DRUHÝ DÍL

V předchozím díle jste viděli, jak a proč může kybernetický útok ohrozit nejen fungování organizace, ale i životy lidí.

První díl

Teď se podíváme za těmi, kteří s riziky počítají a na potíže se včas připravují.

 

Zisk pro kriminálníky je vaší ztrátou!

Igor V. je vedoucí IT odboru. Díky svým předchozím zkušenostem ví, že přijít o část dat a způsobit výpadek výroby a chaos v dodávkách odběratelům znamená nejen ztrátu části tržeb, ale i důvěryhodnosti dodavatele. Po svém předchůdci převzal jednoho provozního údržbáře, který umí poradit sekretářce pana generálního se zaseklou kopírkou a dámám v účtárně pravidelně zakládá papír do tiskárny. Při obnově servisní smlouvy se správcovsko- dodavatelskou firmou nechal nastavit pravidelné zálohování a dokonce i kontroly obnovy dat a systémů s doložením výsledku. Za vyjednanou slevou paušální platby za servis a zanedbatelně navýšeným rozpočtem nechal do sítě nainstalovat systém dohledu nad síťovým provozem a k němu služby bezpečnostního analytika od téhož dodavatele. Od toho okamžiku jasně viděl, co se v síti děje, kdy se připojilo jaké zařízení, s kým komunikovalo a jak dobře správci o jeho síť pečují. Když proběhlo několik drobných incidentů, správci dokonce upravili nastavení sítě podle jeho požadavků v rámci běžné údržby.

Igor byl zrovna na služební cestě, když na jeho mobilu pípla SMS, že jedna ze stanic skenuje celou síť a pokouší se připojovat na službu SMB. Za nějakou chvíli přišla další zpráva o jiné stanici. Igor už dále nečekal a volal údržbáře, ať těm strojům vytáhne kabel od sítě. Dokončil jednání a vydal se zpátky. Během hodiny naštěstí žádná další zpráva nepřišla. Když přijel zpět, zavolal firmě, spravující síť, a dohodl se s nimi na návštěvě na místě. Druhý den se dostavil technik. Při kontrole zjistil na obou počítačích vypnutou antivirovou službu. Sken souborů byl negativní, ale jeden z běžících procesů byl spuštěný z adresáře pro dočasné soubory. Po ohlášení výsledku testu Igor schválil reinstalaci. Technik oba stroje vypnul, založil USB klíče s obrazem systému, chráněné před zápisem, a spustil úplnou obnovu z obrazu. Po obnovení se stroje automaticky registrovaly do domény. Během reinstalace stanic technik rychle zkontroloval soubory sdílené ze serveru. Dva adresáře obsahovaly zakryptované soubory. Po obnovení ze snímku předchozího dne byly všechny škody napraveny.

Igor podepsal technikovi výkaz a usmál se, že ty dnešní dvě hodiny zvlášť hrazené práce se mu vyplatily. Kdyby se včas nedozvěděl, že se v jeho síti něco děje a nereagoval obratem, asi by přišel o data zakázek a výroby. Museli by zastavit expedici a na linkách by nevěděli, co mají vyrábět. A to by stálo každý den zhruba milion korun v tržbách. Jenže on byl zkrátka v předstihu připravený na incident, který očekával. Rozdělení sítě do segmentů, přísná politika omezení vzájemné komunikace strojů, instalace a konfigurace Mendela, který mu umožnil několikrát reklamovat chyby v nastavení sítě u správců, to vše se mu teď vrátilo i s úroky. Proti riziku několikadenní kompletní odstávky výroby a odbytu, spojené se smluvními pokutami od odběratelů a pracné instalace všech stanic, serverů, řídících systémů a celkové obnovy provozu se náklady a energie vložené do instalace a rozběhnutí dohledu vyplatily už během tohoto prvního incidentu.

Vám se něco takového nemůže stát. Máte ujištění dodavatelů a výrobců. Opravdu?

Tak to vezmeme po řadě. Každý software přichází s licenčním ujednáním, které kryje překážky v použitelnosti a vhodnosti pro konkrétní účel, chyby v úplnosti a správnosti řešení, shody se standardy a zvyklostmi (ano, Internet je ve skutečnosti řízen zvyklostmi), a omezením zodpovědnosti. Tak jako vy, stejný nebo podobný software ve svých počítačích, routerech, firewallech, přepojovačích, inteligentních televizorech, mobilních telefonech, IoT senzorech a dalších propojených zařízeních měli například i následující uživatelé:

  • Město Riviera Beach, Florida, US
    rok: červen 2019, náklady: 600 tis. USD výpalné + 900 tis. USD obnova
    doba zotavení: neuvedeno, důsledky: neuvedeno
    další info: ze 35 tisíc obyvatel je 22% pod hranicí chudoby, zanedbaná údržba a obnova IT infrastruktury, rada schválila zaplacení výpalného
  • Hliníkárny Norsk Hydro, NO
    rok: březen 2019, náklady: 40 mil. USD za týden výpadku výroby
    doba zotavení: déle než měsíc, důsledky: ztráty přes 70 mil. USD
    další info: zkáza přišla 2–3 týdny po průniku, LockerGoga je ničitelský ransomware
  • Krajská nemocnice v Benešově, CZ
    rok: prosinec 2019, náklady: neuvedeno
    doba zotavení: 6–8 týdnů, důsledky: ztráta přibližně 40 mil. korun
    další info: potvrzen útok ransomwaru Ryuk
  • Fakultní nemocnice Brno-Bohunice, CZ
    rok: březen 2020, náklady: neuvedeny
    doba zotavení: 2–4 týdny, důsledky: část pacientů rozvezena do okolních nemocnic
    další info: kryptovirus Defray otevírá cestu pomocí phishingové kampaně, útok lze považovat za cílený

A tak mohu pokračovat. Podle poznámky v sociální síti jeden dodavatel bezpečnostně — konzultantských služeb jen dnes aktivoval “plán reakce na kybernetický incident” celkem čtyřikrát. Tedy u čtyř svých zákazníků.

Dovolte mi připomenout, že základní otázkou kybernetické bezpečnosti není, jestli u vás dojde k incidentu. Základní otázkou je, kdy k němu dojde a jak závažné budou jeho důsledky.

Jste připraveni dostatečně, nepotřebujete žádné “kukátko” do sítě

Dnešní systémy pro pokročilý útok pracují v několika fázích. Každá fáze trvá nějakou dobu. Každý jednotlivý modul útočného komplexu se aktivně vyhýbá detekci na koncových stanicích a provozních ochranných prvcích. Pro některé prvky dokonce neexistuje doplňková instalovatelná ochrana ve formě antiviru. A integrovaná ochrana ve formě aktualizací softwaru rovněž. Ať už se škodlivému softwaru podaří vypnout obranné mechanismy na koncových počítačích, včetně antiviru, odhalit a obejít kontrolu sandboxu, či volně projít webovou pračkou, vždy se jeho stahování a aktivita projevuje v síťovém provozu. Právě proto jsou základní technická provozní opatření dnes nedostačující a bezpečnostní dohledová vrstva spojující monitoring, analýzu a viditelnost je nezbytnou součástí komplexní ochrany cíle, vaší počítačové sítě.

Vidět a nebýt viděn zní možná jako motto ze špionážního filmu či reklama na vojenskou techniku (pasivní radary), ale je to vlastně základní vlastnost naší NTA technologie. Čteme zrcadlo veškerého vašeho síťového provozu, žádným způsobem jej neovlivňujeme, nepůsobíme v něm žádná zpoždění či rušení. Nepotřebujete nikam (ani na servery, ani na koncové stanice) instalovat žádné naše agenty nebo konfigurovat zasílání událostí. Tak nejsme pro škodlivý software nijak viditelní. Jedinou akcí při instalaci je, že nás připojíte k aktvnímu prvku, svedete do našeho zařízení zrcadlo provozu a je to. A dokonce není třeba ani nic konfigurovat. Kopii provozu můžeme získat zcela pasivními odposlechovými prvky — TAP adaptéry. To je tedy ta část “nebýt viděn”.

A co ta část “vidět”? Stejně jednoduché – najednou uvidíte celou vaši infrastrukturu tak, jako by vám do ní někdo zapojil hodně kvalitní mikroskop. Uvidíte přes segmenty vaší sítě až na jednotlivá zařízení a v nich na jednotlivé služby. A protože není samozřejmě v lidských silách se tímto vším ručně prohrabávat, tak klidně nechte práci strojům – my vám ukážeme, co se kde děje, upozorníme na to, že se vyskytuje nějaká anomálie.

Kolega si vzal do práce nový tablet a připojil jej k firemní síti? Alert!

Proběhl nějaký pokus o průnik nebo šíření škodlivého softwaru uvnitř sítě? Alert!

A okamžitě to víte a a můžete s tím něco udělat. A díky včasné detekci ještě během přípravy na hlavní část útoku dostanete čas k vyřešení incidentu. Totéž platí o službách a všem dalším v nižší míře detailů.

Příště vám ukážeme, proč považujeme NTA za důležitou součást komplexních bezpečnostních opatření a jak s tím souvisí pandemie koronaviru.

Třetí díl GREYCORTEX Mendel