Základní premisa kybernetického útoku je, že útočí roboti. V některých případech jsou akce robotů řízené člověkem. Říká se, že benešovskou nemocnici nikdo nekontaktoval s požadavkem na zaplacení výpalného za dešifrování dat. Pokud by akci řídil člověk, určitě by si o výpalné řekl. Zdá se tedy, že v Benešově šlo jen o robota utrženého ze řetězu.
Akce útočníků, „druhé strany“, ať už robotů nebo lidí, jsou zasazeny do obecného scénáře – takzvaného kill chain, řetězce posloupnosti událostí, zapojených do vnějšího útoku na IT prostředí organizace. Právě porozumění modelu řetězce kybernetických útoků může významně pomoci při omezování útoku v různých stádiích. Například v případě ransomware předchází samotnému šifrování dat celá řada aktivit, které je možné rozpoznat a odpovídající akcí zastavit celý útok. Dá se říct, že jde o souboj našich strojů s jejich roboty. Pokud správně nasadíme odpovídající stroje, zastavíme roboty už na začátku.
Infobox: Ryuk je typ ransomwaru známého pro cílení na velké kybernetické systémy s veřejnou entitou. Obvykle šifruje data v infikovaném systému, čímž je znepřístupňuje, dokud není výkupné zaplaceno v nevystopovatelných bitcoinech. |
Když do Googlu napíšete Benešov, našeptávač nabízí doplnit zadání o Ryuk. Ukážeme si tedy na „populárním“ příkladu ransomware Ryuk, kdy a jak se dá takový útok poznat a zastavit.
Ryuk v tom často nebývá sám a pro přípravu prostředí používá botnet Emotet v kombinaci s malwarem Trickbot. Emotet využívá pro své šíření phishingové e-maily, v jejichž příloze bývá dokument s makrem. Pokud je takový soubor otevřen i s makrem, je spuštěn PowerShell. Tento nástroj pro správu systému stáhne kód Emotet. V tu chvíli se tento kód začne „zabydlovat“ – opakovaně se pokouší šířit na různá místa systému, čímž se snaží předejít eliminaci. Dalším úkolem Emotetu je stáhnout do napadeného systému „šikovného brášku“ Trickbot. Ten si zajistí ochranu „vypnutím antiviru“. Dál se uvnitř systémů stará o pokračování rodu sběrem kontaktů, na které pak půjde další phishing. Šíří se po síti, krade přihlašovací údaje… a nakonec se získanými vhodnými přihlašovacími údaji vyšle ransomware Ryuk šifrovat data.
zdroj: microsoft.com/security/blog/
Účinná obrana může mít řadu forem. Podstatný je proaktivní přístup a z toho plynoucí vícevrstvost bezpečnostního řešení.
- První musí být prevence. Je nutné mít všude PowerShell? Jsou uživatelé školeni a poučeni, jak pracovat s ICT, tedy neklikají na vše bez omezení, mají ponětí o nebezpečných souborech?
– Máme zákaznické řešení na bezpečnostní školení uživatelů ICT.
- Reakčních vrstev by mělo být víc. AntiSPAM pozná nevyžádaný e-mail, a ten se tak nedostane k uživateli. Pokud v síti začne komunikovat nová, do té doby neznámá služba, a navíc mluví s kompromitovanými komunikačními partnery, dá se této komunikaci zcela zamezit nebo ji spustit až po ověření legitimnosti. Pokud je síť správně nastavena, segmentace omezuje možnosti šíření zmíněné nákazy.
– O2 Antispam kontroluje a řídí provoz e-mailové domény, případně jde využít službu O2 NGFW (Next generation Firewall), která kontroluje a řídí provoz z internetu, navíc umí vyřešit segmentaci či poskytnout jiné akce pro zajištění bezpečnosti.
- Aktivity po útoku vedoucí k obnově legitimního provozu organizace určitě využijí zálohy, které jsou spustitelné a neobsahují v sobě žádné části škodlivého kódu. Určitě i zde, stejně jako v předchozím bodě, je dobré dosáhnout vysoké míry automatizace. Řešení strojem poskytne čas a klid pro další rozhodování a eliminuje možnost lidské chyby vzniklé pod vysokým tlakem situace a okolí.
– Zde jsou k dispozici mnohovrstevné služby O2 cloud, O2 zálohování, Fidelis z O2 SEC a řada dalších.
- Aktivity po útoku určitě musejí zahrnovat vyhodnocování záznamů/logů. Poučení z minulých chyb nás ochrání před jejich opakováním v budoucnu.
– O2 SEC (Security Expert Centre) sbírá a vyhodnocuje logy. Analýza logů slouží nejen k ex post poznání, ale i k detekci přípravných akcí „druhé strany“ před vlastním kybernetickým útokem.
Zmíněné O2 produkty tradičně nabízíme formou služby. To naši partneři ocení nejen z důvodu nízkého zatížení rozpočtu, ale i díky možnosti využití profesionálních služeb, jak při nasazení, tak i během provozu. Ti, kteří si nebyli jistí možností nasazení služby v prostředí jejich sítě, využili variantu PoC (proof of concept), kdy se zanedbatelnými náklady zjistili, o jak efektivní řešení v jejich konkrétním případě jde. V případě zájmu jsme připraveni řešení dodávat i formou on-premise, a to jak na půdorysu O2 produktů, tak i s využitím řady dalších nástrojů. |
Protože výše uvedený příklad je jen jedním z řady možných, navrhujeme se sejít a společně probrat ideální řešení pro vaše bezpečné ICT.
S digitalizací vám poradíme
Ivo Kubíček, business development manager – security
V oblasti ICT se Ivo pohybuje už čtvrt století. Od původního fyzického budování sítí a stavby PC se posunul k designu infrastrukturních prvků. Architektonické, předprodejní i prodejní aktivity od širokého záběru (PC, ntb, servery, UPS, sítě) začal na přelomu století více orientovat na sítě a bezpečnost. Svou znalostní bázi podpořil studiem na Cisco Academii, stejně tak jako získáním řady certifikací. V minulém zaměstnání na pozici produktového specialisty řešil sítě a jejich bezpečnost se širokým portfoliem zákazníků (od různě velkých ISP, přes státní organizace až k firmám a korporacím). Aktuální práce v O2 kompetenčním centru bezpečnosti ICT mu dává další nové podněty. Vždy se snaží být při řešení úkolů efektivní, což často znamená nečekanou, ale funkční kombinaci různých nástrojů. Tyto inovativní pohledy mají určitě své kořeny v jeho zálibě v „bastlení“, zájmu o moderní technologie a touze pomoct, jak nejlíp to jde.