fb
IT Systems 6/2020 IT Security 13. 8. 2020 14:26

O kyberbezpečnosti s Milanem Berkou

COMGUARDUž nyní je jasné, že rok 2020 bude velmi výjimečný, a to nejen kvůli pandemii koronaviru, ale také z hlediska IT bezpečnosti. Nikomu snad totiž nemohla uniknout vlna kybernetických útoků, které jsou stále zákeřnější a ničivější, a proto už jim věnují výrazný prostor i česká masmédia. Kromě vánoční nadílky ransomwaru ve společnosti OKD a útoku na Benešovskou nemocnici byla v průběhu března zaznamenána aktivita cílená na další české nemocnice. Máme očekávat stále častější útoky? A co mohou společnosti činit aktivně pro svoji obranu? Zeptali jsme se doc. RNDr. Milana Berky, CSc., bezpečnostního manažera na odboru OIT na Krajském úřadu Plzeňského kraje a bezpečnostního ředitele u Kvalifikovaného poskytovatele služeb – eIdentity, a. s. Pan docent Berka je zkušený matador a jeden z mála odborníků na IT bezpečnost uznávaných u nás i ve světě, spolupodílel se na celé řadě odborných publikací i tvorbě zákonů.

Pane docente, v poslední době byla v mediálním prostoru věnována pozornost kybernetickým útokům v ČR. Zažíváme podle vás v dnešní době opravdu výrazný nárůst kybernetických útoků v ČR?

Já bych to zase až tak tragicky neviděl. Těch útoků jsou stovky denně, někdy víc a někdy méně. Nejsou to ani tak útoky na infrastrukturu, ale spíše útoky na uživatele.


S jakými hlavními typy útoku/hrozby se v praxi setkáváte?

Z hlediska útoků na uživatele jsou to dnes především cílené útoky, kdy vám přijde např. e-mail od nadřízeného, že máte někam uhradit fakturu 500 000 Kč, a vypadá zcela normálně. Ještě častější jsou pak nakažené přílohy e-mailů, které se po otevření připojí na internet a stáhnou další škodlivý SW, následně zašifrují disky, ke kterým má uživatel přístup.


Jak je na tom dle vašeho názoru s úrovní zabezpečení ČR v porovnání s ostatními evropskými státy / světem?

Z mého pohledu jsme na tom srovnatelně nebo i trochu lépe, ale záleží na organizaci. Např. zdravotnictví je na tom hůře, IT firmy jsou na tom lépe, i když jsou výjimky v obou segmentech.


Vidíte rozdíly např. v zabezpečení komerčních společností nebo státních organizací?

Zase bych řekl, že je to o penězích a může být lépe zabezpečena jak státní organizace, tak i komerční subjekt. Základním problémem jsou uživatelé, nastavení práv, oddělení sítí apod. Případně další nástroje FW, sondy, End Point Security SW.


Které obory jsou podle vás nejzranitelnější?

To se nedá tak úplně přesně definovat, určitě je tam to zdravotnictví, protože lékař musí pracovat s počítačem a rozhodně to většinou není IT specialista. Ovšem mnohdy jsou úspěšně napadeny i IT firmy, a dokonce i ty, které se zabývají bezpečností. Pokud mají hackerské skupiny zájem a není jim líto peněz, mohou se dostat skoro všude, podobně jako některé tajné služby.


Kromě doporučení vydaného NÚKIBem existují nějaká další doporučení pro IT security správce vyplývající ze zkušeností s vyšetřováním úspěšných útoků?

Z mého pohledu je sice varování a doporučení užitečné, ale bylo by dobré některé věci také aktivně řešit. Např. je na vás veden útok z Ruska? Není problém dohledat IP adresu útočníka, není problém zjistit, komu patří, a kontaktovat vlastníka. Moje zkušenost je taková, že pokud jsem doložil kus záznamu útoku, útok byl zastaven a už se neopakoval. Např. NÚKIBem identifikovaný útok z datového centra v Petrohradu, podíval jsem se do LOGu a skutečně to tam bylo, napsal jsem mail a bylo po útocích, vůbec žádný další útok z Ruska jsme nezaznamenali. Některé útočící servery jsou v hostingu, jsou pronajaté a mohou být i v jiných zemích, v některých se útočník dohledává hůře…


Na koho by se společnosti měly obrátit a jak by měly správně postupovat, pokud se stanou obětí kybernetického útoku?

Určitě NÚKIB a taky Policie ČR, např. NCOZ ‒ https://www.policie.cz/ncoz.aspx, pokud vznikla škoda, pokud ne, zkoušel bych to řešit tak, jak bylo popsáno výše.


Jak moc je těžké zjistit původ kybernetického útoku?

Není moc těžké zjistit, odkud je útok veden, pokud to nejsou DDoS útoky, ale je problém někdy zjistit, kdo je za tím. Např. jednou jsem narazil na útok z Marseille, ovšem když jsem se podíval na ten server, zjistil jsem, že na něj je připojený uživatel z Pákistánu… Dohledal jsem jméno, IP adresu, jeho WWW stránky. Ale ani tady nevíte, jestli je to skutečně útočník, nebo oběť. Klidně ho mohl někdo napadnout a zneužít jeho identitu. Takže tady bych byl hodně opatrný s úsudky, kdo útočí.


V mediálním prostoru byla několikrát zmíněna kampaň na české nemocnice a úřady. Z jakého důvodu se domníváte, že byly nemocnice pro útočníky vděčným cílem? Myslíte, že s tím souvisí jejich úroveň zabezpečení?

Nerozdělené segmenty sítí, špatné řízení uživatelských účtů včetně administrátorských, nedostatek peněz na financování obranných technologií, staré verze informačních systémů a stanic v interní síti. Nedostatečné proškolení uživatelů.


Máte osobní zkušenost v poslední době s nějakými kybernetickými útoky?

Profesně jsem řešil ten útok na nemocnice z Petrohradu, ale také útok z USA, kde někdo zneužil bezpečnostní produkt firmy Qualys. Obojí se vyřešilo prostřednictvím mailu a útoky se víckrát neopakovaly. Proto jsem to uváděl výše, mnohdy stačí minimální akce a je po problémech.


Jak útoky proběhly? Byly to útoky cílené, nebo náhodné?

Cílené na infrastrukturu, ostatní podle někde získaných e-mailových adres.


Jaký byl scénář útoku? Útočilo se pomocí phishingových kampaní?

Ano, to také, těch útoků je dnes asi 90 %.


Mířily útoky na konkrétní zranitelnosti (např. RDP vystavené ven)?

To nikde vystavené není, ale např. na zranitelnosti starších verzí PHP, Jomla, WordPress apod.


Stačilo nakazit jeden počítač v interní LAN a z toho se už rozšířily všechny následné kroky útoku?

No, naštěstí jsem zažil pouze vždy maximálně jeden zavirovaný osobní PC, jinak bych s tím měl dost velký osobní problém jako odpovědná osoba. Bylo by to tak na rituální sebevraždu…


Podařilo se identifikovat celý postupný řetězec útoku?

To právě nikdy není jisté. Když to odlehčím, tak je možné, že ruského hackera napadl předtím americký hacker, toho ale předtím mohl taky napadnout čínský hacker… Takže já se nepouštím do vyšetřování takových věcí, já řeším zamezení dané věci. Vyšetřování je věcí Policie ČR.


Jak dlouho útok trval, než byl úspěšně dokončen/zastaven?

Obvykle je to řešeno podle nebezpečnosti, obvykle do 24 hodin.


Jak jste útok odhalili? Jaké byly metody investigace infikovaných zařízení?

Většinou sondy v síti a na koncových zařízeních.


Z kterých systémů a jejich logů se podařilo identifikovat zpětné kroky útoku?

Útoky u nás zachycují systémy IPS/IDS, End Point Security, SIEM. Byly to v podstatě jenom pokusy o útoky. Sondy jsou umístěny jak ve vnitřní, tak ve vnější síti, existuje centrální monitoring a centrální informační upozornění, SIEM některé věci přímo předává do systému HelpDesk, vytváří zde incidenty. Nasazení a vyladění těch věcí není úplně triviální. Více to nebudu komentovat, protože by to byla reklama na produkty některých firem, produkty, které znám a nebylo by to správné vůči firmám, jejichž produkty jsem nevyzkoušel.


Bylo možné útok detekovat na úrovni sítě nebo endpointů?

Na obou úrovních. Útoky na infrastrukturu jsou detekovány většinou na úrovni sítě, útoky na uživatele, pokud projdou, na úrovni koncových bodů (endpointů).


Byly nějaké indicie nebo anomálie na úrovni endpointů nebo sítě, které signalizovaly útok a daly se odhalit a útoku se ubránit?

Ano, záznamy ukazují, odkud kam jde útok, a skoro vždy byl zastaven, pro jistotu je ale potřeba někdy to fyzicky zkontrolovat.


Jaké byly vaše první kroky po identifikaci úspěšného kompromitování IT infrastruktury z pohledu minimalizování škod?

Při napadení např. šifrovacím virem je potřeba prostě PC vytáhnout nejlépe hned ze zásuvky. Jinak jsem úspěšné kompromitování infrastruktury naštěstí nezažil.


Mohli se správci napadených systémů útoku účinně bránit?

V řadě případů ano, nastavením systémů, povolením jenom některých portů a jenom odněkud apod.


Jak byl ve finále útok úspěšný? Jaké byly škody?

Škody jsou v podstatě pouze na úrovni spotřebovaného času pracovníků IT nebo uživatelů.


Mělo to podle vás nějaký psychologický efekt na majitele/vedení/správce/uživatele?

Ano, je větší vůle investovat do ochranných opatření.


Jaké byly příčiny útoku?

Co se týká ransomwaru a zašifrování zařízení, většinou jde podle mne o získání financí, příčinou úspěšných útoků je především malá vzdělanost uživatelů v dané oblasti, zastaralé operační systémy, neaktualizované, nesprávné nastavení práv apod. Problém jsou i nefunkční zálohy nebo jejich trvalé připojení k zálohovaným systémům.


Máte na závěr nějaké doporučení? Jaká opatření by měly firmy/organizace učinit proti stále rostoucí hrozbě kybernetického útoku?

Ano, doporučením je větší vůle investovat do ochranných opatření, motivace vlastních zaměstnanců, školení.

Panu doc. RNDr. Milanu Berkovi, CSc., děkujeme za rozhovor, který realizoval Ing. Karel Klumpner, MSc., ředitel společnosti COMGUARD a.s. Případné dotazy k uvedenému tématu můžete zasílat prostřednictvím blogu: https://www.comguard.cz/blog

Ing. Karel Klumpner, MSc. Ing. Karel Klumpner, MSc.
Rozhovor s panem Berkou vedl ředitel společnosti COMGUARD a.s.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 10 IT Systems 9 IT Systems 7-8 IT Systems 6
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1