Pozor! Naprostá většina firem nebyla v loňském roce dostatečně zabezpečena proti kybernetickým hrozbám! 

Proč musí být tolik obětí útoků a celospolečenských ztrát, které finálně postihnou každého z nás?

Jen 20% dotazovaných organizací v roce 2021 nezažilo kybernetický útok – v předcházejícím roce to bylo 32%: jde tedy o nepříjemný trend. Tuto statistiku jsem zmiňoval v nedávném blogovém příspěvku, a spolu s ní také odhalené příčiny, které tkví v upřednostňování antivirů, jako nástrojů ochrany IT manažery, které proti moderním hrozbám prostě nemohou fungovat. Rád bych se k tomu znovu vrátil. Článek budete číst asi 3 minuty a dozvíte se také, jak vypadá ransomwarový útok – pro snadnější pochopení, proč antiviry při ochraně před touto hrozbou selhávají. Zjistíte také, čím je možné se účinně chránit.

Antiviry už máme k dispozici dlouhé roky a v dnešní době bude skutečně minimum těch, kdo je nepoužívají – a to je jistě dobře. Špatně je ale myslet si, že nás ochrání proti moderním hrozbám, které je dokážou snadno obcházet. 

Nevěříte?

Zkuste si najít nějaké statistiky vývoje útoků za posledních 10 let – třeba ransomwaru, který oprávněně patří mezi nejobávanější hrozby například zde. Nemusí ale nutně jít o ransomware: statistiky EC3 (European Cybercrime Centre při Europolu) ukazují trvalý nárůst počtu nahlášených útoků a z nich plynoucích finančních ztrát. A můžeme hledat dál. Vždy uvidíme exponenciální křivku, která rozhodně nezohledňuje fakt, že antivirus dnes používají prakticky všichni – včetně obětí útoků.

Jak je tedy možné, že přes rutinní používání antivirů čelíme stále většímu počtu úspěšných útoků? Co je na antivirech špatně?

V zásadě nic – dělají přesně to, k čemu jsou určeny. A dělají to už po léta dobře! Proto útočníkům nezbylo než hledat způsoby, jak je obejít – nebo třeba viry při útoku ani nepoužít. Úspěšné útoky, kterých jsme dnes svědky, jsou často důkazem, že se jim to daří. 

Podívejme se na možný scénář ransomwarového útoku.

Firmu XY někdo napadl, zašifroval většinu jejich PC a serverů a oznámil požadavek na výkupné: chce slušnou kupu peněz za poskytnutí dešifrovacího klíče a za to, že nezveřejní ukradené citlivé informace. 

Jak k tomu mohlo dojít?

Někdo musel zjistit, kde má firma svoje zálohy – ty je (pro úspěch útoku) třeba zničit jako první. Pak bylo zapotřebí zjistit, kde jsou nejdůležitější data, získat informace o firmě, aby bylo možné stanovit výši výkupného, udělat inventuru zařízení, která se mají zašifrovat, doručit do každého zařízení šifrovací klíč. A k tomu – ještě před zašifrováním exfiltrovat citlivá data a někam je uložit. Jistě si dokážete představit, že kdyby takovéto aktivity probíhaly příliš rychle, nezůstaly by zřejmě bez povšimnutí správců IT. Někdo musel provést první průnik, ovládnout první zařízení, hledat v jeho okolí a zajistit tzv. laterální pohyb k ovládnutí celého prostředí. 

Je vidět, že pro úspěšný útok je zapotřebí celá řada aktivit. Není těžké si představit, že to nějakou dobu trvá. Průměrný útok, který zde popisujeme trvá půl roku, často i déle. 

Jak ale takový útok souvisí s malwary a viry? Pravděpodobně málo! První průnik mohl jít třeba přes nějakou zranitelnost v operačním systému nebo jeho komponentech, samotné šifrování mohlo proběhnout nástrojem, který je součástí systému. Nějaký malware snad mohl být použit při komunikaci s útočníkem – takový malware ale byl možná zkompilován na míru, takže bude jedinečný, tudíž nebude figurovat v žádné antivirové databázi.

Můžeme si ale všimnout, že celá řada aktivit (prvků útoku) potřebuje s útočníkem komunikovat. A také že útočník potřebuje v prostředí oběti něco provádět či zadávat úkoly nějakému softwaru, což opět vyžaduje komunikaci.

Antivirus nám tady asi moc nepomůže. Pomůže ale nástroj, který dokáže komunikaci sledovat. A pokud také dokáže identifikovat maligní (škodlivou) komunikaci a tuto zablokovat, může nás před aktivitami útočníka ochránit v mnoha fázích útoku. 

Takovým nástrojem je vrstva ochrany Threat Prevention od Heimdal Security, která dokáže sledovat veškerý relevantní provoz chráněné organizace a díky umělé inteligenci a strojovému učení odhalit webové zdroje, odkud útočníci komunikují s napadenými zařízeními. Využívá k tomu zpravodajské informace a aktivity Threat Intelligence. 

Díky tomu získáme schopnost detekovat aktivity útočníka na našich koncových zařízeních a tyto aktivity automaticky blokovat. Získáme tak vizibilitu, která nedovolí hackerovi skrytě působit a škodit v našem prostředí.

Threat Prevention je možné vyzkoušet po dobu 30-ti dní zdarma. Nasazení je snadné a rychlé – do hodiny je vše vyřešeno. Hned od první chvíle se budete těšit 100% ochraně. Stejně snadná je pak správa. 

Na pokročilé hrozby potřebujeme pokročilou ochranu. Threat Prevention se stane spolu s vaším antivirem a dalšími prvky ochrany překážkou která pošle útočníky o dům dál. Napište nám hned teď nebo vyplňte formulář zde a vaše ochrana bude funkční v opravdu krátkém čase. 

Zdroj obrázku: pixabay.com