Jak se bránit proti kybernetickým hrozbám?

Změny bezpečnostní situace v Evropě zvýšily již tak značný zájem firem i organizací o ochranu informací a dat. Kybernetické útoky se vyvíjejí a útočníci zdokonalují způsoby svých ataků. Jaké existují typické druhy útoků v kybernetickém prostředí?

Záludný a trpělivý phishing

Jde o jeden z nejtypičtějších a pro útočníka nejlevnějších druhů útoku. Probíhá prostřednictvím e-mailů, které útočník rozešle na velké množství adres a trpělivě čeká na oběť, která se „chytne na udičku“.

E-maily mohou být různého charakteru, ale téměř vždy mají za cíl infikovat malwarem počítač oběti nebo získat od uživatele přístupové údaje. Je jedno, jestli jde o přístupy do počítačové sítě, na sociální sítě, nebo do bankovní aplikace. 

Dříve bylo možné tyto phishingové e-maily poznat díky velmi špatné češtině, ale dnes již i tuto část útočníci zdokonalují. Bohužel velká část těchto e-mailů míří na emoce uživatelů anebo se snaží vytvářet hrozbu a nátlak. Jako příklad můžeme uvést e-maily s prosbou o naléhavou pomoc i v souvislosti s aktuálním děním kolem nás. Nebo naopak s hrozbou zrušení přístupu, účtu atd., pokud se uživatel hned nepřihlásí odkazem v e-mailu.

Tento druh útoků je samozřejmě možné zachytit pomocí spam filtrů, ale hlavní roli zde hraje pravidelně školený uživatel. Vzhledem k tomu, že cca 90 procent útoků je prováděno přes uživatele, je důraz na jejich edukaci opravdu významný.

Zahlcující DDoS

Dalšími často využívanými útoky jsou tzv. DDoS (Distributed Denial of Service). Tento typ útoku cílí na zahlcení služby a znepřístupnění webu a webových služeb ostatním uživatelům. Útočník v jeden okamžik vyšle na web/webovou službu takové množství požadavků, že to server nedokáže odbavit a „spadne“. Tím se celá služba stává nedostupnou. Tyto útoky jsou obzvláště viditelné při důležitých událostech, jako jsou například volby.

Kromě sofistikovaných řešení založených na AI je základní obranou před těmito útoky nastavení Geo-IP filtru. Pomocí něj můžete blokovat komunikaci z lokací, které nejsou důvěryhodné. Nyní v době válečného konfliktu je dobré tuto blokaci využít a snížit riziko možného útoku.  

Záškodníci jménem viry a malware

Jde o škodlivý software, který si uživatelé stáhnou, aniž by si toho byli vědomi. Pod pojmem malware se schovávají další druhy škodlivého softwaru jako například:

spyware – software pro sledování (špehování)
addware – reklamní software
scareware – software pro nátlak k zakoupení falešné aplikace
cryptomining – těžařský software pro kryptoměny
ransomware – vyděračský software / šifrovací software

Zejména ransomware využívá zranitelností v chybných konfiguracích softwaru a phishingových e-mailech. Velmi často jde o přístup přes RDP (Remote Desktop Protokol). Pro zajímavost: z vlastní zkušenosti víme, že nechráněné RDP je běžně vystaveno 30–50 tisícům robotických útoků denně. 

S nárůstem množství ransomwaru stále stoupá důležitost zálohování dat. Odborníci doporučují použít jako minimum zálohovací pravidlo 3-2-1. Toto pravidlo hovoří následovně: 3 – kopie produkčních dat, 2 – na dvou fyzicky nezávislých úložištích, 1 – záloha mimo lokaci.

Obranou a prevencí proti tomuto způsobu útoku je pravidelně aktualizovaný antivirový systém. Součástí musí být i zodpovědní uživatelé, kteří jsou pravidelně školeni na témata týkající se kybernetické bezpečnosti.

Účinné a chytré zbraně

Existuje mnoho dalších hrozeb, ale pro ty jsme schopni připravit opatření. Co bychom tedy mimo výše uvedených kroků měli dělat pro to, abychom snížili riziko kybernetických hrozeb?

2FA – pomocník nejen v době covidu

Nastavte si dvoufaktorovou autentizaci. Jde o nastavení dalšího ověření přístupu mimo jméno a heslo. K tomuto ověření je zpravidla využívána mobilní aplikace, SMS nebo telefonní hovor. Dnes mnoho společností využívá Microsoft 365, kde jsou toto použití a ochrana e-mailu velice důležité. Stejnou autentizaci je nutné nastavit na VPN (Virtual Private Network). Využívání práce z domova a připojení do firmy právě pomocí VPN vzrostly zejména v období covidové pandemie.

Vulnerability test – raději jej svěřit externistům

Jde o automatizované testy zranitelností, které vám ukážou zejména aktuálnost instalovaného softwaru nejen v počítačích, ale i v tiskárnách, routerech a jiných aktivních prvcích vaší infrastruktury. Určí jejich závažnost a prioritu řešení společně s návodem na vyřešení. Z vlastní zkušenosti mohu říct, že tato oblast bývá problematická, a doporučuji realizovat tyto testy s externí společností. Důvody jsou jednoduché – IT firmy ne vždy mají pozornost na těchto testech, často bohužel místo pomoci cítí ohrožení své práce, že někdo jiný provede test.   

Penetrační testy – nácvik pro útok

Jedná se o další stupeň kontroly, kdy je vhodné využít externí společnost zaměřující se na tuto činnost. Jedná se o simulované pokusy o průnik do vaší infrastruktury, a tím o možnost odhalení slabých míst ve vaší ICT síti.

Simulované phishingové kampaně

Jak již bylo řečeno, phishing je snad nejčastější forma útoku, proto se vyplatí investovat do této formy ochrany, která spočívá v pravidelné simulované kampani, jejím vyhodnocení a následné edukaci uživatelů.

Vzdělávání uživatelů  

Uživatel je sám velkou hrozbou, ale také velkou obranou celé infrastruktury. Proto věnujte pozornost pravidelnému informování a vzdělávání uživatelů.

Co dělat, když…

To je jen několik základních tipů na to, co lze dělat pro zvýšení ochrany proti kybernetickým hrozbám. Těchto hrozeb se již nikdy nezbavíme, neustále budeme v nikdy nekončícím procesu revize a nastavování nových ochran. Proto je také velmi důležité začít se věnovat procesům a postupům, co se stane, když…

Stanovit tým zaměřující se na IT bezpečnost, definovat si primární aktiva firmy, její podpůrná aktiva, registr hrozeb a zranitelností, díky tomu si vyhodnotit riziko a přijmout pro něj opatření. Toto pravidelně aktualizovat, vyhodnocovat a opakovat stále dokola.

Jaroslav Otcovský, vedoucí technického oddělení, Asseco Solutions