• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Vybudujte linii obrany pro zastavení vlny ransomwarových útoků

Redakce
23. 12. 2022
| Články

Pojem ransomware už pravděpodobně všichni známe, ale jaký druh uživatelů dnes napadá nejčastěji a jak se mu bránit? Existuje nějaké obecné, případně konkrétní řešení? Na tyto otázky odpovídá Rudolf Hruška, CTO pro Datacenter Solutions ve společnosti Huawei Technologies Czech.

Co je to ransomware a proč je tak diskutovaným tématem v poslední době?
Ransomware je zvláštní typ škodlivého malwaru, který hackeři obvykle používají ke krádeži a šifrování dat k znepřístupnění systému. Na rozdíl od jiných virů je ransomware doprovázen cílenými organizovanými síťovými útoky. Útočníci poté požádají o zaplacení výkupného za dešifrování systému. Mezi další hrozby patří zveřejnění odcizených dat nebo jejich ebezničení, pokud výkupné zaplaceno nebude.

Ochranou proti takovým útokům by se tedy měla věnovat každá firma…
Ransomware se stal hlavní kybernetickou hrozbou po celém světě a vážně ovlivňuje rozvoj digitální ekonomiky. Podle zprávy o výzkumu ransomwaru z roku 2021 kterou vydala IDC, zhruba 37 % podniků na celém světě utrpělo nějakou formu ransomwarových útoků. Ty ovlivňují jednotlivce, podniky i kritickou národní infrastrukturu. Škody způsobené takovými útoky se neomezují pouze na výkupné, avšak související ztráty jsou šokující. Průměrná doba výpadku je 21 dní podle zprávy o trendu pro rok 2021 vydané společností Coveware. Průměrné celkové náklady na obnovu dat a provozu se meziročně více než zdvojnásobily, ze 761 000 USD v roce 2020 na 1,85 milionu USD v roce 2021. Do této částky ovšem nejsou zahrnuty škody na reputaci a důvěryhodnosti značky.

Pokud se mi do firmy ransomware dostane, je zaplacení výkupného řešením?
Podle nově vydané zprávy průzkumu společnosti Sophos o stavu ransomwaru v roce 2021 úspěšně obnovilo všechna data po zaplacení výkupného pouze 8 % napadených společností a 29 % atakovaných firem získalo zpět méně než polovinu dat. Ta například uvádí, že v České republice se v předchozím roce setkalo s ransomwarem 77 % z oslovených společností.

Dají se vypozorovat v oblasti ransomware nějaké trendy?
Ano, lze najít několik společných rysů. Za prvé, útočníci se zaměřují na velké podniky a infrastrukturu. Předchozí ransomwarové útoky obvykle vypadaly jako rozhazování širokých sítí s cílem někoho ulovit. To se změnilo někdy v roce 2020, kdy si profesionální ransomwarové organizace stanovily jako hlavní cíle velké podniky a infrastrukturu. Výzkum a vniknutí, které musí hackeři podniknout, začalo být obtížnější a časově náročnější. Někdy to trvá týdny nebo dokonce měsíce. Podle jejich názoru se to ale vyplatí kvůli potenciálnímu výnosu. Ransomwaroví útočníci mají tendenci používat k platbám výkupného bitcoiny, přičemž darknet ztěžuje u těchto plateb dohledání. Silné šifrovací algoritmy, bitcoin a darknet dohromady tvoří pro ransomwarové útočníky „železný trojúhelník“.
Dále je tu ransomware jako služba (RaaS). Provozovatelé této „služby“ nyní prodávají ransomware dalším útočníkům prostřednictvím přizpůsobených řešení, členství nebo předplatného. To snižuje překážku vstupu pro spouštění ransomwarových útoků a vedlo k jejich explozivnímu nárůstu výskytu.
Stále častější je také dvojí vydírání, což vede ke zvýšenému riziku úniku dat. Ransomware se neomezuje pouze na šifrování dat a požadavek na výkupné. Útočníci také kradou data a vyhrožují jejich únikem. Takové útoky mohou oběť dostat do zranitelné pozice poté, co jsou její data odhalena.
Za čtvrté, útočníci cílí rovněž vývojáře a dodavatele softwaru. Pokud je škodlivý kód distribuován již jako součást originálních aplikací, pak může vést k jeho velice rychlému šíření. Vývojáři se tak stali pro útočníky rychlým vstupním bodem.


Rudolf Hruška, CTO pro Datacenter Solutions, Huawei Technologies Czech

Ještě horší je, že útoky ransomwaru jsou stále častější. Rychlý rozvoj síťových a informačních technologií, rozšířené používání velkých dat, cloud computingu a mobilního internetu a pokračující popularita digitálních kryptoměn vytvořily správné podmínky pro to, aby se kybernetický ransomware uchytil.
Posledním z trendů je, že útoky ransomwaru mají schopnosti podobné APT – Advanced Persistent Threat (neboli APT). To je komplexní a nepřetržitý síťový útok, který má tři charakteristiky: je pokročilý, dlouhodobý a ohrožující. Pokročilý znamená, že útoky APT vyžadují vyšší přizpůsobení a složitost než tradiční útoky. Jsou také náročné na čas a zdroje, neboť útočník musí prozkoumat a identifikovat zranitelná místa v systému. Dlouhodobý znamená, že útočníci aby dosáhli svých cílů je budou sledovat, získávat a rezervovat si dlouhodobá přístupová oprávnění. Ohrožující znamená, že se zaměřují na vysoce hodnotné organizace. Pokud jsou úspěšné, mohou vést k obrovským ekonomickým ztrátám, politickým důsledkům a zničujícím reputačním ranám.
Ransomware se poprvé objevil na scéně v roce 2013, kdy byl široce rozšířený, bezúčelný a omezený rozsahem. V roce 2017 se světem začal šířit slavný ransomware WannaCry a v letech 2018 až 2019 se útoky ransomwaru začaly vyvíjet od náhodného šíření v síti k šíření prostřednictvím metod, jako jsou phishingové e-maily a RDP útoky prostřednictvím hrubé síly. V roce 2020 začaly týmy na vysoké úrovni přizpůsobovat útoky za účelem vydírání cílených obětí. Útočné schopnosti a hrozby jsou podobné APT.

Co lze s ransomwarem dělat a kde umístit obranné štíty?
Zranitelné společnosti, což jsou téměř všechny, by měly být motivovány ke zvýšení své připravenosti na kybernetické hrozby. Je potřeba schopnost vyhodnotit účinnost řízení rizik dříve, než dojde k narušení nebo útoku.
Vniknutí ransomwaru lze rozdělit do čtyř fází: detekce, implantace útoku, aktivace a šifrování souborů. Tradiční firewallové brány, detekce narušení na síťové vrstvě a antivirový software na hostitelské vrstvě nedokáží proniknutí ransomwaru stoprocentně zabránit.
Ransomware používá další techniky pro zamezení jeho včasného odhalení. Například se vyhýbá statické analýze souborů tím, že dává své programy do balíčků a používá šifrování. Varianty ransomwaru používají náhodné přípony souborů, aby se vyhnuly blokování. V souborových systémech mohou být umístěny soubory návnady pro identifikaci a detekci ransomwaru, avšak významná produkční data mohou být zašifrována předtím, než se ransomware tohoto souboru návnady vůbec dotkne. Ransomware také běží při nízkých rychlostech šifrování, aby se vyhnul monitorování a zachycení detekčním softwarem kvůli abnormální aktivitě. Ransomware pomalu šifruje soubory, aby se vyhnul detekci, která je založena na rychlosti aktualizace dat.

Proč je podnikové úložiště poslední linie obrany?
Ransomwarové útoky lze rozdělit do tří fází. Nejprve se útočníci zaměřují na podnikové servery prostřednictvím zranitelností sítě nebo správy. Poté, co nelegálně získají oprávnění serveru, implantují ransomwarové viry a šíří je v podnikové síti, aby infikovali co nejvíce serverů za účelem získání cenných podnikových dat. Během druhé fáze útočníci iniciují ransomware, aby zašifrovali uživatelova cenná data. Ve třetí fázi útočníci provedou vlastní zálohu a vymažou uživatelská data. Pak nastane vydírání.
Tváří v tvář útokům ransomwaru je proto na jedné straně potřeba zlepšit obranyschopnost na straně sítě, aby se snížila možnost napadení. Na druhou stranu je třeba zvýšit odolnost zabezpečení dat. Konkrétně řečeno, pokud je obranná linie na straně sítě prolomena, existují ochranná opatření, která účinně zabrání šifrování dat, včas varují před útoky ransomwaru a zajistí úplnou a čistou kopii dat pro včasnou a efektivní obnovu systému služeb, když jsou produkční data zašifrována, nebo je dokonce celé datové centrum kontaminované.
V první fázi můžeme implementovat obranu na síťové a hostitelské vrstvě, ale taková opatření nejsou schopna zablokovat 100 % útoků. Během druhé a třetí fáze je nutné využít datové úložiště k ochraně před útoky ransomwaru. Proto je nejlepší myslet na ukládání dat jako na poslední linii obrany.

Existuje nějaká pomoc proti ransomwaru na úrovni datových úložišť?
Ano, například řešení ochrany před ransomwarem od společnosti Huawei s úložištěm typu SAN má dvě verze ochrany: základní a pokročilou.
Základní využívá funkci ochrany dat proti neoprávněné manipulaci na produkčním úložišti k ochraně kopií dat. Pokud dojde k poškození dat v důsledku ransomwarových útoků, lze chráněné kopie dat použít k jejich obnovení. Místní zabezpečené snímky také pomáhají dosáhnout obnovení během několika sekund.
Pokročilá ochrana pak zajišťuje, že pokud je produkční úložiště napadeno hackery a všechna data jsou poškozena, jsou v izolační zóně k dispozici bezpečné kopie dat pro obnovu.
Úložiště SAN obsahuje čtyři technologie na obranu proti útokům. Nejprve vybuduje Air-Gap fyzicky izolovanou ochrannou zónu, která se nazývá izolační zóna. Dále je nasazena sada produkčního úložiště a úložiště v izolační zóně pro zálohování a ochranu produkčních dat. Při nasazení izolační zóny je nutné nakonfigurovat řídící software, který plánovaně řídí link pro propojení z produkčního úložiště do produkční izolační zóny. Když je potřeba zálohovat data, bude komunikační port připojen. Jakmile je zálohování dokončeno, je odpovídající port odpojen, aby byla provedena fyzická izolace. Technologie Air-Gap tím „utěsňuje“ izolační zónu před hackery.
Dále jsou na produkční úložiště a úložiště izolované zóny nasazeny zabezpečené snímky (SAN Secured Snapshots), aby se zabránilo manipulaci s daty. Zabezpečený snímek je snímek s ochrannou lhůtou. Během ochranné doby nelze snímek upravit ani odstranit. Díky bezpečným snímkům si uživatelé mohou užívat absolutního klidu.
Pak je zde šifrování replikační linky. Mezi produkčním úložištěm a produkční izolační zónou se provádí šifrování IPsec, aby se zabránilo odcizení dat během replikace. V neposlední řadě jsou úložiště v produkční i izolační zóně šifrována, aby bylo zajištěno, že data nemohou být z úložiště odcizena, i když dojde k fyzickému zcizení médií z úložiště.
Stejně jako úložiště SAN, úložiště typu NAS také poskytuje základní a pokročilou ochranu proti ransomwaru. Rozdíl je v tom, že úložiště NAS používá k zajištění této ochrany dvě další technologie – detekci a analýzu a šifrování protokolu. Protokolem máme na mysli protokoly NAS, včetně NFS, CIFS a SMB. Tato technologie šifruje data před jejich odesláním servery a úložnými zařízeními, aby byla zajištěna integrita a bezpečnost dat.

Ochranu dnes poskytuje každý výrobce, v čem se dokážete odlišit?
Zde jde o technologie detekce a analýzy, která byla vyvinuta společností Huawei. Je aplikovatelná na úložiště typu NAS, díky tomu, že souborový systém je součástí úložiště. Rychle odhaluje útoky ransomwaru a umožňuje proaktivní ochranu dat s vysokou přesností detekce. Lze ji využít ve všech třech fázích ransomwarových útoků: před, během a po útočné události.
Než se ransomware pokusí modifikovat soubory, tato funkce, konkrétně Ransomware Interception, zachytí útok ransomwaru, aby nebyla poškozena data.
Pokud ransomware začne modifikovat soubory, funkce Real-time Ransomware Detection provádí analýzu souborů. Algoritmy strojového učení, které se učí a analyzují chování I/O, identifikují 99,9 % ransomwarových útoků. Poté, co dojde k detekci, je automaticky vytvořen zabezpečený snímek (NAS Secured Snaphot), aby chránil napadený souborový systém a omezil ztrátu dat. Zároveň je o útoku okamžitě informován správce systému.
Pokud byly již soubory ransomwarem modifikovány, funkce Intelligent Ransomware Detection prozkoumává periodické snímky a porovnává je mezi sebou. Výsledky laboratorních testů Huawei ukazují, že detekce identifikuje 99,9 % virů díky algoritmům strojového učení, které jsou zde použity. V případě, že je snímek shledán infikovaným, systém okamžitě upozorní administrátora.
Funkce detekce a analýzy je patentovaná technologie Huawei. Může být nasazena na produkčním úložišti, i v jeho izolační zóně, aby fungovala jako výkonný nástroj prevence ransomwaru.
Úložiště Huawei jistě stojí v případě zájmu za průzkum.

Rubriky: Security

Související příspěvky

Za bezpečnostní incidenty v cloudu mohou hlavně samotní zákazníci
Zprávičky

Itálie varuje před rozsáhlým útokem hackerů na zařízení se systémem VMware ESXi

5. 2. 2023
Zprávičky

Gen zvýšil ve 3. čtvrtletí tržby o 33 % na 936 milionů dolarů

3. 2. 2023
Zprávičky

Ruští hackeři se chlubí dalšími kyberútoky na české prezidentské volby

28. 1. 2023
Zprávičky

Špionážní kampaň skupiny StrongPity využívá trojanizovanou aplikaci Telegram

28. 1. 2023

Zprávičky

Nejvýkonnější evropský superpočítač je plně k dispozici

Nejvýkonnější evropský superpočítač je plně k dispozici

Pavel Houser
7. 2. 2023

Třetí nejvýkonnější superpočítač na světě a jednička v Evropě je od února 2023 plně

Umělá inteligence: Nástroje vs. platforma, věda vs. kreativita

Google zpřístupní chatovacího robota, do vyhledávání zapojí umělou inteligenci

ČTK
7. 2. 2023

Společnost Alphabet, pod kterou spadá i Google, spustí chatovacího robota a do vyhledávání na

Technologické firmy plánují investovat v Saúdské Arábii 9 miliard dolarů

ČTK
7. 2. 2023

Přední světoví technologičtí giganti investují v Saúdské Arábii více než devět miliard USD (200

Dell propustí 6 650 lidí, asi 5 % zaměstnanců

ČTK
6. 2. 2023

Americká počítačová společnost Dell Technologies celosvětově propustí 6650 lidí, což je zhruba pět procent

Vláda projedná novelu, která zpřesní pravomoci NÚKIB

Novela zákona zřejmě zpřesní povinnosti operátorů a zpřísní opatření proti spamu

ČTK
6. 2. 2023

Novela zákona o elektronických komunikacích, která upravuje nárok na levnější volání pro sociálně slabé

Za bezpečnostní incidenty v cloudu mohou hlavně samotní zákazníci

Itálie varuje před rozsáhlým útokem hackerů na zařízení se systémem VMware ESXi

ČTK
5. 2. 2023

Tisíce počítačových serverů po celém světě se staly terčem hackerského útoku vyděračským softwarem (ransomware).

Chatovací robot ChatGPT je nejrychleji rostoucí aplikace v historii

ČTK
5. 2. 2023

Chatovací robot ChatGPT, který využívá umělou inteligenci, se stal nejrychleji rostoucí spotřebitelskou aplikací v

Američané silně investují do čínských firem na umělou inteligenci

ČTK
4. 2. 2023

Američtí investoři, včetně investičních divizí firem Intel a Qualcomm, se v letech 2015 až

Tiskové zprávy

Acronis varuje: stále více dětí má možnost využívat snadných nákupů po internetu

Společnost i-PRO představuje první aplikaci pro detekci změny scény s umělou inteligencí

Jacob Ringler povede českou pobočku i vývoj ve společnosti Vendavo

Uvolnění potenciálu střední a východní Evropy

Ness v O2 Czech Republic pomáhá s přechodem do cloudu

Společnost vshosting dosáhla loni obratu téměř čtvrt miliardy Kč

Zpráva dne

Goodoffer24 říká – v únoru dáte za doživotní licenci Windows 10 jen €12 a za Office €23

Goodoffer24 říká – v únoru dáte za doživotní licenci Windows 10 jen €12 a za Office €23

Redakce
2. 2. 2023

Zdaleka ne každý má stovky dolarů na upgrady svého počítačového softwaru. To je také...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Prokletý smartphone: nejen chyby, ale i špatné rozhodování

Pavel Houser
27. 12. 2022

Asi nikoho nepřekvapí, že za neustálou dostupnost smartphonu se platí tím, že práce na tom zařízení...

Nadcházející akce

  1. Virtuální konference Kyberbezpečnost pro zdravotnictví

    23. února
  2. Hannover Messe 2023

    17. dubna - 21. dubna

Zobrazit všechny Akce

Slovník

Lynx

HLR

HR konzultant

Nejpopulárnější články

Kde se v podnicích uplatní metaverzum?

Redakce
2. 1. 2023

Trendy: předplacené služby, kontejnery, vliv rostoucích cen energií a experti se širším záběrem

Redakce
28. 12. 2022

Nová směrnice NIS 2 se bude týkat tisíců firem. Připravte se na bezplatné virtuální konferenci

Nová směrnice NIS 2 se bude týkat tisíců firem. Připravte se na bezplatné virtuální konferenci

Redakce
20. 1. 2023

Podařilo připravit husté křemíkové nanodrátky pro aplikace s vysokými frekvencemi

Při vzniku chyby by kvantové počítače mohly data automaticky mazat

Pavel Houser
3. 1. 2023

Vybudujte linii obrany pro zastavení vlny ransomwarových útoků

Redakce
23. 12. 2022

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Rozhovory Science Security techn Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT česk

Píšeme jinde

RSS ScienceMag RSS

  • Nejvýkonnější evropský superpočítač je plně k dispozici
  • Nová technologie zrychlí imunochemické testování
  • Vstřebatelné fixační hřeby do dlouhých kostí

RSS AbcLinuxu RSS

  • Festival Steam Next | únor 2023
  • xorg-server 21.1.7 řeší CVE-2023-0494
  • Fedora 38 nabídne celý Flathub

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.