Článek
Americká bezpečností agentura NSA (The National Security Agency) patří mezi ty organizace, které si svá tajemství střeží opravdu přísně. A na počítačové zabezpečení zde 32 let dohlížel i Chris Kubic, a to i na nejvyšší pozici šéfa informační bezpečnosti (Chief Information Security Officer).
V roce 2019 přešel do soukromé firmy Fidelis Cybersecurity, kde své zkušenosti může předat i lidem bez bezpečnostní prověrky. Přes Zoom jsme se jej ptali zejména na bezpečností trendy posledních let a výhled do budoucna.
Tři desetiletí jste pracoval pro NSA. Podepsalo se to na vás? Děláte instinktivně něco, co vaší rodině nebo vašemu okolí přijde přehnaně paranoidní?
Ano, řekl bych, že mne to ovlivnilo. Nemohu se nijak konkrétně vyjadřovat k NSA, mohu to ale komentovat obecně. Pracoval jsem v prostředí, kde jsem musel neustále vyhodnocovat míru rizik a analyzovat různé hrozby. Když rozumíte, jakými různými způsoby lze technologie zneužít, tak jste pak paranoidnější než ostatní. Většina lidí si tyto hrozby vůbec neuvědomuje.
Beru třeba vážně své soukromí. Dělám vše pro to, abych měl zabezpečené všechny stroje, se kterými pracuji. Kdybyste srovnali můj počítač s ostatními, tak uvidíte, že mám více věcí zamknutých. Naštěstí už hodně výrobců bere zabezpečení vážně, možná i kvůli zákonům jako GDPR. Ale přestože už lze řadu těchto zabezpečení aktivovat, ve výchozím nastavení jsou vypnuté. Není snadné si to nastavit. Navíc zabezpečený systém není nutně pohodlnější. Když třeba zablokuji přístup mobilního telefonu ke své poloze, nemohu používat některé funkce, které tu polohu vyžadují.
Jak se pandemie v roce 2020 podepsala na kyberbezpečnosti?
Myslím, že pandemie se dotkla všeho včetně kyberbezpečnosti. Ale je potřeba říci, že jedna důležitá věc zůstává stejná. Útočníkům se daří získat přístup k systémům s využitím opravdu základních technik. Nejčastěji jde o phishing a sociální inženýrství.
Pošlou uživateli zavirovaný dokument nebo odkaz na falešnou webovou stránku. Využívají také známé zranitelnosti operačního systému nebo dalších programů, které někdo zapomněl aktualizovat. Útočníci se tak mohou na dálku zmocnit celých počítačových systémů a sítí.
Útočníci si vybírají své cíle, často jsou to bohaté firmy, které si mohou dovolit zaplatit výkupné. Nebo nemocnice, pro které je přístup k datům otázkou života a smrti.
Co se naopak poslední dobou změnilo, to je výběr cílů útoku. Útočníci se zlepšují v tom, jak si vybírat firmy, na které se zaměří. Jsou to často bohaté firmy, které si mohou dovolit na výkupném zaplatit velké sumy. U takové firmy si pak hackeři mohou dát záležet, věnovat čas přípravě útoku. A když se jim pak povede proniknout do firemní sítě, tak to berou mnohem důkladněji. Proberou se strukturou datového úložiště a najdou všechna citlivá data, která mají nějakou cenu.
Pro oběti je takový cílený útok mnohem bolestivější. Což je součástí té strategie útočníků – chtějí, aby útok bolel, zvyšuje to šanci, že firma zaplatí výkupné. Bohužel jim tato strategie funguje.
Jaký typ firmy je z pohledu útočníků ideálním cílem?
Útočníci berou výběr velmi vážně a zajímá je, jestli má firma zisky, má z čeho platit. Hledají někoho, kdo může bez mrknutí oka zaplatit výkupné ve výši několika milionů dolarů a ani to moc nepocítí. Ale útočníci jdou také třeba po nemocnicích. Protože nemocnice si nemůže dovolit, aby jejich počítačová síť byla mimo provoz, tam jde o lidské životy. Takže za to třeba raději zaplatí.
Neřekl bych, že si útočníci vybrali jeden obor podnikání, na který útočí. Cílem ransomwarového útoku se může stát opravdu kdokoli.
Obrana je složitá, je třeba být připraven
Jak se může firma proti takovému útoku zabezpečit?
Když se mne na to společnosti ptají, doporučuji především tyto základní strategie.
Jako první je kyberhygiena. Útočníci zneužívají existujících zranitelností a vaše firma by jich měla mít co nejméně. Proto musíte vše aktualizovat. To není jednoduché, množství záplat je ohromné. Firma by si tedy měla analyzovat, který software zodpovídá za její klíčovou infrastrukturu, a ten mít vždy aktuální. Největší důraz by měla klást na data, která jsou citlivá, nebo dokonce zákonem regulovaná. A pak záplatovat ten software, který je nezbytný pro bezproblémový chod společnosti.
Pokud zaměstnanec používá stejné heslo na více místech, mají útočníci dveře otevřené.
Dále jsou to hesla a přístupy. Velmi často se útočníci do systému dostanou prostřednictvím špatných hesel. Někdy jsou to slabá hesla, která se dají uhodnout. Jindy jsou to hesla, která unikla v rámci nějaké krádeže dat. Pokud zaměstnanec používá stejné heslo na více místech, mají útočníci dveře otevřené. Můžete si být jisti, že to útočníci vyzkouší. Řešením je vysvětlit důležitost hesel a vynucovat dodržování firemní politiky změny hesel. A kdekoli to jde, nastavit dvoufázové ověření, to samo o sobě mnohonásobně snižuje riziko.
Pak je nutné se zaměřit na ochranu klíčových bodů. Na všech koncových zařízeních byste měli mít dobrý antivir. Měli byste mít firemní politiku, která stanoví, kdo se stará o záplatování systémů. A měli byste sledovat, co se děje na vašich počítačích a serverech. To vám umožní odhalit ty méně nápadné typy útoků. Měli byste mít nástroje a lidi, kteří umí analyzovat provoz sítě a odhalit anomálie. A musíte mít lidi, kteří umí reagovat, když k útoku dojde.
A nakonec je tu lidský faktor. Člověk nadále zůstává nejslabším článkem firemní bezpečnosti. Přes sociální inženýrství se útočníci mohou dostat téměř kamkoli. Nestačí tedy dodržovat zásady kyberhygieny v IT, musí o nich vědět všichni zaměstnanci. Měli by vědět, co je phishing, co je sociální inženýrství, jak je rozpoznat a komu v případě podezření zavolat.
Tyto strategie jsou celkem obecné a mohou firmu ochránit nejen před primitivními útoky, ale i před cílenými útoky, nebo dokonce před útoky sponzorovanými nějakým státem.
Zmínil jste nástroje na detekování méně nápadných, sofistikovaných útoků. Jak to funguje?
S tím, jak roste důmyslnost útočníků, musí firmy přejít na mnohem proaktivnější způsob obrany. To jim umožní odhalit probíhající útok už v jeho rané fázi. Například když se vám do systému dostane ransomware, tak na to nechcete přijít až ve chvíli, kdy máte půlku dat zašifrovaných. V tu chvíli už totiž útočníci nejspíše provedli exfiltraci dat (nahráli vaše data na své servery, pozn. red.) a budou vás těmito daty vydírat. Takže i kdybyste dokázali data obnovit ze zálohy, už budou mít vaše data a vy budete pod tlakem.
Ransomware dnes vydírá hned trojnásobně
Ransomware zpočátku data pouze šifroval. Jak exfiltrace dat zvýšila jeho nebezpečnost?
Data začaly ransomware útoky exfiltrovat už více než před rokem. Firmy totiž v reakci na ransomware začaly lépe zálohovat. Když je pak ransomware napadl, firma obnovila data ze zálohy a neměla důvod platit útočníkům výkupné. Ale ukradená data to mění a dávají útočníkům něco, čím lze firmu vydírat.
Nejnovějším trendem je, že ukradnou nejen data, ale také seznam klientů firmy. Útočníci pak mohou kontaktovat přímo klienty napadené firmy s tím, že se zmocnili jejich důležitých dat. Takže firma je pod mnohanásobným tlakem. Už to není jen dvojité vydírání, už je to trojité vydírání.
Útočníci prostě reagují na zlepšující se obranyschopnost firem. Proto je potřeba reagovat proaktivně. Nestačí jen detekovat probíhající útoky, ale i jakékoli pokusy o útok, jakékoli neočekávané toky dat v síti, neobvyklé chování systému nebo neobvyklé chování uživatelů. Pomocí útoků „living off the land“ (LotL) totiž mohou útočníci využít různých nástrojů k tomu, aby navenek vypadali jako obyčejní uživatelé dané sítě.
A co když firma zjistí, že je napadena?
Všem svým klientům říkám: S tím, co se dnes děje, musíte očekávat, že i vy se stanete obětí útoku. Můžete dělat vše, co je ve vašich silách, abyste útoku zabránili. Ale musíte předpokládat, že útočníci nakonec uspějí.
Musíte předpokládat, že vás útočníci napadnou a připravit se na to. Nemůžete hledat odborníky, až když jsou útočníci ve vašem systému.
Proto potřebujete opravdu komplexní krizový plán (tzv. incident response plan). A pravidelně byste měli cvičit, co dělat v případě, že se firma stane obětí kyberútoku.
Potřebujete vědět, kde máte zálohovaná data. Dále musíte mít ve firmě lidi, kteří vědí, co v takovém případě dělat, nebo mít alespoň předem domluvené experty, kteří vědí, co vaše firma potřebuje. Nemůžete s hledáním odborníků čekat až na moment, kdy už útok probíhá.
Ransomware dal útočníkům možnost vydělat velké peníze. Je podle vás finanční stránka hlavní motivací?
Je samozřejmě více typů útoků. Rozlišuji tyto kategorie – 1. hackeři, kteří na tom chtějí vydělat, 2. státem sponzorované útoky, 3. hacktivisté, kterým nejde o zisk, ale o ideologický cíl, 4. samotáři, kteří chtějí ukázat své dovednosti a nakonec 5. lidé zevnitř firmy.
Jsou ale i další typy útoků, které nezapadají přesně do těchto kategorií. Finanční zisk je nejčastější motivace, ale rozhodně ne jediná.
Umělá inteligence napíše podvodný e-mail přímo pro vás
V kyberbezpečnosti se pohybujete více než 30 let. Překvapila Vás v poslední době nějaká novinka?
Musím říci, že různé phishingové útoky a útoky založené na sociálním inženýrství se hodně zlepšily. Jsou někdy velmi důvěryhodné. Útočníci třeba posílají e-maily, které vypadají k nerozeznání od těch z vaší banky. Využijí nějaké detaily, které získali třeba z vašich sociálních sítí nebo z nějakého úniku dat. Takový e-mail vypadá na první pohled velmi věrohodně, protože je ušitý přímo vám na míru.
Rozhodně se mi několikrát stalo, že jsem musel pozorně hledat, zda ten e-mail, který jsem dostal, je pravý, nebo je to trik. A to je důsledek toho, že se útočníci musejí stále zlepšovat.
Dalo by se říci, že jsem vynalézavostí útočníků překvapován neustále. Hodně času trávím čtením zpráv o nově nalezených hrozbách a o evoluci jejich vývoje. Ve firmě Fidelis máme tým na zkoumání hrozeb a snažíme se predikovat hrozby budoucnosti. S tím týmem jsem v kontaktu a v podstatě každý týden najdu nějakou novinku, kterou jim pošlu, protože je to nějakým způsobem unikátní. Vývoj nikdy nekončí.
Už několik let se mluví o tom, že do kyberútoků významně vstoupí umělá inteligence. Sledujete tento dopad v praxi?
Nejde jen o umělou inteligenci, zahrňme do toho strojové učení a pokročilé datové analýzy obecně. Automatizace pomáhá lidem na více místech. Řada firem používá automatizaci, datovou analýzu a strojové učení při obraně své sítě.
Ale bohužel to všechno mohou používat i útočníci. A také to dělají. Ransomware je velmi lukrativní podnikání, a tak mají útočníci dost prostředků na to, aby si tyto techniky osvojili a zapřáhli je pro své účely.
Počítačové sítě jsou dnes tak komplexní, že je samotný člověk nemůže plně pochopit.
Vnímám strojové učení jako revoluci v kyberbezpečnosti. Už předtím byly naše síťové systémy velmi komplexní, ale teď jsou ještě mnohem komplexnější. Máme tu cloudové technologie, distribuční řetězce, služby třetích stran. Sítě jsou zkrátka tak komplexní, že už je samotný člověk nemůže obsáhnout a pochopit. Proto je důležité při analýzách využívat pokročilé techniky. Lidští analytici musejí pracovat s daty. Věřím, že strojové učení může bezpečnostním expertům pomoci najít tu pověstnou jehlu v kupce sena.
Jak funguje strojové učení
Umělá inteligence, jak se často strojové učení označuje, funguje na principu analýzy velkého množství dat. Počítačové programy jsou sadou instrukcí a podle těchto instrukcí zpracovávají dodaná data. Strojové učení je nový přístup k řešení problémů. Než aby programátor počítači napsal veškeré instrukce jednotlivě, tak naprogramuje způsob, kterým se počítač sám učí na dodaných „trénovacích“ datech. Napodobuje tak funkci lidského mozku, odkud ostatně pojem „neuronová síť“ pochází.
V případě odhalování útoků pomocí strojového učení se neuronová síť trénuje na velkém množství dat o tom, jak vypadá běžné chování uživatelů, a jak naopak vypadá chování nebezpečné. Poté může taková neuronová síť v reálném čase vyhodnocovat velké množství informací o toku dat po sítí a posuzovat, zda se podobají více normálnímu, nebo podezřelému chování.
V řadě oblastí bude automatizované nejen vyhledávání, ale také odpověď. Časem se dostaneme do situace, že budeme strojovému učení věřit natolik, abychom první odpověď nechali na něm, aniž by to musel člověk schvalovat. Zatím to tak není, pořád tam musí sedět člověk. Nechceme přece, aby vaše obrana útočila na vaše vlastní systémy. Je to ale slibná technologie a bude zajímavé to dále sledovat.
Jak může vypadat zapojení strojového učení na straně útočníka?
Existují nástroje, které umí generovat plynulý anglický text na základě zadání. Výsledky jsou velmi důvěryhodné. Když útočník takový nástroj použije na generování podvodných e-mailů, může zahrnout pro každého adresáta konkrétní a unikátní personalizované detaily. Takový útok se hůře detekuje, více lidí jej otevře a útočníci jich navíc mohou odeslat více.
To je dobře představitelný příklad, ale těch využití je více. Útočníci určitě používají strojového učení k automatizaci některých úkolů, třeba k vyhledávání cílů. A pak to převezme člověk–hacker, který rozhodne, co s napadeným cílem dále. Dokážu si ale představit, že časem se bude automatizovat i tato část. A pak budou ty útoky opravdu bleskové. Už teď jsou útoky mnohem rychlejší, už to netrvá dny, ale třeba jen hodiny. Se zapojením automatizace může být ten útok otázkou okamžiku.
Proč je tolik útoků z Ruska?
V kontextu kybernetických hrozeb se mluví o zemích, jako jsou Rusko nebo Čína. To ale neznamená, že za každý útok z Ruska může ruská vláda. Jak to interpretovat?
Rozhodně bych nevylučoval nějaké napojení hackerských skupin na ruskou vládu nebo na jinou vládu podobných států. Často zde existuje nepsaná dohoda, že vláda si nebude jejich činnosti všímat, pokud jim pomohou jinak. Takže nevylučuji nějakou spolupráci.
A také bych neřekl, že to dělá jenom Rusko. Po celém světě je více států, které buď nechtějí, nebo nedokážou vyšetřovat a zastavit kyberkriminalitu na svém území. V některých zemích je těžké získat dobrou práci a kyberkriminalita je možností, jak si rychle vydělat velké peníze.
Hodně útoků pochází z Ruska. Je to země, která před tím zavírá oči.
Vlády, které odmítají kyberkriminalitu stíhat, jsou součástí problému. Hodně kyberútoků pochází z Ruska, takže lze říci, že to je země, která před tím zavírá oči. Co s tím? Moc se toho dělat nedá. Země, kterým na zákonech záleží, by se měly semknout a spolupracovat. Měly by stopovat a dokumentovat kyberkriminalitu.
V neposlední řadě je součástí problému bitcoin. Dává možnost anonymně nakládat s prostředky. Neříkám, že kryptoměny jsou špatné. Ale bez regulací je nemožné monitorovat tuto kyberkriminalitu. Je to rozhodně dvojsečný meč. Nyní je ale pro kyberútočníky až příliš pohodlné získat od obětí zaplaceno.
Lidé vědí, že mají zamykat svůj dům a své auto. Lze dát podobně srozumitelné rady i pro ochranu v kyberprostoru?
Pro jednotlivce je prakticky nemožné pochopit rozměr všech těch hrozeb, které na něj v kyberprostoru čekají. Proto je obrana tak těžká, pro běžného uživatele je to až paralyzující. Není to tak jednoduché, jako zamykat si auto. Těch způsobů, jak vás útočník může doběhnout, je příliš mnoho. Řada lidí to tedy spíše vzdá a doufá, že se jich to nikdy týkat nebude.
Co by měl každý vědět o kyberbezpečnosti?
- Mějte zapnuté automatické aktualizace.
- Používejte silná a unikátní hesla.
- Dávejte pozor na falešné e-maily a další podvody.
- Zálohujte pravidelně mobilní telefon i počítač.
Ale kyberhrozby jsou na vzestupu. Ransomware do té branže vlil ohromné množství peněz. Na úrovni firem je to stále palčivější hrozba, na úrovni států je to otázka národní bezpečnosti. Útoky na infrastrukturu, útoky na nemocnice, útoky na vládní úřady a instituce… Už to dávno není jen otrava.
Je to vážná věc a vlády se tím musejí zabývat. V posledním půl roce vidíme, že třeba vláda USA se snaží opravdu investovat do stíhání kyberzločinců. Je toho ale mnohem více, co mohou vlády dělat. Měly by spolupracovat a vytvořit mezinárodní síť, která znemožňuje některé druhy kyberzločinu.
Doplnění: Doplnili jsme vysvětlení zkratky NSA.
