Umíte se chránit proti moderním neznámým hrozbám? Nebo se spoléháte na tradiční způsoby ochrany koncových zařízení?

Jak to máte Vy? Můžete vyloučit přítomnost útočníka ve svých zařízeních?

Za tři minuty čtení se dozvíte, jak postavit účinnou ochranu proti pokročilým hrozbám, aniž by vaše náklady poskočily rázem do závratných výšin.

Tradiční způsoby ochrany je samozřejmě nutné používat neustále. Důležité je ale vědět, že nás dnes proti útokům, které kolem sebe vidíme ochránit nemohou. Také je dobré mít alespoň jistou představu, proč tomu tak je, protože jen toto tvrzení samo o sobě asi nikoho nepřesvědčí. 

Přečtěte si třeba článek „Výsledek Testu ochran počítače 2021 časopisu dTest: nepodlehněte falešnému pocitu bezpečí ani se špičkovým antivirem!“ V něm se dozvíte o tzv. neznámých hrozbách, před kterými antiviry bohužel kapitulují – ne snad proto, že by byly špatné, ale že metody a technologie, které útočníci používají je dokážou snadno vyřadit z činnosti nebo jinak obejít. A že se to samozřejmě týká také ransomwaru! 

O ochraně proti moderním (neznámým) hrozbám se můžete zase dočíst v článku „Co je filtrace obsahu DNS a proč ji potřebujete ve vaší organizaci?“ Tam se dozvíte více, jakým způsobem se tyto hrozby uplatňují a že vysoké procento (přes 90%) útoků je vedeno přes provoz DNS, http a https, takže je právě tento provoz tím správným místem, kde odhalit škodlivou komunikaci útočníků a kde se před jejich aktivitami bránit.

V článku se dozvíte, že provoz DNS se dá filtrovat mnoha způsoby. Některé jsou jednoduché a účinné, ale dost omezují uživatele, jiné jsou komfortnější ale zase postrádají účinnost. Mnohé filtrují na základě sdílení informací o škodlivých webových zdrojích, což je už o kus dále, ale my jsme si už řekli, že nejnebezpečnější jsou hrozby neznámé, které sotva budou v nějaké databází (jinak by nebyly neznámé, že?).

Ve světě ochrany proti moderním hrozbám se v poslední době stále více prosazují řešení EDR (Endpoint Detection and Respond) – tedy ochrana koncového bodu a reakce na incidenty. To mohu jen doporučit. V zásadě jde o nástroje, kterými sledujeme koncové body (PC, mobily a servery, IoT zařízení apod.) a snažíme se detekovat aktivity útočníka – a bránit se jim. Jde o důležitý prvek pro získání vizibility nad prostředím – tedy schopnost „vidět“ útočníka, který je u nás nemilým hostem. Potíž není jen v tom, že EDR řešení je dražší než standardní prvky ochrany, to by ospravedlnily jeho lepší schopnosti detekce. Nezbytné ale je EDR systém správně implementovat – tedy definovat, jaké chování na daném koncovém zařízení budeme považovat za incident – jinak nám EDR mnoho užitku nepřinese. Incident pak někdo musí řešit a najít správný způsob, jak na něj reagovat. V zásadě je tedy zapotřebí trvalý dohled odborníka. Uvážíme-li toto, jde o nákladový posun od tradiční ochrany koncového bodu za použití firewallu a antiviru, který je opravdu značný. A při trvalém nedostatku odborníků na informační bezpečnost to ani do budoucnosti nebude lepší.

Důležitá poznámka: Odborníkem, kterého zmiňuji výše, by měla být osoba s funkcí Manažer informační bezpečnosti nebo CISO. Rozhodně nelze doporučit, aby jí byl místní správce sítě nebo IT manažer. Jde skutečně o jinou roli, které nesvědčí jejich sloučení. Důvodů je mnoho. Tím hlavním je jeho odpovědnost za informační bezpečnost organizace, která může být v jistém střetu se správou IT. Jeho odbornost tkví především ve znalostech o aktuálních hrozbách, jejich následcích a projevech, o stopách, které mohou zanechat, o indikátorech útoku a kompromitace (IoA, IoC) a o spoustě dalších věcí. Musí mít představu, jak útočníci přemýšlí, co je jejich cílem a co se právě děje ve světě hackingu. Informační bezpečností se musí zabývat trvale – naplno, a vlastně ani nemusí mít hluboké znalosti ze správy IT.

Bohužel, v obraně to, co fungovalo včera, už dnes fungovat nemusí – a to bez ohledu na náklady. Ony vlastně náklady útočníků jsou v dnešní době na útok také vysoké: do svých nástrojů investovali opravdu hodně, takže ani nám nezbude, než investovat do ochrany – abychom se nestali jejich snadným cílem a kořistí.

Heimdal Security staví EDR na umělé inteligenci a na strojovém učení. Tedy, snaží se znalosti odborníků vložit do stroje, který pak doplní lidským dohledem. Díky tomu není nutno najímat vlastního analytika nebo dohled třetí strany – vše je pokryto ve službě, která je tak nákladově více než příznivá.

Výše jsem popsal, že většina škodlivé komunikace hackerů s našimi zařízeními a systémy probíhá na úrovni DNS, http a https. Heimdal Security na její sledování nasazuje zpravodajské aktivity Threat Intelligence. Ta zkoumá veškerý provoz DNS a sleduje cílovou IP adresu webového zdroje – a jeho aktivity. Zjistí-li škodlivou aktivitu trvale zablokuje komunikaci našeho koncového zařízení s daným serverem. 

Přerušíme-li útočníkovi schopnost ovládat napadené zařízení, znemožníme jeho další činnost. Nebude schopen se pohybovat v našem prostředí, krást data ani je šifrovat. To zajistí vrstvy ochrany Heimdal Security, které postaví systém EDR a další podpůrné vrstvy ochrany. Vše je možné vyzkoušet zdarma v provozu vaší organizace po dobu jednoho měsíce. Instalace je rychlá a snadná, stejně jako provoz. Nasazení netrvá více než cca 2 hodiny a správu zvládne běžný IT manažer. A od první chvíle zkušebního provozu se budete těšit 100% ochraně! Více informací najdete na stránce Heimdal Security.