Prostredie kybernetických hrozieb prešlo v roku 2019 mnohými zmenami. Pochopenie týchto trendov je dôležité, aby sme mohli predvídať, čo sa bude diať a mohli sa na to čo najlepšie pripraviť. Aké sú hlavné zmeny v kybernetických hrozbách, ku ktorým došlo minulý rok a ktoré budú mať vplyv na kybernetickú bezpečnosť v roku 2020?
Ransomware-oví útočníci pritvrdia
Ransomware je typ malware, ktorého primárnou úlohou je prinášať zisk útočníkovi pomocou výkupného, ktoré je žiadané po zašifrovaní uložených dát. Pre útočníkov je omnoho jednoduchšie zmeniť podobu malwaru ako zmeniť jeho správanie. Preto sa moderný ransomware spolieha na malé modifikácie, ktoré nezmenia jeho správanie ale táto zmena môže narobiť veľké problémy antimalware programom pri detekcii ransomware. Ransomware v roku pritvrdí, keď zmení alebo pridá zvláštne rysy, aby zmiatol niektoré ochrany proti ransomware.
Ransomware bude i naďalej hlavným hráčom v oblasti hrozieb, pokiaľ budú jeho obete jednoducho identifikovateľné. Preto je životne dôležité nasadiť robustné bezpečnostné mechanizmy, monitoring a nástroje na reakciu, pokrývajúce všetky koncové body, siete a systémy a inštalovať softwarové aktualizácie hneď, ako budú uvoľnené.
Drobná chyba, veľký problém
Cloudové služby stále naberajú na popularite. Jeho hlavným prínosom je flexibilita, takže aj s malým úsilím je možné aktivovať a vypínať zdroje podľa potreby a tak škálovať výpočtový výkon. Keď ale dôjde na zabezpečenie cloudu, môže práve flexibilita a jednoduchosť spôsobiť problémy. Najväčšou zraniteľnosťou cloud computingu je jeho nesprávna konfigurácia. Tak, ako sa cloudové systémy stávajú zložitejšími a flexibilnejšími, rastie aj riziko chýb ich prevádzkovateľov. Spolu so všeobecnou neprehľadnosťou to z prostredia cloud computingu robí jasný cieľ pre kybernetických útočníkov. Ochrana dát uložených v cloude vyžaduje odlišné nástroje, pretože sa i model hrozieb veľmi líši od útokov na pracovné stanice alebo servery. Je dôležité, aby organizácie prehodnotili svoje stratégie pre cloud a mysleli pritom hlavne na zabezpečenie.
Používatelia verejných cloudových služieb môžu využiť na sledovanie toho, čo sa im deje v cloude službu CASB (Cloud Access Security Broker). Ide o služby, ktoré na prístup do verejných cloudov využívajú sprístupnené API (Application Programming Interface) a pomocou neho získavajú a vyhodnocujú akcie vykonávané v cloude. Pomocou týchto služieb je možné kontrolovať napríklad prácu s citlivými dátami v cloude, pokusy útočníkov o prístup ku cloudovým službám či odhaliť chybné nastavenia v cloude, napríklad verejné zdieľanie citlivých súborov.
Pokusy o prekonanie strojového učenia
Kyberzločinci sa budú pokúšať narušiť detekčné modely využívajúce strojové učenie, ktoré sa stalo základnou súčasťou väčšiny stratégií kybernetickej bezpečnosti moderných organizácií. Kyberzločinci si uvedomujú, že sú tieto nástroje používané pre odvracanie ich útokov, preto sa v reakcii na to zamerajú na pokusy vyhnúť sa alebo oslabiť bezpečnostné systémy využívajúce strojové učenie. Očakáva sa snaha kyberzločincov o oklamanie detekcie využívajúcej strojové učenie a klasifikačné modely. Dokonca budú využívať strojové učenie pre generovanie vysoko presvedčivého falošného obsahu pre útoky postavené na sociálnom inžinierstve.
Okrem využitia prevencie a ochrany k zastaveniu útokov, kým k nim dôjde, sa podnikom odporúča zaujať viacvrstvový prístup k zabezpečeniu. Kombináciou ľudských lovcov hrozieb s poprednými preverenými prieskumami hrozieb a technológiami ako je hlboké učenie, môžu organizácie rýchlejšie detegovať a potlačiť aj tie najsofistikovanejšie hrozby, aby minimalizovali ich dopady a náklady.
Útoky na IoT
Počet „smart“ zariadení v domácnostiach a v organizáciách, ktoré sú pripojené na internet, každým rokom narastá. Problémom je to, že nie všetky tieto zariadenia boli navrhnuté s ohľadom na bezpečnosť a často sa stáva, že objavené bezpečnostné zraniteľnosti v týchto zariadeniach nie sú zo strany výrobcu opravené. Preto môžu byť tieto zariadenia využité zo strany útočníka ako vstupný bod pri útoku na iné zariadenia v sieti.
Dôležitým prístupom v predchádzaní útokov cez IoT je kompletný zoznam všetkých IoT zariadení v organizácii, ktoré sú pripojené na internet a ich pravidelná aktualizácia. Taktiež je potrebné pravidelné zisťovanie zraniteľností na týchto zariadeniach pomocou nástrojov, ktoré sú na to určené.
Pozor na 5G
5G bude najdôležitejšia prevratná technológia, ktorá ovplyvní prostredie kybernetických hrozieb. Sľubuje totiž prepojenie takmer všetkých aspektov života prostredníctvom siete ale súčasne prinesie i zásadné bezpečnostné riziká s novými potenciálnymi vstupnými bodmi, ktoré vystavia organizácie novým typom útokov. Zatiaľ čo 5G prichádza s ohromnými prísľubmi, prepracovanie našich základných sietí otvorí Pandorinu skrinku kvôli zavedeniu rádiových frekvencií, ktoré doteraz neboli prístupné. 5G zariadenia prinesú vstavané rádiá, ktoré už nebudú vyžadovať komunikáciu s korporátnymi sieťami. Preto bude veľmi ťažké identifikovať hrozby a kompromitované zariadenia.
Ešte nikdy nebolo pre produkty kybernetickej bezpečnosti dôležitejšie spolupracovať ako systém. Organizácie budú potrebovať viacvrstvový prístup k zabezpečeniu, kedy sa produkty prepoja a budú zdieľať použiteľné informácie. Synchronizovaný prístup k zabezpečeniu vytvára mosty umožňujúce produktom pracovať spoločne silnejšie, než by dokázali samy o sebe.
MSP bezpečnostnými poradcami
Poskytovatelia riadených služieb – Managed Service Providers sa stanú bezpečnostnými poradcami. Na dnešnom preplnenom trhu je pre poskytovateľov riadených služieb dôležité, aby sa ešte viac usilovali o to, stať sa erudovanými bezpečnostnými poradcami. Dôležité je udržať krok s rýchlo sa rozvíjajúcim prostredím hrozieb a dostupnými bezpečnostnými riešeniami, ktoré im zaistia bezpečnosť, ale aj aby boli títo MSP vyškolení pre poskytovanie správnych zdrojov svojim zákazníkom, aby mohli skutočne využiť prínosy tejto príležitosti.
Poskytovatelia riadených služieb musia interne tiež vykonať kroky k zabezpečeniu ich vlastného prostredia, pretože sa stávajú lákavým cieľom pre kyberzločincov. Poskytovateľom riadených služieb sa odporúča využívať dvojfaktorové overovanie a aby sa uistili, že ochránili svoju sieť viacvrstvovým zabezpečením tak, aby sami seba chránili pred nechcenými hrozbami.
DATALAN a jeho riešenia
Bezpečnosť systémov a informácií postupne naberá na dôležitosti nielen zvyšujúcim sa počtom útokov na bezpečnosť a zvyšujúcim sa počtom únikov informácií, ale aj prijímaním legislatívnych nariadení, ktoré sprísňujú narábanie s informáciami. GDPR, Zákon o informačných systémoch vo verejnej správe či Zákon o kybernetickej bezpečnosti – všetky tieto zákony sprísňujú narábanie s informáciami a kladú dôraz na bezpečnostné aspekty zbierania, spracovávania a uchovávania informácií.
DATALAN na tieto aktuálne otázky bezpečnosti reaguje rozširovaním svojho portfólia ponúkaných riešení v oblasti bezpečnosti. Všetky tieto riešenia vieme dodať a vieme aj prebrať kompletnú správu a monitoring nad týmito riešeniami, takže zákazník dostane správu bezpečnosti svojho IT ako službu.
Ochrana perimetra – Perimeter Protection
Perimeter siete predstavuje oddelenie a prvú ochranu lokálnej siete od verejnej. Taktiež sú tieto firewally využívané ako vstupné brány pre nadväzovanie VPN spojení. Ochrana perimetra je nutná ale nie postačujúca podmienka bezpečnosti lokálnej siete voči vonkajším hrozbám a útokom.
Staršie perimetrové firewally poskytovali hlavne služby na úrovni L3/L4. To znamená, že rozhodovanie o povolení, resp. zakázaní prenosov cez firewall bolo robené na základe tzv. portových čísiel, ktoré boli určené na rozlišovanie jednotlivých typov dát. V poslednej dobe s nástupom šifrovaných prenosov už toto rozhodovanie na základe portových čísiel nie je dostatočné, preto nastúpili tzv. Next Generation Firewally, ktoré úž pokrývajú viaceré bezpečnostné funkcionality. Bezpečnosť je zabezpečená až na aplikačnej úrovni, kedy firewally robia svoje rozhodnutia na základe obsahu komunikácie a nie na základe čísiel portov. Na firewalloch je taktiež možné riešiť antivírusovú ochranu a taktiež ochranu pred rôznymi typmi útokov pomocou IPS (Intrusion Prevention System).
Ochrana koncových bodov – End Point Protection
V mnohých prípadoch útokov typu ransomware už nepostačujú klasické antivírové programy, ktoré majú hlavne problémy s detegovaním tzv. „zero day“ ohrození, kedy ešte nie sú známe signatúry pre tieto ohrozenia. V dnešnej dobe musí byť ochrana koncových zariadení komplexná a musí pokrývať oveľa širšie pole bezpečnosti. S postupným nástupom šifrovanej komunikácie sa objavujú aj ďalšie problémy s bezpečnosťou komunikácie. Zaužívané blokovanie komunikácie na perimetrových firewalloch alebo na proxy serveroch nemusí byť účinné, nakoľko komunikácia je šifrovaná a tieto prvky nemajú prístup k obsahu komunikácie, na základe ktorého by mohli rozhodnúť, či sa jedná o bezpečnú a povolenú komunikáciu. Preto je odporúčané preniesť na koncové body aj kontrolu a obmedzovanie prenášaných typov údajov, tzv. „content protection“. Sofistikovanejšie systémy na ochranu koncových bodov dokážu robiť aj inventarizáciu nainštalovaného softvéru a podľa nainštalovanej verzie vedia určiť, či ide o zastaranú verziu s bezpečnostnými zraniteľnosťami.
Zisťovanie zraniteľností – Vulnerability assesment
Zisťovanie zraniteľností a penetračné testy predstavujú testovanie bezpečnosti informačného systému prostredníctvom nástrojov a postupov, ktoré sú bežne využívané hackermi cielene napádajúcimi dostupné informačné systémy. Testovanie môže byť vykonávané buď z pohľadu vonkajšieho alebo interného útočníka. V prípade odhaľovania vonkajších zraniteľností sú na známe zraniteľnosti kontrolované služby zákazníka, ktoré sú prístupné na jeho verejných IP adresách z Internetu. Ide o kontrolu úrovne zabezpečenia elektronických služieb, ktoré sú poskytované v prostredí internetu. Pomocou interného zisťovania zraniteľností sa detegujú a identifikujú vnútorné zraniteľnosti, ktoré sú útočníkom prístupné, ak sa nachádzajú priamo vo vnútornej sieti zákazníka, alebo sa do tejto siete dokážu dostať vzdialene po prekonaní perimetrových ochrán. Testy sú vykonávané pomocou automatických nástrojov na zisťovanie zraniteľností. Následne sú nájdené zraniteľnosti podrobené manuálnemu testovaniu – dodatočnému potvrdeniu nájdenej zraniteľnosti a o jej využití na preniknutie do systému. Počas testu sú preverené aj schopnosti bezpečnostných prvkov detegovať a zamedzovať pokusy o prienik do informačného systému.
Bezpečnosť citlivých dát
V súčasnej ére informácií, dáta sú „nerastným bohatstvom“ každej organizácie. Neustála a proaktívna ochrana dát pred všetkými hrozbami, vrátane externých i interných krádeží dát, zničením, znehodnotením a zneužitím dát, musí byť hlavnou prioritou každej organizácie. Ochrana dát nie je vecou jednoduchou, keďže množstvo dát a ich zdroje exponenciálne rastú. Riešenie na ochranu citlivých dát od Datalanu poskytuje neinvazijnú architektúru pre monitorovanie a audit práce užívateľov s rôznymi dátovými zdrojmi v reálnom čase a ako aj testy zraniteľnosti dátových zdrojov. Monitorovanými dátovými zdrojmi môžu byť všetky hlavné databázové platformy, platformy pre spracovanie neštrukturovaných dát alebo NoSQL databázy. Riešenie poskytuje komplexnú správu zabezpečenia dát, kontrolu prístupu užívatelľov k systému a dátam a aktívne prostriedky pre zabránenie zneužitia dát normálnými aj privilegovanými užívateľmi. Nezávislosť riešenia celkom zabrání akémukoľvek neoprávnenému manipulovaniu so záznamami auditov, prípadne obídeniu auditu. Riešenie umožňuje monitorovať 100 % dátových operácií vrátane lokálneho prístupu.
Bezpečnosť aplikácií
Niet pochýb, že aplikácie sú dôležité pre každú organizáciu. Výkonné, dostupné a funkčné aplikácie sú dnes už neodeliteľnou súčasťou každej organizácie. Od nich priamo závisí kvalita služieb a produktov, ktoré organizácia poskytuje. Prostredníctvom aplikácií zamestnanci i externisti pristupujú k doležitým dátam a iným hodnotám. Avšak bez správnej ochrany, práve aplikácie sa môžu stat cieľom pre zneužitie, ktoré môžu viesť k nežiadúcim únikom dôležitých informácií a dát. Hlavné hrozby, ktorým organizácie pri ochrane aplikácií čelia, sú prekonanie existujúcich bezpečnostných opatrení automatizovanými útokmi či robotmi, krádež dát a prístupových práv k používateľským kontám nežiaducimi softvérmi a keylogermi či útoky cez aplikácie, ktoré obídu bezpečnostné riešenia založené na reputácii a signatúrach. Riešenie na ochranu aplikácií od DATALANu zabezpečí ochranu Web aplikácií pred zraniteľnosťami a web útokmi, identifikuje a likviduje automatizované útoky ešte predtým než zapríčinia škodu a vďaka strojovému učeniu identifikuje a likviduje útoky s vysokou úrovňou presnosti.
Bezpečnosť ako služba
Firmy a organizácie sú k venovaniu sa bezpečnosti tlačené stále silnejšou bezpečnostnou legislatívou ale i rastúcou digitalizáciou. Vedie to k väčšej otvorenosti a tým aj k väčšej ohrozenosti. Spoločnosti zavádzajú legislatívne zmeny ohľadom bezpečnosti, ktoré definujú základné normy na zabezpečenie organizácie v oblasti informačných technológií. Vyžaduje to nemalé investície do technológií, nastavenia procesov a ľudských zdrojov. V súčasnosti však nájsť bezpečnostného technika nie je jednoduché ani lacné. Preto DATALAN ponúka riešenie „Bezpečnosť ako služba“. Znamená to delegovanie starostlivosti o bezpečnosť svojej infraštruktúry na DATALAN. Jednoducho zveríte ochranu svojho IT do rúk DATALANu a jeho expertom a budete platiť iba za službu t.j. za to, že sa niekto stará o vašu bezpečnosť .
Súlad s bezpečnostnou legislatívou
V posledných rokoch nadobudli účinnosť na Slovensku kľúčové zákony, ktoré definujú základné normy kybernetickej bezpečnosti:
- Zákon o ochrane osobných údajov – č. 18/2018 Z. z.
- Zákon o kybernetickej bezpečnosti – č. 69/2018 Z. z.
- Zákon o informačných technológiách vo verejnej správe č. 95/2019 Z. z.
DATALAN pre všetky organizácie ponúka riešenia na zabezpečenie súladu s uvedenými legislatívnymi zmenami a to z pohľadu metodiky i technologických riešení.