Etický hacker: Proč trvá odhalení útoku hackera tak dlouho a jak se tomu bránit

Napadení firemní sítě je noční můra každé společnosti. Z reportu společnosti „M-Trends 2019“ společnosti FireEye vyplývá, že v polovině případů trvá více jak 177 dní odhalit úspěšný útok. Jak je možné, že zjištění útoku trvá tak dlouho? Každý úspěšný útok na firemní síť nemusí totiž končit ransomwarem, kdy firmě přestanou fungovat systémy a ona si všimne, že něco není v pořádku.

Jak postupuje útočník

Pro lepší pochopení situace je třeba vědět, jak takový cílený útok probíhá. Útočník na začátku provádí průzkum (reconnaissance). Během něj si zjišťuje o společnosti informace např. kdo v ní pracuje, emailové adresy, telefonní čísla, pobočky, jaké systémy či antivirus firma používá.

Následně přejde do fáze útoku (exploitace). Ten většinou vychází ze zjištěných dat. Například zneužije chybu v používané aplikaci, přelstí uživatele nebo uhodne nějaké přístupové heslo. Během útoku se hacker snaží dosáhnout svého cíle (např. získat firemní data), nebo si zajistit další přístupy (např. k počítači, uživatelské přihlašovací údaje k poště).

Pokud se útočníkovi podaří dostat dále, například zjistit přihlašovací údaje, zjistí, kam se díky nim může dostat. Této fázi se říká lateral movement, či privilege escalation. Po útoku je pouze na hackerovi, zda si nechá do firemní sítě zadní vrátka, která mu umožní se sem kdykoliv vrátit. Této fázi se říká persistence.

Proč je tak těžké odhalit útočníka

Útočník se dá snadno odhalit jen během fází průzkumu, útoku či lateral movement. To proto, že v těchto fázích je „nejhlučnější“ – v síti generuje řadu logů (neúspěšné pokusy o přihlášení, chyby/ pády aplikací, detekované „hackerské“ nástroje).

Tyto fáze však trvají jen pár hodin či dní. Jakmile má útočník to, pro co přišel a rozhodne se nenechat v síti zadní vrátka, je velice nepravděpodobné, že dojde k jeho zpětnému odhalení – v systému již nevznikají další stopy o jeho působení a ty staré jsou postupně zapomenuty. V takových případech dojde k „odhalení“ útoku pouze tím, že se firemní data objeví zveřejněná na internetu.

Jak zvýšit pravděpodobnost detekce útoku

Každá firma se dnes snaží stavět firemní síť bezpečně. Kupuje a nasazuje moderní řešení, nechává si je odborně nasadit, používá antiviry, firewally, aktualizuje a omezuje a řídí oprávnění svých uživatelů. Většinou jsou to však jen preventivní opatření, které brání úspěšnému útoku.

Úspěšné napadení firemní sítě však není otázka typu „zda vůbec“, ale „kdy k tomu dojde“. Proto jsou nutnou součástí bezpečnosti i detekční a monitorovací technologie. Ty firmu dokáží upozornit na probíhající útok, a ještě včas jej zastavit, nebo začít s nápravou co nejdříve, než budou škody a ztráta důvěry ještě větší.

Příklady detekčních, monitorovacích technologií

Stejně jako při hubnutí, ani zde neexistuje zázračná pilulka, kterou si vezmete (v našem případě nainstalujete) a vše bude jednou provždy vyřešeno. Na trhu je spousta technologií, které se liší funkcionalitou (tím co hlídají) a mírou autonomie (kolik lidské práce pro svůj běh vyžadují). Co je dobré pro jednoho, nemusí fungovat jinému. Řešení si tak musí každý uživatel poskládat z technologií, které v jeho byznysu dávají smysl.

My v PATRON-IT používáme u zákazníků několik technologií/ produktů, jejichž pomocí hlídáme firemní sítě. Využíváme například monitorovací systém SolarWinds MSP RMM, který hlídá stav všech zařízení v naší správě – pokud se některé odchýlí od pravidel, dozvíme se to.

Další technologií je ESET SMC – centrální ovládací portál pro antivirus, který je u všech našich zákazníků a pokud útočník použije některý ze známých programů, například k ukradení hesel, dozvíme se to. Vyvíjíme i naše vlastní monitorovací systémy, nejnověji třeba The Honeypot – malé zařízení, která se tváří jako zranitelný počítač se zajímavým obsahem. Jeho cílem je „přivábit“ a tím odhalit případného útočníka, který se již dostal do vnitřní firemní sítě.

Tak jako v celém IT oboru, tak i v oblasti bezpečnosti jde vývoj stále dopředu. Není jednoduché, ale jedinou cestou je vytrvat a držet krok s inovacemi.

Diskuze k článku