstvo vnitra odhalilo kybernetický útok, údaje občanů neunikly

10. 7. 2025

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Souhlasím se Zásadami ochrany osobních údajů .

Zprávičky

Dell 14 a 16 Premium: Nástupce XPS přináší větší výkon a dlouhou výdrž baterie

Dell 14 a 16 Premium: Nástupce XPS přináší větší výkon a dlouhou výdrž baterie

Pavel Houser
14. 7. 2025

Společnost Dell Technologies představila nové vlajkové lodě svého portfolia notebooků, které navazují na sérii

Jaké novinky přináší Arcserve UDP 8.1?

Analýza: Neviditelným gigantem internetového provozu jsou analytické nástroje

Pavel Houser
14. 7. 2025

V roce 2024 se očekávalo, že dojde k zásadnímu narušení digitálního reklamního průmyslu. Google plánoval zavedení

Europoslanci chtějí omezit příliv levného zboží z e-shopů mimo EU

ČTK
14. 7. 2025

Europoslanci by chtěli omezit rostoucí příliv nekvalitního a potenciálně nebezpečného levného zboží z internetových

Před 30 lety dostaly „empétrojky“ svůj populární název

ČTK
14. 7. 2025

Pro řadu lidí je zkratka mp3 synonymem pro jakoukoliv hudbu uloženou v počítači nebo

SpaceX investuje dvě miliardy USD do Muskovy firmy zaměřené na AI

ČTK
13. 7. 2025

Společnost SpaceX podnikatele Elona Muska investuje dvě miliardy dolarů (42 miliard Kč) do jeho

750 zaměstnanců ČSOB se díky Atosu zvládlo rychle přesunout do domácích kanceláří

Google investuje 2,4 miliardy dolarů do technologie AI od start-upu Windsurf

ČTK
12. 7. 2025

Společnost Google ze skupiny Alphabet zaplatí asi 2,4 miliardy USD (50,64 miliardy Kč) za

Muskova xAI chce další peníze od investorů při ohodnocení na 200 miliard dolarů

ČTK
12. 7. 2025

Americká společnost xAI miliardáře Elona Muska plánuje vybrat peníze od investorů v novém kole

Kryptoměny a jejich ekonomika

Bitcoin pokračuje v růstu na další rekordy, překonal hranici 118 000 dolarů

ČTK
11. 7. 2025

Cena bitcoinu dnes pokračuje v prudkém růstu. Kolem 8:30 SELČ se vyšplhala na další

Tiskové zprávy

Společnost Cato Networks jmenována lídrem v magickém kvadrantu 2025 Gartner Magic Quadrant pro platformy SASE

Společnost QNAP představuje myQNAPcloud One Beta

Acer slaví několikanásobné ocenění cenou Red Dot Product Design Awards 2025

Acer for Business EMEA překonává růst trhu

Nejnovější modely Acer Chromebook Plus nyní s 12měsíčním balíčkem Google AI Pro včetně služby NotebookLM zdarma

ANECT mění vedení společnosti a posiluje management

Zpráva dne

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Redakce
15. 5. 2025

Kupte Windows 11 CDkey od Goodoffer24.com a můžete růst s tímto OS jak při...

Komentujeme

Chvála černých skřínek

Malé modely AI mají být velkým trendem

Pavel Houser
3. 1. 2025

V záplavě prognóz technologického vývoje (nejen) v roce 2025 zde prozatím trochu zapadlo jedno téma, které...

Slovník

MACD

Macrocell

Kurzové rozpětí

Nejpopulárnější články

Žádný obsah není dostupný

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT
Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.