S jakými typy útoků mají české firmy největší starosti? Které jim působí největší škody?

V posledních měsících udeřil nebývale tvrdě opět ransom­ware. Největší kauzy byly medializovány, ale skutečný rozsah byl mnohem větší. Řada našich zákazníků mi potvrdila, že díky řešení firmy Flowmon byli schopni infekci ransomwarem rychle identifikovat a zvládnout bez reálného dopadu na jejich infrastrukturu.

Nejedná se pouze o problém v českém prostředí. Na posledním ročníku konference RSA v únoru 2020 v San Francisku byl tématu ransomware věnován celý den. Podle informací z FBI získají útočníci pouze na výpalném zaplaceném oběťmi obvykle v bitcoinech řádově 50 milionů dolarů ročně.

A hlavní vektory útoku? 80 procent prostřednictvím RDP (Windows Remote Desktop) se zneužitím zranitelností nebo prolomením slabého hesla hrubou silou. Zbývajících 20 procent je obvykle phishing a s tím související lidský faktor.

Pavel Minařík

zastává pozici CTO ve společnosti Flowmon Networks. Zodpovídá za dlouhodobou produktovou strategii, výzkumné a vývojové projekty, stejně tak za technickou podporu a zákaznické projekty po celém světě. V oblasti síťového monitoringu a kyberbezpečnosti se pohybuje od roku 2006.

Edukace zaměstnanců v oblasti bezpečného chování na internetu je stále výzva pro většinu organizací.

Setkáváte se ještě s přístupem, že k ochraně perimetru stačí firewall a antivirové řešení? Jaké jsou obecně znalosti a zkušenosti českých firem v oblasti bezpečnosti?

Podívejme se na to prakticky očima firmy o stovkách uživatelů. Typický IT specialista ráno řeší správu serverů, poté problémy uživatelů, po obědě se věnuje novému projektu zavádění ERP, pak jde vyměnit toner do tiskárny a připravit PC pro nové zaměstnance, kteří nastupují příští týden. Jednou za čas musí upravit konfiguraci síťových prvků, vyřešit problém s pomalou aplikací nebo opravit řediteli jeho Apple zařízení, bez kterého se neobejde.

Zní to možná neuvěřitelně, ale tohle je typická realita v segmentu firem do 1000 zaměstnanců. Dovedete si představit, že tento IT specialista má prostor věnovat se kybernetické bezpečnosti?

To opravdu nezní dobře…

Firmy končí na úrovni nutného minima, kterým je antivirová ochrana stanic, ochrana perimetru firewallem a infrastrukturní monitoring pro kontrolu dostupnosti serverů a klíčových služeb. Zde však vzniká pocit falešného bezpečí.

Schválně si zkuste odpovědět na otázku, kolik procent zařízení je chráněno antivirem. Ano, jsou to koncové stanice a notebooky.

Co servery, kamery, tiskárny, mobilní telefony, tablety? Co třeba rentgen nebo magnetická rezonance v nemocnici? Najednou si uvědomíte, že ve vaší síti komunikují stovky zařízení, která jsou bez jakékoliv kontroly nebo zabezpečení. A navíc jejich provoz neprochází obvykle ani firewallem.

Jak by podle vás měla vypadat bezpečná infrastruktura?

Pro bezpečnou infrastrukturu je klíčové aplikovat něco, co se obvykle označuje jako "best practice". Systematický přístup zahrnuje důslednou správu identit, zavedení dvoufaktorové autentizace a single sign-on pro minimalizaci různých účtů a hesel, které musí zaměstnanci používat. Na straně uživatele musí být bezpečnost jednoduchá a integrální součást IT prostředí.

Dále je to segmentace, která zajistí dostatečné členění digitálního prostředí tak, aby kompromitace měla pouze lokální dopad. Samozřejmě k tomu patří detekce zranitelností a patchování systémů. Tohle všechno jsou základy, které nevyžadují nákladná řešení nebo pokročilé technologie.

Dalším krokem je důsledný monitoring síťového provozu s detekcí anomálií a centrální sběr logů. Obě technologie jsou základem nejen pro detekci, ale také pro zvládání bezpečnostních incidentů a včasnou reakci.

Na jakou oblast bezpečnosti se specializuje Flowmon?

Naše řešení cílí především na správce datových sítí, správce infrastruktury a aplikací a bezpečnostní specialisty (často na všechny jmenované v jedné osobě). Pomáhá jim zvládnout bezpečnostní, výkonnostní a provozní problémy jejich digitálního prostředí.

Představte si, že najednou máte komplexní přehled toho, co se děje ve vaší infrastruktuře, jak vypadá struktura provozu, odezva systémů a aplikací a jaké bezpečnostní incidenty a provozní problémy byly identifikovány. To všechno zcela automaticky a nepřetržitě. Pro pořádek − naše technologie se obecně označuje jako NPMD (network performance monitoring & diagnostics) a NTA (network traffic analysis). Flowmon je unikátním spojením obou technologií, které jsou obvykle doménou různých řešení od různých výrobců.

V čem spočívá unikátnost zmíněného spojení?

Ve spojení obou technologií do jediného nástroje. Což dává našim uživatelům unikátní kombinaci vlastností a funkcionality integrované do jediného uživatelského prostředí. Větší organizace ocení podporu spolupráce bezpečnostních a provozních týmů. Menší organizace získají nástroj, který jim umožní zvládnout jejich digitální prostředí z pohledu provozního i bezpečnostního monitoringu.

Vlastně tak přinášíme pokročilé technologie určené pro velké korporace do prostředí menších a středních organizací, které by si jejich pořízení jinak absolutně nemohly dovolit.

Pro zákazníky z České republiky je zde ještě výhoda, a to lokální podpora v českém jazyce přímo od výrobce. Jak často rád dodávám, můžete zavolat technickému řediteli s žádostí o pomoc nebo s nápadem na vylepšení produktu pro vaše potřeby. Nebo si postěžovat, co vám nefunguje ideálně. U kolika zahraničních řešení máte tu možnost?

Jaké technologické novinky se na poli bezpečnostních řešení podle vás budou prosazovat v příštích letech?

Necítím se být fundovanou osobou na předpovědi, od toho máme analytické agentury. Osobně očekávám adopci cloudových služeb v oblasti bezpečnosti. Příkladem může být vulnerability assessment jako služba, která zřejmě postupně nahradí jednorázové penetrační testy.

Dále očekávám, že legislativa a regulace v oblasti kybernetické bezpečnosti společně s incidenty, které budou mít masivní dopad na organizace, zvýší pozornost managementu i výdaje, které věnují kybernetické bezpečnosti. Nakonec to už rovněž vidíme u některých našich zákazníků, kde vznikají nová dedikovaná pracovní místa v oblasti bezpečnosti nebo začínají využívat služeb SOC (security operation center).

Článek byl publikován v komerční příloze ICT revue.