Jak jsme si vedli v kybernetické bezpečnosti? Přehled trendů a vyhlídky na rok 2023
Nejčastějšími incidenty v síti MasterDC byly letos DDoS flood útoky. Jak si kybernetická bezpečnost stojí v dnešní nejisté době? Přečtěte si o nejzranitelnějších prvcích infrastruktury i tipech pro dobrou prevenci.
Stejně jako předchozí roky hrály i letos v kyberprostoru prim sofistikované útoky. Většina firem se ale na tento standard adaptovala a začala hrozbám proaktivně předcházet implementací bezpečnostních prvků do své infrastruktury. Systémy založené na strojovém učení, behaviorální analýze a podobných metodách, jaké používáme také v MasterDC, značně znepříjemňují útočníkům pole působnosti.
Přizpůsobit se úrovni kybernetické ochrany teď proto musí i útočníci vývojem nových, ještě vyspělejších útoků. Levnější a jednodušší alternativou je ale přístup přes zranitelnější body v síti, nejčastěji třeba zařízení zaměstnanců připojujících se k firemním datům vzdáleně.
Bezpečné připojení pro zaměstnance
Komunikujte se svými kolegy a sdílejte data napříč pobočkami a provozovnami bezpečně pomocí šifrovaného přenosu třeba přes protokol IPSec. Zajistíme návrh i výstavbu VPN pro vzdálený přístup k datům.
V Evropě i v Česku byly za rok 2022 stále nejfrekventovanější ransomware a útoky na dostupnost. Potvrzuje to rozsáhlý report Evropské společnosti pro bezpečnost sítí a informací (ENISA) i pravidelné přehledy vydané v průběhu roku Národním úřadem pro kybernetickou bezpečnost.
Kybernetická bezpečnost v MasterDC
Byť se v řadě reportů prokázala větší intenzita útoků v porovnání s předchozími lety, v síti MasterDC jsme výrazné rozdíly nezaznamenali. „Intenzita i četnost útoků si drží stále stejnou úroveň. Nejčastěji řešíme DDoS flood útoky, to už je taková klasika, pak reflexivní a multivektorové útoky. Ten nejsilnější dosáhl 180 Gbps / 15 Mpps,” shrnuje situaci bezpečnosti sítě technický ředitel MasterDC Martin Žídek.
Co se týče zákaznických technologií, pozorovali jsme v uplynulém roce nejvíce právě ransomware, typicky na Windows serverech. Ve velké míře byly vyhledávány také zranitelnosti v Microsoft Exchange serverech, které jsou dlouhodobě zahrnovány do botnetů. Kritické zůstávají i nedostatečně zabezpečené redakční systémy a pluginy.
Podobným situacím lze nejlépe předcházet pravidelnými aktualizacemi na nejnovější verze systémů, systematicky nastavenými zálohami a přístupovými pravidly. Tyto postupy aplikujeme na zákaznická řešení v rámci managed služeb. Doporučujeme rovněž filtrovat provoz prostřednictvím firewallu a využívat některé z nástrojů pro mitigaci DDoS útoků.
Aktuální trendy v kyberbezpečnosti
Dobrou zprávou je, že infrastruktura zejména větších podniků, už není zdaleka tolik zranitelná jako dříve. Z dostupných dat vyplývá, že společnosti si uvědomují rizika kybernetických hrozeb a do zabezpečení investují.
Rostoucí náklady na hardware ale nutí šetřit zejména malé a středně velké organizace. Zvláště ty, jejichž hlavní podnikatelská činnost se netýká IT. Úspory se v těchto případech dotýkají právě ochrany IT infrastruktury. Další zranitelnou částí podnikového IT pak bývají jednotlivá zařízení zaměstnanců. Útočníci jsou si toho dobře vědomi; je to pro ně totiž levnější než vývoj tzv. zero-day útoků.
Právě zero-day útoky, tedy útoky nultého dne, byly zhruba za poslední rok využívané pro dosažení strategických cílů, motivované monetizací, ziskem dat ale i geopolitickými aspekty. Příležitost pro útoky nultého dne, a nejen pro ně, představuje i rostoucí popularita softwarových řešení, např. Microsoft Office 365 nebo nástroje od Adobe.
Cloud a virtualizace rovněž rozšiřují útočné plochy. Týká se to kupříkladu VMware ESXi virtualizační platformy na linuxových systémech, ale i špatně nakonfigurovaných Docker kontejnerů nebo Kubernetes clusterů. Tyto platformy jsou z dlouhodobého ekonomického hlediska efektivní a přináší flexibilitu při rozšiřování výpočetních kapacit, bez podrobné znalosti jednotlivých technologií je ale jejich funkčnost a bezpečnost dat ohrožena.
Od roku 2021 získává v kybernetické kriminalitě, podobně jako v ostatních oborech, na popularitě obchodní model „as a service“. Profesionalizovaný trh s nabídkou „hacker as a service / hacker for hire“ nebo „access as a service“ se stává jedním z nástrojů vládních, konkurenčních i osobních bojů. Hackeři tak poskytují své služby v podstatě komukoli, kdo vlastní internetové připojení a kreditní kartu. V případě „access as a service“ nabízí přístup např. do firemní sítě.
Nejčastější útoky v uplynulém roce
- Útoky na dostupnost, zejména robustní a komplexní DDoS, jejichž síla už běžně přesahuje 1 Tbps.
- Velmi sofistikované metody phishingu.
- Ransomware stále stojí na předních příčkách, stejně jako koncept ransomware as a service, který komplikuje identifikaci zdroje útoku. Podle ENISA bylo v uplynulých měsících odcizeno pomocí ransomware více než 10 TB dat měsíčně, přičemž v 58,2 % šlo o osobní data zaměstnanců.
- Roste i počet úspěšných pokusů o malware, resp. sociální inženýrství, které během pandemie zaznamenalo mírný pokles, nyní se ale vrací na původní hodnoty.
Jak předcházet kybernetickým hrozbám
Prevence je pro každý útok specifická, přesto existují obecně platná pravidla, která posílí celkovou bezpečnost podnikové infrastruktury. Vzhledem k aktuálním trendům se vyplatí investovat zejména do školení zaměstnanců. Zaměstnanci perfektně zorientovaní v základech kybernetické bezpečnosti mohou totiž ve výsledku zachránit data i dobré jméno firmy.
- Vyplatí se pravidelně připomínat bezpečnou správu a podobu hesel i to, jak vůbec rozpoznat phishing a další útoky. Důležité je také nastavit jasné postupy při rozpoznání pokusu o útok či odcizení dat.
- Pečlivě evidujte všechna firemní zařízení, která zaměstnanci používají a ujistěte se, že jsou dobře zabezpečená a pravidelně aktualizovaná.
- Dobrý přehled si udržujte o veškerých využívaných technologiích: síťových a dalších infrastrukturních prvcích, cloudových instancích, doménách,… .
- Omezte počet uživatelských účtů s administrátorskými právy a oprávnění ke správě dat i přístupu k nim přidělujte ostatním uživatelům s rozmyslem. Běžným problémem je také neoprávněný přístup bývalých zaměstnanců k firemním systémům – jejich uživatelské účty proto deaktivujte bezprostředně po oficiálním ukončení spolupráce.
- Ujistěte se, že zaměstnanci vědí, jak bezpečně nakládat s daty i jak je sdílet.
- Pravidelně aktualizujte operační systémy a software na nejnovější verze. V ideálním případě tento proces zautomatizujte, nebo využijte managed služeb, do nichž jsou zahrnuty právě aktualizace i bezpečnostní záplaty.
- Používejte bezpečnostní software, např. anti-spam filtr pro eliminaci spamu, malware a dalších e-mailových hrozeb.
- Kromě firewallu a anti-DDoS ochrany pro mitigaci používejte šifrování dat a v rámci firmy komunikujte přes virtuální privátní síť (VPN). Ty nejznámější VPN protokoly jsme srovnali v článku Jak funguje VPN a který protokol si vybrat?
- Zabezpečte si DNS server, pár praktických tipů najdete v článku Útoky na DNS servery – jak fungují a jak se proti nim chránit?
- Zálohujte strategicky a systematicky. Ideálně používejte hned několik zálohovacích metod – každodenní zálohování, pro které je vhodné třeba cloudové úložiště; týdenní zálohy; dlouhodobé zálohy a archivaci. Čas od času otestujte obnovu dat ze zálohy.
Kybernetická bezpečnost v roce 2023: bude něco jinak?
Z výše uvedených tipů můžete vycházet také příští rok. Cílení na nejzranitelnější body v síti bude totiž pokračovat, stejně jako rychlý vývoj zero-day útoků. V rozhovoru společnosti Kaspersky se bezpečnostní experti shodují na tom, že v následujícím roce vzroste počet DDoS útoků, které budou směřovány především na menší firmy.
Na nárůst DDoS útoků se připravujeme i v MasterDC. „V příštím roce plánujeme opět navýšit kapacitu sítě. Kromě toho budeme testovat také novou distribuovanou platformu pro mitigaci,“ odkrývá část prací svého týmu CTO Martin Žídek.
Další predikce odhadují intenzivnější strategický ransomware a útoky na distribuční kanály. Přesně pro ty se vyplatí testovat obnovu záloh a v případě robustních řešení si zřídit plán obnovy infrastruktury. Obecně bude ale situace velmi podobná té letošní, a tak se na ni můžeme dobře připravit. Začít se dá třeba bezpečnostní kontrolou operačního systému, která odhalí ty nejkritičtější body.