Útočníci se mohou schovávat i tam, kde bychom to nečekali...

...říká Simona Buchovecká, ICT Security Consultant ve společnosti Sefira.

Útočníci se mohou schovávat i tam, kde bychom to nečekali...


CIO Business World: Jak hodnotíte vývoj v oblasti bezpečnosti v minulém období? Jaký čekáte vývoj?

Simona Buchovecká: V posledním roce bezpečnostním světem otřásly zranitelnosti v široce používané knihovně OpenSSL (HeartBleed) a v Unix Bash Shell (Shellshock). K výraznému vzestupu došlo i v oblasti šíření mobilního malware, a to nejenom pro zařízení s OS Android, ale viděli jsme i úspěšné pokusy o zneužití zařízení s iOS (masque attack). Velká část kódu aplikací je dnes totiž založená na knihovnách a opakovaně používaném kódu a pro útočníky je tak velmi efektivní hledat (a zneužívat) chyby v knihovnách a aplikacích, které jsou masivně využívané. Proto se dá očekávat, že se podobné události budou opakovat i v budoucnosti. V neposlední řadě pak roste komplexita útoků, útočníci využívají sofistikovaných tzv. evasion technik, aby si zajistili, že zůstanou co nejdéle nepovšimnutí. Útočníci se mohou schovávat i tam, kde bychom to nečekali. Zajímavým příkladem je odhalení z poslední doby, kdy hackerská skupina umisťovala pokyny pro malware do běžných komentářů Microsoft TechNet fóra, bez toho aniž by jakkoliv narušila zabezpečení fóra. Když uživatel portál TechNetu navštívil, malware speciální komentáře detekoval, a interpretoval pokyny.

Která rizika budou znamenat největší nebezpečí pro podniky a instituce, resp. pro soukromé uživatele?

Pro soukromé uživatele zůstane dle našeho názoru největší hrozbou masově šířený malware zaměřený na získávání autentizačních a autorizačních údajů k internetovému bankovnictví. Pro podniky a instituce pak začnou být stále větší hrozbou cílené útoky namířené na získání citlivých dat. Ty jsou vytvořeny na míru konkrétní organizace se znalostí její sady bezpečnostních kontrol a opatření a jsou tak mnohem efektivnější, než masově šířený "komoditní" malware.

Na jaký typ dat či informací se - podle vašich zkušeností – soustředí bezpečnostní útoky? Spekuluje se, že pro kyberzločince jsou citlivá firemní/osobní data zajímavější než finanční prostředky.

Pro kyberzločince jsou zajímavé obě oblasti. Ve firemní sféře určitě převládá zájem o interní firemní data a pokusy o průmyslovou špionáž. Na tuto oblast cílí i v poslední době často skloňované APT útoky. Ty mají za cíl zůstat co nejdéle nepovšimnuté, aby útočníci mohli získat co nejvíc dat. U soukromých osob a domácích uživatelů vede zájem o finanční prostředky. To potvrzuje i výskyt malware v poslední době. Většina malware, která se šířila prostřednictvím spamových kampaní za poslední půlrok, cílila na internetová bankovnictví nebo se snažila od obětí získat finanční prostředky jiným způsobem (např. se útočníci snažili prodat klíče k datům zašifrovaným cryptolockerem). Pokud se podíváme na segment mobilního malware, je téměř výlučně zaměřený na získání autentizačních a autorizačních dat k finančním službám a službám internetového bankovnictví.

Mění se (roste) v České republice ohrožení institucionální sféry, popř. zaznamenali jste již případy ohrožení kritické infrastruktury? Uvědomují si podniky a instituce, jaké nové hrozby je čekají v souvislosti s širším uplatňováním mobility zaměstnanců?

Organizace si jen pomalu začínají uvědomovat nová rizika související se zvýšenou mobilitou zaměstnanců a s ní souvisejícím trendem BYOD. Zařízení zaměstnanců a hlavně interní dokumenty a další obsah najednou opouští zabezpečený perimetr interní sítě. Je tak nutné si uvědomit, že BYOD zařízení nemají stejnou úroveň zabezpečení jako firemní zařízení a často používají „nezáplatované“ aplikace se známými zranitelnostmi. Pokud je takové zařízení používáno pro vzdálený přístup k firemní infrastruktuře mají útočníci ulehčenou cestu k cíli.

Domníváte se, že je v IT rozpočtech firem a institucí vyčleněna dostatečná kapitola na bezpečnost? Pokud ne, které aspekty se nejčastěji podceňují? Dá se zobecnit či odhadnout, jak velká částka (percentuelně z výdajů na IT) je přiměřená?

Výše výdajů na informační bezpečnost by se mimo jiné měla odvíjet od analýzy rizik a regulatorních požadavků, které konkrétní organizace musí splňovat. Obecně je dle mého názoru rozumné uvažovat náklady v rozmezí 15-25% z celkových výdajů na IT.

Obecně vždy hrozí vyzrazení firemních dat ze strany zaměstnanců (ať již cíleně, či náhodně). Cítíte, že se firmy v poslední době více zajímají o ochranu proti úniku dat? Jakým způsobem? Roste zájem o šifrování dat na mobilních zařízeních, která jsou zvýšeným způsobem ohrožena odcizením?

Prakticky všichni naši zákazníci, kteří mají zájem o zavedení nástroje pro správu a zabezpečení mobilních zařízení, se zajímají i o šifrování dat. Samozřejmostí je zabezpečení firemních dat uložených v zařízení, ale i dat přenášených mezi interní infrastrukturou a samotným mobilním zařízením. Šifrování soukromých dat je pak ponecháno na rozhodnutí uživatele konkrétního zařízení.

Mluví se sice hodně o kyberbezpečnosti, ale jak se vyvíjí fyzická ochrana IT infrastruktury?

V oblasti autentizace a řízení přístupu, které se aktivně věnujeme, dochází k sjednocování fyzického a logického přístupu za využití tzv. hybridních karet, které obsahují jak kontaktní, tak i bezkontaktní část. Uživateli pak stačí pro veškeré přístupy jediná karta - kontaktní část obsahuje certifikát pro autentizaci k informačním systémům a aplikacím, bezkontaktní část pak poslouží pro fyzický přístup do budov a zabezpečených místností. Zajímavý je i trend z poslední doby, kde samotná karta může být nahrazena mobilním telefonem s technologií NFC.


Úvodní foto: Sefira




Komentáře