Jak probíhá hackerský útok? Kdy dorazí i k vám?

Při hackerském útoku má firma k dispozici řadu nástrojů, které mohou celou situaci zvrátit. Řada společností ale podle odborníka na kyberbezpečnost Martina Zicha často nevyužívá ani základních nástrojů, které má k dispozici už díky operačnímu systému. HPE proto pomáhá svým klientům zajistit kompletní zabezpečení, které je ochrání i před vyděračským ransomware. Detekovat útoky pomáhá i umělá inteligence, která nemusí čekat na updaty poskytovatelů anitmalwarových řešení. Většina útočníků na své cíle útočí skrze balíky různých malwarů, které jim pomáhají dostat se až k administrátorské pozici.

„Pro HPE je kyberbezpečnost velká priorita,“ začal svou přednášku na HPE GreenLake Days Martin Zich. Zich pracuje jako cyber-security konzultant a má zkušenosti z řady nejen českých firem, ale i světových. „Jsem živý příklad toho, že se jako firma pohybujeme po celém světě. Řeším projekty ve Spojených státech, na Středním východě, v Asii. A samozřejmě v České republice a v Evropě,“ upřesňuje bezpečnostní expert.

I díky tomu má Martin Zich unikátní vhled do toho, jak kyberútoky probíhají. Na konferenci hovořil především o takzvaném ransomware, ale řada jeho poznatků lze zobecnit na naprostou většinu kybernetických útoků.

Co je to ransomware?

Ransomware jenom jeden z druhů malwaru. „Ransom je česky výkupné, takže ransomware je zjednodušeně software na výkupné,“ vysvětluje Martin Zich. „To znamená, někdo se z nás snaží vytáhnout peníze na nějakém výkupném, když nám zašifruje naše důležitá data. Proti tomuto fenoménu bojujeme kybernetickou odolností.“

Za ransomware útoky stojí podle experta na kyberbezpečnost nejčastěji hackerské skupiny, které jsou v některých případech podporované státem, takže jsou dobře zafinancované. „Během takového útoku navíc většinou není použitý jediný typ toho malwaru. Snad nikdo nemůže říct, že měl pouze například WannaCry, téměř vždy jsou tyhle malwary součástí větších bundlů,“ upozorňuje Zich.

Útočník musí prolomit několik vrstev

Na začátku je podle odborníka na kyberbezpečnost většinou obyčejný škodlivý email. Ten se snaží někdo doručit do mnoha schránek ve vybrané organizaci a hledá tak nějaké slabé místo. „Ten vstup je většinou přerušen pomocí nějaké gatewaye, která zkoumá bezpečnost daného emailu. V lepším případě je tam i nějaká analýza obsahu, v ještě lepším případě má analýza toho obsahu nějaký AI prvek, takže zkoumá i případnou detonaci přílohy a podobně,“ vysvětluje Martin Zich. Tuto vrstvu ochrany však umí útočníci relativně snadno obejít. „Útočník něco zašifruje, něco zazipuje. Ten e-mail se prostě doručí na server a potom doputuje do schránky konkrétního uživatele a na jeho počítač.“

Ve chvíli, kdy oběť útoku otevře přílohu, začne se malware postupně spouštět. „Většinou je to tak, že to je nějaký powershellový skript, který se spustí, odhodí nějaký proces pod sebe, ten začne dělat další akce, a tak proces pokračuje,“ vysvětluje Zich. V této fázi mohou útok přerušit další opatření. „Samy operační systémy mají spoustu komponent, které by tomu měly zabránit, záleží ale na tom, jestli o nich víte a jestli je využíváte. Jsou tam ale i další nástroje, které jsou defaultně vypnuté a nemusíte o nich ani vědět. Další věc je konfigurace. Základní konfigurace veškerých operačních systémů je jednoduše řečeno děravá. Takže musíte dělat takzvaný hardening,“ upozorňuje expert.

Proti ransomware pomáhá i umělá inteligence

V ochraně koncové stanice proti malwaru je podle Martina Zicha dnes naprosto nezbytné využívat alespoň nějakou příměs umělé inteligence: „Toho malwaru vzniká takové množství, že ani výrobci antimalware řešení nejsou schopni rozšiřovat databáze tak rychle, jak nový malware vzniká.“ Další vrstvou obrany může být whitelisting aplikací. „Na koncových stanicích je to možná nemožné, protože tam každý potřebuje občas něco nainstalovat, ale na serverech se to prostředí tolik nemění, takže tam by to možná dávalo smysl. Servery jsou samozřejmě také častým cílem.“

Dnes nejde o to, jestli ten útok přijde. On totiž přijde. Je to jenom otázka času.

Co se ale stane, když všechna opatření selžou a malware ovládne koncovou stanici? „Typicky potom začne volat někam domů na nějakou svoji ‚mateřskou loď‘. V té původní emailové zprávě totiž nemáte všechen ten malware. Musí si někde stáhnout své další ‚bratříčky‘, další malware,“ popisuje další kroky škodlivého softwaru Martin Zich. Tomu by mohl zabránit už pokročilý next-gen firewall, který je schopný detekovat pohyby nejen směrem do firmy, ale i ven.

Malware se nesmí stát enterprise administrátorem

Co když ale všechno selže a ten malware se stáhne? „Teď už máme v počítači kompletní bundle, a ten se snaží nahlížet do celé firemní sítě. Ochránit nás může segmentace sítě, firewally na jednotlivých uzlech, bezpečnostní zóny, atd. Ten malware se snaží ze všech sil najít jednu věc – doménový řadič. Chce se stát enterprise administrátorem a získat tak přístup ke všem koncovým stanicím, produkčním systémům, a dokonce se pak může přihlásit i do třetích stran, třeba u organizací, které servisujete,“ varuje Zich.

Malware si navíc počíhá i na nezamknuté online zálohy. Je proto důležité zálohy chránit a držet i offline zálohu.

Kybernetické útoky se zkrátka staly běžnou součástí našich životů. Bez řádné prevence a dostatku ochranných prvků se dnes neobejdou ani malé firmy. Útočníci totiž dobře vědí, že takové společnosti často soustředí veškeré prostředky na vlastní byznys a zabezpečení odsunují na druhou kolej. Velké firmy naopak běžně zaměstnávají dedikované týmy, které pečují o ochranu před kybernetickými útoky. Během kyberútoku však stačí objevit jediné slabé místo a v ohrožení je celá firma nezávisle na její velikosti. Jak totiž tvrdí nejen Martin Zich, ale také množství dalších odborníků na poli kybernetické bezpečnosti: „Dnes nejde o to, jestli ten útok přijde. On totiž přijde. Je to jenom otázka času.“