Kyberzločinci nasazují umělou inteligenci

Taktiky kyberzločinců se neustále vyvíjejí a pro ochranu podnikové sítě je proto klíčová prevence i rychlá reakce na probíhající útoky

Mezi nejzásadnější bezpečnostní hrozby pro firemní sítě a data patří DDos útoky, phishing a především ransomware, který dokáže zcela paralyzovat podnikovou síť a zařízení nezbytná pro chod firmy. Přečtěte si, jak kybernetickým útokům zvenčí předcházet a poradit si s nimi.

Firemní sítě a data to dnes vážně nemají lehké. Musejí čelit neustále rostoucímu riziku ztráty, poškození nebo zneužití. A to nejen zvenčí firmy, ale i z řad interních uživatelů. V tomto článku se podíváme na nejčastější útoky zvenčí, především pak na „fenomén“ ransomware.

Mezi tři největší hrozby pro firemní sítě patří DDoS útoky (způsobujících zahlcení a nedostupnost podnikových sítí a systémů), stále důvěryhodnější phishingové útoky (podvodné získávání citlivých údajů uživatelů) a především ransomware, na který se podíváme podrobněji. Podstatou posledně jmenovaného typu útoku je průnik do podnikové sítě a zašifrování důležitých souborů, typicky databází či jiných dat, nezbytných pro každodenní provoz firmy. Útočník následně požaduje výkupné, zaplacené v nevystopovatelné kryptoměně, aby soubory opět dešifroval.

Analýzy výrobců bezpečnostního softwaru a zálohovacích řešení uvádějí, že podniky, které výkupné zaplatí a dešifrovací klíč od útočníka skutečně obdrží, musí stejně v průměru do obnovy svých dat investovat více peněz a úsilí než firmy, které od počátku pracovaly na obnově dat vlastními silami a s útočníky nijak nevyjednávaly. Vždy jde však o cenu a podstatu zašifrovaných dat.

Zálohování a pečlivá kontrola sítě

Ve světě původců kybernetických útoků se značně liší typy útočníků a také cíle, které sledují. Na jedné straně na internetu operují začátečníci, kteří pro svoje útoky používají připravené typy ransomwaru, snadno ovladatelné prostřednictvím klikacích nabídek – podobně jako běžný software. Tito útočníci si pronajmou ransomware „jako službu“ a provádějí plošné útoky na menší cíle. Na špičkové úrovni pak pracují nejsofistikovanější kyberzločinci, kteří neustále mění a zdokonalují své taktiky, jak napadnout nejhodnotnější cíle a získat výkupné v řádu milionů dolarů.

Trendem posledních měsíců je tzv. sekundární vydírání. Jde o útok, při kterém kyberzločinci ještě předtím, než důležitá firemní data zašifrují, odcizí z podnikových serverů a pracovních stanic citlivé a důvěrné soubory a následně hrozí jejich zveřejněním, jestliže firma nezaplatí požadované výkupné. Tyto pokročilé typy útoků často povyšují kybernetické zločiny na úroveň „běžného podnikání“, kdy napadené firmě předají kontakt na „call centrum“, které sdělí informace o odcizených datech, jako důkaz předvede jejich vzorek a sdělí zástupcům napadené firmy údaje nezbytné pro zaplacení výkupného. I v případě zaplacení výkupného si útočníci odcizená data obvykle ponechají a nabídnou je k prodeji za nejvyšší nabídku.

Kyberútočníci s oblibou zneužívají různá témata, kterými aktuálně žije celý internet. Opakují se například útoky spojené s „neodolatelnými nabídkami“ na Black Friday výprodeje a během celého roku 2020 také útoky zneužívající téma Covid-19.

Boj proti ransomwaru je extrémně složitý – už kvůli neustálým změnám taktiky a způsobů proniknutí do podnikové sítě. Zkušení útočníci navíc do sítě proniknou zcela nepozorovaně a pak zde nějakou dobu skrytě působí, aby odhalili nejcennější zdroje dat, která následně odcizí a na podnikových serverech zašifrují. Samotný útok může začít velmi nenápadně, například prostřednictvím podvrženého e-mailu se škodlivým obsahem, a fáze šifrování se spustí třeba až po několika dnech a v době mimo běžnou provozní dobu kanceláře, kdy nikdo nemusí zaznamenat zvýšenou zátěž serverů způsobenou masivním šifrováním dat.

Významná část zdokumentovaných útoků ransomware začala se šifrováním v pátek večer. Zajímavý je fakt, že útočníci ani nemusí vědět, ve kterém časovém pásmu útočí – akce jsou natolik propracované, že načasování na zmíněný pátek večer si útočnický kód sám nastaví podle systémového času napadeného stroje. Jak se tedy před ransomwarem účinně bránit?

Záloha jako ochrana

Ze samotné podstaty ransomwarových útoků je zřejmé, že klíčem k rychlé obnově běžného provozu v případě úspěšného napadení ransomwarem je dostupnost aktuálních záloh. To samé si ale samozřejmě uvědomují i útočníci, takže současné typy ransomwaru vyhledávají v síti i záložní data, aby jejich likvidací nebo zašifrováním rychlou obnovu znemožnily. Firmy by proto při zálohování měly dodržovat osvědčené pravidlo 3-2-1, tedy mít nejméně 3 kopie dat, uložené na 2 různých typech datových nosičů s alespoň 1 zálohou umístěnou mimo podnikovou síť, aby byla pro případného útočníka nedostupná.

Samotné zálohování sice umožní obnovu napadených dat bez vyjednávání s útočníkem a zaplacení výkupného, ale proces obnovy může trvat velmi dlouho. Každá hodina nucené odstávky kvůli úspěšnému napadení podnikové sítě firmu stojí mnoho peněz a poškozuje její dobrou pověst. Spolehlivý a bezpečný plán zálohování navíc neposkytuje ochranu před zmíněným sekundárním vydíráním na základě odcizení citlivých dat. Proto dodavatelé bezpečnostních řešení důrazně doporučují nasadit šifrování všude tam, kde je to možné. Odcizení zašifrovaných dat totiž pro kyberútočníka neznamená žádnou výhru.

Dalším důležitým prvkem ochrany, nejen před útoky ransomwaru, je nepřetržitý monitoring sítě s detekcí útoků a anomálií. Podniky musí také pečlivě prozkoumat a vyšetřit každý kyberbezpečnostní incident. Velmi častou chybou v případě detekce napadení škodlivým softwarem je falešný pocit bezpečí, když se napadené zařízení jednoduše vyčistí a kompletně přeinstaluje. Zachycený vzorek škodlivého softwaru na bezvýznamném zařízení totiž může být falešnou stopou, odvádějící pozornost od útoku, který se už hluboce zakořenil v podnikové síti.

Stěžejní je ošetření typických slabých míst, jejichž zneužitím útočníci do sítě nejčastěji pronikají. Vzhledem k aktuální situaci je z bezpečnostního hlediska velmi problematický jakýkoli vzdálený přístup do podnikové sítě, který není zabezpečen na maximální možné úrovni. Všeobecně známá jsou bezpečnostní rizika spojená se vzdáleným přístupem přes RDP (Remote Desktop Protocol) a nedostatečně zabezpečené VPN sítě.

Kromě zálohování dat a nasazení spolehlivých bezpečnostních řešení je naprosto klíčové proškolit všechny zaměstnance o kybernetických rizicích, typech útoků a jejich průvodních znacích. Jakkoli jsou zaměstnanci slabým článkem ochrany sítě, jelikož často svým neopatrným jednáním vpustí škodlivý software a útočníka do sítě, jsou zároveň součástí první linie obrany, když upozorní na jakoukoli nestandardní situaci.

Obrana před dalšími typy útoků

Další typy vnějších kybernetických hrozeb možná nejsou tak zákeřné jako ransomware, ale to neznamená, že by je bylo radno podceňovat. Značné problémy mohou podnikům způsobit DDoS (Distributed Denial of Service) útoky, kdy se útočníci se snaží zahltit firemní síť nebo stránky obrovským množstvím požadavků, aby je znepřístupnili ostatním uživatelům. DDoS útoky je nutné rychle detekovat a pak je odvrátit blokováním útočníků – jako to umí služba O2 AntiDDoS, která dokáže zabránit citelným finančním škodám a poškození reputace značky v očích zákazníků.

Prostředí kybernetických hrozeb je velmi komplikované a pro správce IT v běžných firmách je prakticky nemožné obsáhnout všechny typy aktuálních hrozeb. Právě proto roste poptávka po službách jako je O2 Security Expert Center, které nepřetržitě v reálném čase monitorují veškerou IT infrastrukturu a pomáhají eliminovat rizika spojená s kybernetickými hrozbami, stejně jako se ztrátou, zneužitím nebo zcizením dat a informací. Účinně si tak poradí s většinou aktuálních hrozeb, jako je typicky výše zmiňovaný phishing i ransomware.

Detekce útoků s využitím umělé inteligence

Situace mezi kyberútočníky a bezpečnostními experty může připomínat hru kočky s myší. Neustále má někdo navrch, ale jsou to především kyberzločinci, kdo nejčastěji určuje pravidla hry. Ale ani lovci hrozeb nejsou bezbranní. Velmi zajímavou oblastí vývoje bezpečnostních technologií je využití strojového učení a umělé inteligence při detekci neznámých hrozeb.

Systém detekce hrozeb vybavený technologií umělé inteligence dokáže v reálném čase analyzovat obrovské množství dat a zjišťovat v nich jakoukoli anomálii oproti běžnému provozu, která by mohla znamenat počínající nebo již probíhající útok. Technologie strojového učení rychle pochytí vzorce běžného chování uživatelů, parametry datových přenosů nebo styl práce konkrétních aplikací. Bezpečnostní řešení analyzuje odchylky od běžného stavu sítě a v případě podezření okamžitě zareaguje.

Oblast kybernetického zabezpečení je tak rozsáhlá a neustále se měnící, že není v silách (personálních ani finančních) menších a středně velkých firem řešit kvalitní zabezpečení sítě v rámci vlastního IT oddělení. Proto firmy stále častěji využívají řízené služby v oblasti kyberbezpečnosti, poskytované specializovanými společnostmi, jako například O2 Security Expert Center.

Podstatnou část běžných typů útoků umí technologie umělé inteligence detekovat a zastavit zcela automaticky, a v případech, kdy nedojde k jednoznačnému závěru, si vyžádá zásah bezpečnostních expertů. Bohužel, analýzu velkých dat a technologii umělé inteligence pro vytváření stále sofistikovanějších útoků už převzali do svého arzenálu i kyberzločinci. Je proto nutné věnovat zabezpečení svých dat trvalou pozornost při využití nejmodernějších nástrojů.

Více informací o ochraně IT infrastruktury před kybernetickými hrozbami v reálném čase najdete na stránkách O2 Security Expert Center.


Telekomunikační a IT služby O₂ pro zabezpečení firmy: Cloudová řešení pro firmu Zabezpečený a zálohovaný O₂ Internet Business O₂ Next Generation Firewall O₂ GDPR O₂ AntiDDoS O₂ Office 365 O₂ Hromadné rozesílání SMS a MMS Internet věcí – IoT


Služby O₂v oblasti kyberbezpečnosti: Proaktivní zjišťování hrozeb. Shoda se zákonem o kybernetické bezpečnosti. Kompletní služby pro kybernetickou bezpečnost od konzultací přes testy až po nepřetržitý dohled a škálování provozu. Sdílená odpovědnost za zabezpečení u cloudových služeb. Zajištění kyberbezpečnosti datových center poskytujících hostingové služby. Bezpečné zálohování dat pro rychlou obnovu v případě útoku ransomwaru.