Milan Habrcetl, Cisco: Hackeři vsadili na sociální inženýrství i zranitelnost IoT

Jak byste z hlediska kybernetické bezpečnosti charakterizoval rok 2017? Co přinesl a v čem se lišil od předchozích let?

V roce 2017 se potvrdily trendy v oblasti hackerských aktivit, které se ubírají několika směry. Jedním z nich jsou stále sofistikovanější typy malwaru umožňující útočníkům nejen dosáhnout požadovaných cílů, ale také zasáhnout čistě jen z destruktivních účelů a vyřadit tak například počítačovou síť nebo službu. Destrukce je jevem, který byl pro rok 2017 charakteristický.

Útočníci se dále zaměřují na různé způsoby obcházení klasických obranných a preventivních bezpečnostních mechanizmů. Od vyspělých technik proti sandboxovacím nástrojům až po techniky skrývání malwaru, např. v šifrované komunikaci. V roce 2017 už bylo 50 % webové komunikace šifrováno a tento podíl bude v dalších letech narůstat.

Dalším trendem, který vykrystalizoval v roce 2017, byl znatelný růst využívání legitimních služeb, např. v cloudu, pro útok na danou osobu, aplikaci či organizaci. Jako příklad lze uvést zneužívání aplikací jako Dropbox, Google apps či GitHub pro doručení malwaru.

Za zmínku stojí také rostoucí objem útoků prostřednictvím infrastruktury internetu věcí (IoT). S mohutným rozvojem této oblasti roste i potenciál pro případné útočníky a ti stále více využívají slabě zabezpečené prvky IoT (kamery, čidla a jiné senzory, průmyslové aplikace atd.). Zkouška ukázala, že 83 % zařízení internetu věcí v organizacích obsahuje kritickou zranitelnost, kterou už ale dodavatel softwaru opravil aktualizací. Zde jde zejména o cenu – je nutné počítat s tím, že u senzorů za několik desetikorun nebo stokorun se mnoha bezpečnostních aktualizací nejspíš nedočkáte…

Co nás čeká letos?

V letošním roce můžeme očekávat rostoucí trend v oblasti automatizovaných útoků a útoků v oblastech IoT, dále útoky typu DDoS  a to nejen v oblasti sítí, ale také v oblasti application DDoS. S rostoucím šifrovaným provozem budeme čelit i výzvě v podobě ochrany proti malwaru v této komunikaci. Určitě se objeví i nové typy útoků, které budou směřovat do oblastí se zajímavým potenciálem. Jako příklad můžeme uvést oblast kryptoměn, kde útočníci využívají výkon napadených zařízení pro vlastní těžbu. Setkali jsme se ale i s útoky na držitele kryptoměn nebo na subjekty, které s nimi obchodují. Jistě nadále poroste také obliba sociálního inženýrství, které umožňuje útok velmi přesně adresovat na konkrétního člověka nebo organizaci.

Jedním z největších témat dnešní doby je umělá inteligence. Jakou jí přisuzujete v oblasti kybernetické bezpečnosti roli? V čem může pomoci?

Téma umělé inteligence zajímá vědce již několik desítek let. Až v poslední dekádě se však ukazuje, že bez umělé inteligence nejsme schopni efektivně čelit hrozbám v oblasti kybernetické bezpečnosti plynoucím hlavně z rozvoje oblastí jako je IoT, mobilita a aplikace. Umělá inteligence se dá, a v řadě řešení se již s jejím využitím setkáváme, využít hlavně pro zefektivnění preventivních opatření a pro detekci anomálií, které mohou signalizovat připravovaný útok. Takto lze předcházet velikým škodám, neboť včasná detekce je jedním z nejdůležitějších faktorů. Přímo v Praze máme tým Cognitive Security, který na algoritmech a programech pro předvídání anomálií pracuje. I zde se prvky umělé inteligence využívají, protože systém se díky nim dokáže sám zlepšovat a aktualizovat. Je jasné, že čím víc dat máte k dispozici, tím systém pracuje přesněji. A přesnější informace samozřejmě umožní rychlejší reakci, protože v současné době má útočník často k dispozici několik týdnů i měsíců, než se podaří jeho činnost odhalit.

Útočníci ve snaze proniknout do zařízení svých obětí stále nejvíce využívají SPAM. Proč? A očekáváte, že se na tom v blízké budoucnosti něco výrazněji změní?

Nevyžádaná pošta neboli SPAM je stále nejefektivnější způsob pro útočníky, jak doručit malware nebo odkaz na obsah, který chce útočník propagovat. Je to logické především z hlediska jednoduchosti a dále z hlediska objemu zpráv. E-mail dnes prakticky využívá téměř každý a distribuce spamu není pro útočníky nijak obtížná. V podstatně ji lze téměř kompletně automatizovat a tak množství nevyžádaných zpráv převládá v poměru zhruba 6:1 v neprospěch legitimní nebo chcete-li „žádáné“ komunikace. Globálně jsou objemy závratné – denně je zachyceno přibližně na 480 miliard spamů zatímco legitimních e-mailů je jen zhruba 80 miliard. A právě e-mail může velmi jednoduše obsahovat škodlivou přílohu nebo odkazovat na stránky, které mohou škodlivý obsah doručit. I v oblasti SPAMové pošty můžeme sledovat postupný vývoj. Útočníci využívají více sofistikované a konkrétnější metody. Už nejde o klasické „nigerijské dopisy“, ale o zprávy šité na míru, které mají větší účinnost. Obzvláště v kombinaci se sociálním inženýrstvím jde o velmi nebezpečný nástroj. Řadu zajímavých informací o (spamové) elektronické poště se můžete dozvědět na webu Talos Intelligence.

Jak se Cisco staví k otázce internetu věcí? Právě bezpečnost je v této souvislosti zmiňována více než často… Ostatně, již jsme byli svědky několika incidentů, kdy byly zneužity právě špatně zabezpečené IoT prvky.

Jak vyplývá i z předchozích odpovědí, IoT je velmi rostoucí segment, ve kterém je obrovský potenciál. A tam, kde je potenciál, se objeví vždy, dříve nebo později, i motivace pro útočníky. V oblasti IoT je navíc patrný určitý nedostatek bezpečnostních opatření. Mnozí výrobci ani otázku bezpečnosti v této oblasti neřeší. Ale je třeba si uvědomit, že v momentě aplikace jakéhokoliv softwaru a připojení takového zařízení do sítě, se toto zařízení stává článkem, který musí mít jasně definovanou svoji roli a k tomu stanovená rizika a aplikovaná bezpečnostní opatření. Společnost Cisco je v této oblasti IoT velmi aktivní a velmi vnímá jak potenciál, tak i potřebu bezpečnostních řešení. Ostatně koncept Cisco Security je postaven tak, abychom byli schopni preventivně chránit celou síť, detekovat a blokovat případné útoky a dále monitorovat a analyzovat stav celé sítě. A to je v kontextu možná i ten nejdůležitější moment, neboť mnohdy až analytické nástroje zjistí, že se v síti pohybuje něco, co tam nepatří.

Věnují podle vás české a slovenské firmy kybernetické bezpečnosti dostatečnou pozornost? Zlepšují se? Kde vidíte největší rezervy?

V poslední dekádě je určitě znát, že se bezpečnost stává nedílnou součástí organizací. Stejně tak jako útočníci vymýšlejí stále nové a nové cesty, jak se infiltrovat, tak i společnosti reagují v adopci a nasazování stále sofistikovanějších bezpečnostních řešení. Bohužel organizace budou vždy limitovány svými rozpočty nebo lidskými zdroji. V tom vidím největší úskalí. Často ani ta nejlepší řešení nejsou správně aplikována nebo využívána. A to vše nahrává útočníkům. Ti většinou mají téměř neomezené zdroje. Určitě lze najít rezervy právě v oblasti aplikace bezpečnostního konceptu. Je smutné, když firma utratí miliony za firewall nové generace a po roce provozu jej najdete tak, jak jste jej implementovali. Právě reakce na vývoj, nasazení Threat Intelligence do bezpečnostních řešení a aplikace automatizace reakce na incidenty jsou cestou k úspěšnému zvládání dnešních kybernetických hrozeb.

Myslíte si, že situaci napomůže vyhláška GDPR, jejíž účinnost se blíží?

To je dvojsečné. Pro někoho to bude jen další papírování, pro druhého cesta, jak si udělat pořádek ve svých datech. Pokud to vezmete jako příležitost si ten pořádek udělat, pak je to velká výhra a dobrá investice pro každou společnost. Těžko lze chránit něco, o čem ani nevíte, zda a kde to máte. A osobní data jsou přitom natolik citlivé údaje, že v 21. století bychom již měli mít dostatek znalostí k tomu, abychom je dokázali správně pořizovat, používat a skladovat.