Ochota uživatelů sdělovat vše možné i nemožné o svých životech vede k tomu, že kyberzločinci mají dostatek podkladů pro cílený útok za využití metod sociálního inženýrství. Spojení tohoto přístupu s aktivním využíváním neznalosti základních bezpečnostních principů otevírá počítačovému podsvětí dosud nevídané možnosti.
Jinými slovy, firmám již nestačí soustředit se na zabezpečení vůči vnějším útokům na podnikovou informační architekturu, ale musí dostatečně chránit i své lidi.
Můžete namítnout, že lidský faktor byl slabým článkem vždy, a budete mít pravdu. Nicméně v minulosti šlo zejména o rizika související s vědomými útoky interních zaměstnanců a firemních „odpadlíků“. Podstata aktuálního nebezpečí je založená na zneužití člověka pro přístup k systémům, aniž by o tom daná osoba vůbec věděla. Personalizované útoky jsou pro kybernetické zločince výhodné – na rozdíl od prolomení skvěle zabezpečené infrastruktury a systémů si vystačí s řádově nižším úsilím. A jakmile je útočník jednou uvnitř firmy, začne se rozhlížet a postupně se dostávat blíž a blíž k důležitým zdrojům.
Jak se s tím lze vypořádat?
Řešení má dvě roviny. Technicko-analytická rovina souvisí se zajištěním centrálního sběru a vyhodnocování bezpečnostních událostí pomocí technologie SIEM (Security Information and Event Management) a umožňuje pohlížet na bezpečnost a související události komplexně z různých úhlů a mimo jiné provádět i behaviorální a anomální analýzy. Možnosti dokonce pokročily do té míry, že někdy hovoříme o kognitivní bezpečnosti.
Organizační rovina vyžaduje dostatečné proškolení uživatelů. Celkovou bezpečnost organizace může výrazně zvýšit vstupní seznámení se základními pravidly – od neklikání na zdánlivě validní odkazy až po nereagování na pretextingové aktivity a neuvážené spouštění příloh. Seznámení může být koncipováno stejnou formou, jako např. povinná školení typu BOZP. Důležité je, aby taková školení byla přizpůsobena úrovni uživatelů, zejména z pohledu jejich IT zkušeností a interním bezpečnostním směrnicím společnosti. Technologie SIEM i proškolení ale musí být rozšířením stávajícího zabezpečení, nikoli jeho náhradou.
V zásadě dnes panuje všeobecná shoda nad tím, že do drtivé většiny firem již mají hackeři nějakou cestu zajištěnu – nebo s jistotou vědí, jak ji získat – a jen ji dosud nevyužili. Vše je totiž otázkou nabídky a poptávky a počítačoví zločinci mnohdy čekají na vhodného kupce-konzumenta. Chtěným zbožím nejsou pouze stále populární citlivé informace o klientech, ale v poslední době i přístupy do kritické infrastruktury státu (přístup do SCADA systémů) nebo také informace k chystaným patentovým žádostem apod.
Privilegované účty chytře
Svým způsobem specifická je situace u vybraných IT uživatelů, kteří disponují privilegovanými identitami. Tedy u těch osob, které mají přístup i k velmi důležitým až kritickým systémům. I při dostatečném zvládnutí výše uvedených rizik existuje nebezpečí plynoucí z častého sdílení privilegované identity mezi více uživateli. Jako jeden z mnoha příkladů můžeme uvést dobře známou situaci, kdy se více administrátorů připojuje k cílovým systémům pod stejnými přihlašovacími údaji, což zvyšuje riziko potencionálního zneužití tohoto účtu k cílenému kybernetickému útoku.
Řešení spočívá v důsledném řízení těchto typů účtů jak z pohledu přidělení odpovídajícího oprávnění, tak z pohledu monitoringu prováděných aktivit. Dalším neméně významným aspektem je odstínění přímých připojení uživatelů ke koncovému systému, které vede k eliminaci možného zanesení infikovaného PC do infrastruktury zákazníka. Záznamem veškerých aktivit realizovaných daným uživatelem je zajištěna konzistentní auditní stopa, která obsahuje jednoznačnou identifikaci daného uživatele, jeho přiřazení ke konkrétní evidované identitě a prokazatelnost, že právě on uvedenou aktivitu provedl.
Výše zmíněná auditní stopa může být využita v rámci konkrétní analýzy bezpečnostního incidentu, kdy je zákazník schopen zpětně – nebo i proaktivně – mít k dispozici informace o provedených činnostech a přesné identitě toho, kdo, kdy, odkud a za jakých podmínek je provedl.
Místo závěru je vhodné si položit otázku, kdo vše je z pohledu osob v hledáčku hackerů? Odpověď možná překvapí, ale je jasná – vektor útoku vedený na běžného uživatele nebo jeho prostřednictvím se může týkat kohokoli. Řadových zaměstnanců i vrcholového managementu. Nemusí tedy jít jen o osoby s privilegovanými identitami. A informace zveřejňované na sociálních sítích mohou útok zjednodušit – no řekněte sami, opravdu nekliknete na odkaz v pozvánce na třídní sraz od vašeho bývalého spolužáka? Možná jste tím právě otevřeli dvířka počítačovému podsvětí…
Skupina NTT, jejíž je Dimension Data členem, dlouhodobě monitoruje bezpečnostní hrozby ve firmách a na jejich základě vytváří každoročně zprávu NTT 2016 Global Threat Intelligence Report. Aktuálně obsahuje bezpečnostní hrozby shromážděné během roku 2015 od 8 000 klientů bezpečnostních společností skupiny NTT zahrnujících Dimension Data, Solutionary, NTT Com Security, NTT R&D a NTT Innovation Institute (NTTi3). Údaje z letošního roku vychází z 3,5 triliónů bezpečnostních záznamů a 6,2 bilionů útoků.
Milan Janoušek pracuje u Dimension Data Czech Republic jako Business Development Manager
