Z white hat sa stali etickí hackeri, z black hat sú jednoducho kriminálnici a organizované skupiny. Okolnosti však môžu prinútiť aj človeka so silnými morálnymi základmi vykonať niečo, čo spôsobí ujmu niekomu inému. Nemusí ísť hneď o porušenie zákona, keďže v každej krajine platia iné zákony a internet je predsa globálna sieť. Môže sa stať, že aj bývalý black hat prejde na stranu dobra, pretože utekať celý život pred zákonom nie je ľahké. A práve preto, by sa mali firmy a inštitúcie chrániť pred kybernetickými úrokmi ako zvnútra, tak aj zvonku.

V rozhovore s naším SOC bezpečnostným špecialistom, Vladimírom Frčom, sa dozviete o najčastejších útokoch, ktoré ohrozujú firmy, ako aj o spôsoboch, ako sa môžu firmy chrániť pred vnútornými aj vonkajšími hrozbami.

Na čo by mali spoločnosti myslieť pri ochrane svojich aktív?

Pri odpovedi nadviažem na kontext predošlých riadkov. Bude to možno znieť čudne, ale spoločnosti by mali hlavne dbať na spokojnosť svojich zamestnancov. Ľad medzi dobrom a zlom je veľmi tenký. Z experta na počítačové siete, administrátora operačných systémov alebo aj z obyčajného predajcu obsluhujúceho aplikáciu, sa zo dňa na deň môže stať útočník. Útoky z vnútra sú oveľa častejšie, ako si myslíte. Finančná motivácia je veľmi silná, a keď sa k nej pridá nespokojnosť zamestnanca, pokušenie narastá.

Ako sa teda môžu spoločnosti chrániť pred útokmi zvnútra?

Moje odporúčanie je – starajte sa o svojich zamestnancov tak, aby nemali potrebu podraziť vás pri prvej príležitosti. A ak by sme sa mali baviť o tých technických riešeniach, tak nie som veľký zástanca monitoringu zamestnancov. Ten sa dá zneužiť rukami slabších manažérov, aj keď sú situácie, keď je monitoring potrebný a reálne prináša pridanú hodnotu. Tým myslím hlavne monitorovanie citlivých administrátorských prístupov alebo prístupy a manipuláciu s tajnými informáciami. Pravidelný reporting alebo kontrola súladu však nie sú na škodu. Napríklad, môžu odhaliť neštandardné správanie sa užívateľa v systéme (nadmernú spotrebu, časté prístupy k rôznym zákazníkom za účelom získania ich informácií, VPN prístup zo zahraničia, keď zamestnanec neopustil krajinu…). Takáto kontrola sa samozrejme dá automatizovať na trhu dostupnými riešeniami.

Čo by mohlo byť vhodným riešením?

Príkladom môže byť napríklad detekcia bypassu dvojfaktorovej autentifikácie alebo jej zneužitie. Vo svojej podstate ani nemusí ísť o 2FA autentifikáciu, ale o akékoľvek prihlásenie z internetu do firemnej VPN alebo aplikácií. V časoch, keď sa už skoro všade vyžaduje dvojfaktor, útočníci idú s dobou. Phishing sa prispôsobil a zautomatizoval. Kontrolou geolokácie IP adries odkiaľ sa užívateľ prihlásil, dokážete detegovať, či by sa medzi poslednými prihláseniami dokázal presunúť z miesta na miesto. Mohli by ste namietať, že útočník použije IP z danej krajiny, kam sa chce prihlásiť. Áno, ale značne mu to sťažíme.

Akým najbežnejším útokom čelia organizácie a firmy v dnešnej dobe?

Tým úplne najbežnejšími útokmi sú automatizované skeny zraniteľností a brute force-ovanie účtov cez rôzne protokoly. Medzi nimi určite dominuje RDP protokol vďaka jeho masovému používaniu a dostupnosti tejto služby cez internet. Viac ako 4,5 milióna hostov s RDP v internete hovorí za seba. S nástupom rôznych regulácií ako GDPR a pokutovania spoločností za úniky zákazníckych dát, stúpa záujem o prieniky do databáz ako je MSSQL a brute force prístupov do nich. Tiež viac vnímam ruch okolo infostealer malwaru. Na ten zareagoval aj trh s Threat Intelligence platformami, ktoré monitorujú clear web, dark web a rôzne hackerské fóra. Vďaka nim sa napríklad dozviete, či sa na nich nepredávajú prístupy do vašej VPN.

Zmenili sa útoky a vírusy s príchodom AI?

Útoky sa určite nezlepšili s príchodom umelej inteligencie ako je ChatGPT. Tie sú stále poháňané zraniteľnosťami. Určite sa ale urýchlil vývoj v niektorých častiach malwaru. Tak, ako AI pomáha pri práci bežným ľuďom, tak isto pomáha aj druhej strane. A samozrejme s AI sa aj hackerské techniky ľahšie dostali k masám.

Čo by malo byť základom na minimalizovanie takých útokov vo vyspelých organizáciách?

Úplný základ je správne nakonfigurovaný firewall nie len smerom dnu, ale aj smerom von. Dnešné firewally sú už celkom inteligentné a majú v sebe aj dáta z Threat Intelligence platforiem. Tiež odporúčam pravidelnú kontrolu perimetra, aby sa vám náhodou neobjavil v internete zraniteľný RDP server. A samozrejme pravidelné patchovanie.

Aké sú najdôležitejšie bezpečnostné opatrenia pre chránené siete a systémy, ktoré obsahujú citlivé údaje alebo informácie?

Opäť kontrola a obmedzenie sieťového prístupu k citlivým dátam. V druhom rade identity a access management. Dôležitá je aj kontrola samotných oprávnených prístupov, ako som naznačil o niekoľko riadkov vyššie. Technológie ako DLP alebo SIEM vás môžu upozorniť na neštandardné správanie užívateľov systémov s citlivými údajmi.

Ktoré nástroje a techniky používané na identifikáciu a prevenciu kybernetických útokov považuješ za najviac spoľahlivé?

Jedným z najdôležitejších nástrojov je osveta a vzdelávanie. Po finančnej stránke patria určite k tým lacnejším. K prevencii patrí celá plejáda technologických riešení, ktoré je ale zbytočné implementovať, ak sa o ne nemá kto starať a zapadajú prachom. To isté platí aj pre identifikáciu alebo monitoring kybernetických útokov. Bez personálu, ktorý bude reagovať na bezpečnostné upozornenia, nemá význam ich implementovať. Je to mrhanie prostriedkami. Pomôcť vám môže automatizácia v tejto oblasti.

Akú stratégiu by si odporúčal firmám pri uchopení penetračných testovaní a auditoch vlastných systémov s cieľom odhalenia slabých miest pred útokmi?

Základom je mať vlastný Vulnerability management nasadený celoplošne. Viditeľnosť v tejto oblasti je veľmi dôležitá hlavne pre posúdení rizika. Jasne prezentovať nástroj ako prostriedok, ktorý pomáha budovať bezpečnejšie prostredie. Delegovať exekutívu skenov aj na zodpovedných inžinierov. Za bezpečnosť ich systémov nie je zodpovedné security oddelenie, ale oni sami. To je ale iba polovica úspechu. Oveľa dôležitejší je patch management. Ak ho nemáte správne nastavený, nebude to fungovať. Ďalej by som odporučil biznis vlastníkom aplikácií a systémov, aby v rozpočtoch rátali aj s pravidelnými penetračnými testami. Počet zraniteľností každý deň rastie. Ak máte dnes čistý report, zajtra tomu tak nemusí byť.