V hlavičce blogu máte napsáno “V hlavě správce sítě: Myšlenky, nápady, postřehy” — to svádí k otázce, co z hlediska security v posledních měsících nejčastěji řešíte u zákazníků?

Poměrně příhodná otázka. Už pár měsíců totiž přemýšlím, že bych podnadpis blogu změnil na něco ve smyslu “IT bezpečnost spočívá v pečlivé a poctivé práci”. To totiž nejvíce odpovídá tomu, s čím se u firem při auditech setkáváme. 
IT oddělení se často snaží dělat “raketovou vědu”. Přemýšlí nad pokročilými a drahými technologiemi jako sandboxingSIEM. Přičemž základní a jednoduché věcí přeskakují. Např. servery aktualizují jednou za půl roku, používají jen pár hesel (protože nemají vyřešený password manager), vše spravují pod domain adminem a cvičné disaster recovery ze záloh ještě nezkoušeli.
Abyste mě špatně nepochopili. Sandboxing a SIEM jsou užitečné technologie. Jde jen o to, že jsou to “nadstavbové” technologie. Nejprve je třeba si v síti udělat pořádek — znát svou síť, vědět jaká jsou tam zařízení, mít vyřešené aktualizace, segmentaci sítě, správu hesel, rozdělení oprávnění, spolehlivé zálohování, dobře nastavený firewall a antivirus. Jde jednoduše o to, zaměřit se nejdříve na činnosti, které nám při nejmenším úsilí přispějí k zabezpečení nejvíce. 

Zmiňujete sofistikované útoky a nepřehlednost infrastruktury — jaké to může mít na organizace a firmy dopady? Co vy jako odborník vidíte za případná rizika s tím spojená?

Při vyšetřování útoků mne častokrát zarazí, jak rychle se útočníkům podařilo udělat “lateral movement”. Je to fáze útoků, kdy mají útočníci pod kontrolou nějaké zařízení a snaží se svou kontrolu rozšířit na co největší část sítě. V řadě případů se jim to podařilo během pár hodin. 
Například v jednom případě se jim podařilo skrze spear-phishing dostat backdoor na počítač asistentky ředitele. V pátek večer se na něj připojili a během tří hodin získali doménového administrátora a ovládli tak celou síť. To je velice krátká doba a pro firmu co nemá non-stop dohled nad síti je těžké včas reagovat.
Je třeba investovat více času do zabezpečení vnitřní sítě, abychom útočníkům “lateral movement” udělali složitější a měli jsme tak více času je detekovat a zastavit.
Většina správců, se kterými se setkávám, dává veškeré své úsilí do ochrany “perimetru”. Dívají se na bezpečnost černobíle — v internetu jsou ti zlí, kdežto ve vnitřní sítí je bezpečno. Je to škoda, protože perimetr již mívají zabezpečený dobře a další investovaný čas už má jen zanedbatelný přínos. Naopak vnitřní síť bývá po bezpečnostní stránce velmi zanedbaná. Tudíž každý den strávený nad jejím zabezpečováním je velice znát.

Chápu, že není jen jeden správný přístup, který by ochránil všechny uživatele. Je však podle vás nějaký základ, který je v dnešní době už nutností, aby si firmy svá data ochránily? Je něco, co se za posledních řekněme 10 let v tomto ohledu změnilo, např. objevily se nové technologie a nástroje?

Problém je, že bezpečnost asi nikdy nebude 100 %. Vždy budou existovat nějaké zero-day zranitelnosti, lidské chyby a ne všechny bezpečnostní technologie půjdou aplikovat (např. budou neslučitelné s byznys požadavky). Proto by každá firma měla mít dobře vyřešené zálohování, které bude odolné proti útoku hackerů. Díky tomu bude moci získat data zpět, aniž by musela platit výkupné. 
V tomto ohledu hodně pomohl rozvoj cloudu a rychlého internetu. Za rozumné peníze je teď možné dělat off-site zálohy do cloudu, kde jsou zálohy chráněné proti smazání (díky snapshotování, tedy zaznamenání obrazu záloh k určitému datu) a živelným katastrofám. 
Ovšem to neznamená, že už nemusí bezpečnost dál řešit. Úspěšný útok stále pro firmy představuje odstávku v řádu dnů až týdnů a riziko zveřejnění jejích privátních dat.

Takže to není jen o odstraňování příčin, ale skutečně o prevenci — je jasné, že jako profesionál v IT bezpečnosti se asi často setkáváte s nepochopením ze strany budget holderů, jaké argumenty, případně případy z praxe v těchto okamžicích používáte?

Přesně tak, prevence je zásadní. Předcházet problémům je levnější, než řešit jejich následky.
Vzhledem k velké mediální pozornosti, která se nedávno věnovala kybernetickým útokům (viz napadené nemocnice), si budget holdeři uvědomují potřebu bezpečnost řešit. Peníze tedy jsou.
Problém však je efektivní vynaložení peněz. Téměř každá IT firma dnes “dělá” bezpečnost. Stejně tak je zde hromada výrobců bezpečnostních SW/HW řešení. Jenomže bezpečnost není komodita a kvalita jednotlivých řešení služeb se diametrálně liší. Přičemž ani cena není spolehlivý ukazatel.
Naše strategie je, dělat ohledně bezpečnosti osvětu. Chceme aby české firmy a instituce měly dobré zabezpečení.

Rok 2020 se zatím jeví jako rok plný změn a nutnosti být připraven i v ty nejneuvěřitelnější okamžiky, to platí i o kybernetických útocích. Přeci jen, některé lze považovat za více pravděpodobnější terč než ty další. Např. v USA se bude volit prezident, v Tokiu bude olympiáda (přeloženo na 2021), navíc se díky koronaviru dost rozviklala celosvětová ekonomika a spousta organizací jde “do online,” což s sebou nese velké riziko samo o sobě. Jsou ještě nějaké další události či okolnosti v letošním roce, které by podle vás s sebou mohly nést zvýšené riziko útoku?

Když je řeč o olympiádě, zrovna nedávno jsem četl článek o kyber útoku na zimní olympiádu 2018 v jihokorejském Pchjongčchangu. Jednalo se o velice zajímavý a sofistikovaný útok, který velkým dílem náhody a štěstí neskončil ostudou. Určitě si jej doporučuji přečíst “The Untold Story of the 2018 Olympics Cyberattack, the Most Deceptive Hack in History”
Jestli přesun firem do “on-line” bude mít vliv na stav kyberkriminality těžko soudit. Většina firem již na home-office a distanční práci připravená byla. Na druhou stranu stále je dost firem, co budou modernizovat a digitalizovat své procesy. Vzhledem k tomu, že IT lidí je na trhu nedostatek, může se stát, že některé implementace změn nebudou udělány úplně pečlivě.

Vzhledem k tomu, jak se v poslední době vyvíjí hackerské útoky — v jakých bezpečnostních nástrojích vidíte budoucnost?

Dobrá otázka. Krom dělání restrikcí je třeba mít i přehled nad svou sítí. Jen tak se dozvíte, že “restrikce” byly překonány a v síti je vetřelec. K tomu vám pomohou systémy jako IDS/IPS, honeypoty, analyzátory síťového provozu, nebo SIEM systémy. Výběr systému však záleží na potřebách a možnostech firmy. 
Krom včasného varování o problému v síti jsou tyto systémy třeba i pro zpětné vyšetřování incidentů. S jejich pomocí jste schopni zjistit kam všude se útočníci dostali, jaké účty a zařízení byly kompromitovány, jaké techniky a programy při útoku použili, jaká data ze sítě vynesli, jak dlouho byla síť kompromitovaná, jaký byl vektor průniku (cesta, kterou došlo k průniku do systému). 
Bez těchto systémů je vyšetřování útoků velice pracné a nepřesné. Zvláště v současné době, kdy ransomware skupiny data nejen šifrují, ale část jich i kradou a následně zveřejňují (pokud jim není zaplaceno) jsou potřeba více než dříve. Bez nich je téměř nemožné zjistit, jestli vám při útoku byla nějaká data ukradena, nebo ne. 
Vzhledem ke klesající ceně síťových analyzátorů, jejich odladěnosti a zvyšujícímu se významu IT čekám jejich rostoucí adopci. Jedná se o technologie s velice dobrým poměrem cena / výkon. 

Martin Haller

Martin Haller je spolumajitel PATRON-IT a celým srdcem technik. Specializuje se na kybernetickou bezpečnost a má zkušenosti etického hackera. Věří, že aby mohl síť dobře zabezpečit, musí ji nejprve umět prolomit. Na svém blogu martinhaller.cz přispívá aktualitami z oblasti IT bezpečnosti a také vlastními postřehy z praxe. Má rovněž kanál na YouTube – dozvíte se na něm například, jak vypadá útok na webkameru.