Hosty tohoto setkání byly uznávané kapacity v oblasti kybernetické bezpečnosti. Jako první se slova ujal Nick Copeland, systémový inženýr společnosti Fidelis Cybersecurity, který začal své vystoupení zhodnocením role antiviru v dnešní době. „Někteří odborníci tvrdí, že je dnes antivirus jako bezpečnostní aplikace mrtvou záležitostí. A já s nimi musím souhlasit, je to tak. Moderní hrozby totiž dokážou rozpoznat přítomnost běžného antivirového řešení a dokonale se před ním zamaskovat,“ řekl a dodal, že detekční mechanismus by měl být v současnosti založený na pochopení dynamického chování škodlivého kódu. „Tradiční antivirová řešení spoléhající jen na signatury jsou v době moderních generovaných hrozeb příliš slepé.“
Dle Nicka Copelanda je v současné době nejlepší používat takzvaný sandbox. Sandboxing je metoda, kdy je potenciálně škodlivý program spuštěn v kontrolovaném prostředí a sleduje se jeho chování. Sledují se také pokusy o skrývání, pokusy o samovolné šíření, stejně jako pokusy zůstat na nakaženém hostiteli i po jeho restartu.
Nick Copeland ve svém příspěvku hovořil i o metadatech jako o nástroji pro záznam o síťové činnosti. Metadata jsou totiž skvělým způsobem, jak zjistit, co se děje a hlavně dělo v celé síti, ale bez nutnosti ukládání kompletního obsahu provozu. „Aktuální hrozby se snaží postupovat velmi pomalu. Chtějí v tichosti projít kolem hlídacích psů v podobě antiviru. Tyto aktivity, které samostatně nevypadají škodlivě, bohužel jako sousled kroků škodlivé samozřejmě jsou,“ podotkl expert s třicetiletou zkušeností s projektováním a zaváděním systémů kybernetické bezpečnosti.
Nick Copeland na závěr neopomněl zmínit ani oblast strojového učení, která už je také využívána škodlivým kódem. „Pokud jej nezapojíme také do detekčních řešení, budeme koukat na červená zadní světla šinkanzenu.“
Zločin v kyberprostoru je organizovaný
Aktuálním trendům v oblasti kybernetických hrozeb se ve své přednášce věnoval Leonardo Mokarzel Falcon, cyber security manager společnosti Accenture – Cyber Fusion Center v Praze. Podle něj je třeba si uvědomit, že malware se neustále vyvíjí a zdokonaluje. Útočníci jsou vždy o krok napřed před technologiemi, které mají za cíl jejich útokům zabránit. „Od roku 2012 zaznamenáváme velký nárůst úspěšnosti hackerů. Ti jsou schopní prolomit mnohé ochranné prostředky a vstoupit do sítě. Zároveň s tímto nárůstem také stoupá i celková škoda způsobená útoky,“ vysvětlil. Falcon zároveň upozornil, že jsou dávno pryč doby, kdy se za kyberzločinem skrývali osamocení adolescenti, kteří si zkoušeli, co už všechno dovedou. „Momentálně jsme svědky cíleného a organizovaného jednání ze strany hackerských skupin s dobrým finančním krytím.“
V současné době je jedním z největších bezpečnostních rizik takzvaný ransomware, tedy škodlivý kód, který po vniknutí do sítě zašifruje veškerá dostupná data a požaduje výkupné za jejich zpřístupnění. Tento vyděračský malware je samostatně plně funkční, což znamená, že nepotřebuje po infiltraci získávat instrukce zvenčí. Dokáže si sám vygenerovat vlastní klíče a začít postupně šifrovat. Navíc se s rozvojem „smart“ zařízení útočníci čím dál tím častěji zaměřují i na internet věcí. „Není to ani tak dávno, co byl v Rakousku napaden hotel, který měl chytré zámky na pokojích. Hackeři se nabourali do systému, který řídil funkci zámků, a na dálku zamkli všechny pokoje. Hosté se do nich nemohli dostat, což byl opravdu velký problém,“ vzpomínal na případ z praxe Falcon.
Ale v současnosti jsou skloňované i vnitřní hrozby. Pro většinu velkých firem je poměrně těžké vysledovat, kdo a za jakým účelem přistupuje k datům. „Bohužel jsme často svědky toho, že je rizikem někdo z vnitřku firmy. V malém procentu případů jde o nechtěné pochybení, které skončí problémem, ale většinou takový člověk cíleně přistupuje ke zdrojům uvnitř a informace předává dál.“ Na konci své přednášky se Falcon dotkl i možnosti využití služby threat hunting, která spočívá v ruční práci vysoce kvalifikovaných odborníků. Díky metadatům mohou sledovat a analyzovat dění v síti tak, aby byli schopni zabránit průniku škodlivého kódu, případně odhalit, kam unikají data z firmy. „Tito specialisté jsou dalším stupněm ochrany, zmenšují prostor mezi stávajícími bezpečnostními řešeními a novými postupy a nástroji, které využívají útočníci, aby mohli vaše řešení obejít.“
Security IT oddělení musí mít možnost rychle rozhodovat
Druhá část semináře byla věnovaná hlavně úvahám o bezpečnosti z pohledu praxe. Martin Tichý, cyber security officer společnosti net.pointers, hned na začátku svého příspěvku položil do pléna zásadní otázku, jaké místo má mít ve firmě oddělení IT security. „Tento tým nesmí být schovaný v páté nebo sedmé úrovni pod boardem, měl by být jednoznačně výše, nebo mít alespoň k boardu přímou zkratku. Protože jakmile se stane nějaký bezpečnostní problém, je potřeba jej řešit s nejvyšším vedením, případně mít jasně vymezené rozhodovací pravomoci a činit rychlá opatření.“
Dále se Tichý zamýšlel nad bezpečností z hlediska docházkových systémů a biometrickými prvky na přístupových kartách do firem. Biometrika je považována za vyšší stupeň ochrany firmy, a tím pádem i dat uvnitř, ale i tato metoda se dá poměrně snadno ošálit. „V novém telefonu se objevil jako bezpečnostní prvek snímač očního pozadí. A tak pánové z jedné hackerské skupiny vyfotili majitelku tohoto telefonu, pak z fotografie vystřihli oči, dali si je před svoje a bylo hotovo,“ řekl a dodal, že technologie a teorie je jedna věc, ale její reálné použití a případné zneužití věc druhá. Z jeho úst také zazněly konkrétní příklady úniku dat z vnitřku firmy a hovořil i o tom, kam se dokáže na internetových stránkách škodlivý kód ukrýt a za co se může vydávat. Závěr semináře byl věnovaný praktické ukázce práce na platformě Fidelis. Jan Rydval, system engineer EE ve společnosti Fidelis Cybersecurity, na simulovaných případech vysvětloval, jak se dají analyzovat metadata či jak se šíří ransomware po síti.
O net.pointers s.r.o.
Ryze česká společnost net.pointers, s.r.o., se zaměřuje na kybernetickou bezpečnost a oblast unified communications. Působí ve střední Evropě, na Blízkém východě a v asijsko‑pacifickém regionu. Firma disponuje zkušenostmi v oblastech prevence a ochrany komunikačních sítí proti kybernetické kriminalitě, ochrany proti útokům DDoS, forenzních analýz, unified communications a vzdělávání v kybernetické bezpečnosti. Poskytované služby zahrnují profesionální zákaznickou podporu, zavádění technologií, managed security services a kontinuální vývoj softwaru, včetně vývoje vlastních aplikací a SW nadstaveb. Více informací naleznete na našem webu net.pointers.cz nebo na Twitteru @net_pointers.
O Fidelis Cybersecurity
Společnost Fidelis Cybersecurity vyrábí a dodává unikátní technologii, systém Fidelis Network a Fidelis Endpoint, jež tvoří integrovanou bezpečnostní platformu pro automatizovanou detekci a prevenci proti dnešním formám sofistikovaných útoků typu APT. Provádíme velmi hlubokou analýzu veškerého provozu a jeho obsahu, abychom našli škodlivé kódy a exploity ukrývající se v síti i na koncových bodech. Validujeme každý alarm a díky znalosti obsahu i souvislostí výrazně snižujeme množství falešných alarmů, stejně jako automatizací vyšetřovacího procesu eliminujeme přetížení bezpečnostních analytiků.
Další informace o produktech společnosti Fidelis Cybersecurity najdete na stránkách www.fidelissecurity.com nebo nás můžete sledovat na Twitteru @FidelisCyber.