Kybernetický útok je závod s časem, říká Patrick Müller ze společnosti Sophos
Je velmi důležité přistupovat k bezpečnostní strategii diferencovaně, tvrdí Patrick Müller, regionální manažer pro východní Evropu ve společnosti Sophos. I když je patrná tendence spoléhat se na technologická řešení, lidský faktor je podle něj v celkové strategii zabezpečení IT také důležitý.
Jaké jsou aktuální trendy v oblasti kybernetické bezpečnosti?
Překvapivě se v posledních měsících situace v oblasti hrozeb do značné míry stabilizovala. Nejvýznamnější skupiny a typy hrozeb, jako je ransomware a krádeže dat, i způsoby jejich šíření byly až na několik výjimek během posledních let konzistentní a nezměnily se ani v důsledku pandemické situace. Covid však v mnoha ohledech působil jako otevírač dveří pro kybernetické zločince, například v podobě phishingu, a rozruch kolem práce na dálku během pandemie také otevřel mnoho možností pro následující druh útoků.
Jak typy útoků, tak způsoby, jakými útočníci operují, se neustále a velmi rychle vyvíjejí. Už se nebavíme pouze o potřebě mít bezpečnostní zařízení, ale nutná je kombinace technologií a lidské síly, která umožňuje předvídat chování útočníka a rozpoznávat nové indikátory možných útoků. Musíme přijímat taková opatření, abychom byli vždy o krok před útočníky.
Jaká situace v tomto ohledu panuje v Česku?
Organizace v České republice jsou si dobře vědomy rizik spojených s kybernetickou bezpečností a investují nemalé prostředky do svých bezpečnostních řešení. Ale i zde je patrná snaha šetřit a rozhodujícím faktorem pro nákup bezpečnostního řešení je cena. V mnoha případech pak tomu odpovídá i stav zabezpečení, jež je postaveno na základních produktech, jako firewall a antivir, případně dalších dílčích zařízeních, která samozřejmě sama o sobě nestačí a organizace řeší stále více a více bezpečnostních incidentů. Doba pokročila, útoky jsou stále sofistikovanější a útočníci rafinovanější, tomu musí podniky přizpůsobit své bezpečnostní strategie. Shrnu-li to, české organizace jsou si vědomy kyberbezpečnostních rizik, ale je zde stále prostor pro zlepšení jejich ochrany.
Jak by tedy firmy a organizace měly reagovat?
Firmy by měly používat nejnovější bezpečnostní technologie k prevenci, odhalování a nápravě hrozeb. Kromě toho však musí zajistit také to, aby každý zaměstnanec při plnění svých každodenních úkolů myslel na bezpečnost. K bezpečnějšímu pracovnímu prostředí přispívají například školení a programy na zvyšování povědomí, opakovaná hodnocení bezpečnosti a revize kódu. Nejde jen o vývoj a nasazení bezpečného kódu, což je prvořadé, ale také o to, aby každý v organizaci věděl, že hraje důležitou roli v zajištění bezpečnosti své společnosti.
Dokáží bezpečnostní řešení fungovat separátně nebo je třeba jejich vzájemná spolupráce?
Tradičně se zabezpečení IT zajišťovalo tak, že se instalovala nejlepší dostupná řešení pro síť, koncové body či mobilní zařízení zvlášť. Tento přístup však již není v současném světě udržitelný, protože komunikace mezi všemi řešeními je v dnešní době tím nejdůležitějším prvkem v boji proti moderním kybernetickým útokům. Průzkum, který jsme provedli v loňském roce, potvrdil, že hrozby spojené s malwarem je ve srovnání s loňským rokem obtížnější zastavit pro 83 % IT manažerů. Proč? Protože kyberzločinci při svých pokročilých útocích propojují více technik, ale většina bezpečnostních produktů stále pracuje izolovaně.
Mohou firmám pomoci i moderní technologie, například umělé inteligence či strojové učení?
Strojové učení, architekturu pro rozsáhlé vědecké výpočty, interakci člověka s umělou inteligencí a vizualizaci informací vnímáme jako klíčovou oblast. Jsme přesvědčeni, že strojové učení je zásadní a kritickou součástí kybernetické bezpečnosti, ale aby bylo efektivní, musí být pouze jednou částí komplexnějšího řešení. Není moudré, aby se jakýkoli bezpečnostní produkt spoléhal pouze na strojové učení jako na primární nebo jedinou vrstvu ochrany. Přístup typu „všechna vejce v jednom košíku“ ponechává útočníkům jen jediné dveře, které by mohli prolomit. Pouze produkt s přístupem založeným na více technologiích představuje navzájem se doplňující a posilující soubor překážek, jež musí být překonány všechny současně, aby byl útok úspěšný.
Nabízíte také nějakou možnost řešení krizových situací?
V roce 2019 jsme spustili novou službu Sophos Rapid Response. V jejím rámci naši bezpečnostní experti neutralizují aktivní útok v prostředí zákazníka a po dobu minimálně 45 dní monitorují síť a přijímají adekvátní opatření pro minimalizaci dopadů.
Při reakci na aktivní hrozbu je nezbytné, aby doba mezi prvotním signálem kompromitace a úplným zmírněním hrozby byla co nejkratší. Jak protivník postupuje řetězcem útoků, je to závod s časem, aby se mu nepodařilo dosáhnout jeho cílů. Tým nepřetržitě vzdáleně pracujících expertů na reakci na incidenty, bezpečnostních analytiků a lovců hrozeb je schopen velmi rychle napadenou organizaci dostat z nebezpečné zóny. Jak rychle? Zapojení do řešení bezpečnostního incidentu začíná během několika málo hodin a většina případů je vyřešena do 48 hodin.