Minule jsme si ukázali, že data-at-rest šifrování není všespásné, a že naopak jen mitiguje rizika, která nejsou až tak pravděpodobná.

V praxi jsem se setkal s tím, že uživatelé jsou přesvědčení, že jejich data v AWS, SalesForce, GCP,.. jsou šifrována jejich klíčem a poskytovatel tedy k datům nemá přístup, což je zásadní omyl.

Fyzická bezpečnost datacenter, ve kterých jsou cloudy provozovány bývá zpravidla na velmi vysoké úrovni. Občas sice nějaké lehne popelem, ale jsou zde mnohém větší rizika, např. únik informací.

To se řeší řízením přístupu a šifrováním. Šifrování je vůbec takové magické slovo. Šifrují zločinci, agenti ve filmech, a spousta dalších institucí a poskytovatelů. A na ty se podíváme. Když je něco šifrované, tak je to přeci zabezpečené nejlépe, jak to jde. Opravdu?

Dali data do cloudu, a teď je tam skutečně mají, ve velkém mraku kouře, do kterého se tato data rychle přetransformovala.

K požáru došlo ve středu 10. 03. 2021 v 00:47  v datacentru v budově Alsace Tourisme SBG2 ve Štrasburku. Krátce na to se objevila zpráva na Twitru: SBG2 just gone. SBG1 damaged. SBG3 at risk. SBG4 safe. Customers told to activate DR plans.

Baiting je jednoduchá technika, která spočívá v tom, že útočník nastraží přenosné paměťové médium, které představuje de facto návnadu (bait) na určitém místě, kde jej najde oběť a ta z něj pak spustí škodlivý kód.

Kreativita a drzost útočníků v tomto směru nezná mezí. Pojďme se společně podívat některé scénáře útoku.

Cloudy jsou v zásadě homogenní prostředí, které útočník může předem detailně prozkoumat, důkladně otestovat a najít v nich zranitelnosti, kterých může následně zneužít.

Jednoduše si zaplatí a dočasně se stane klientem Microsoftu, Googlu, Amazonu nebo nějaké jiné organizace provozující cloud a vyžádá si bezpečností politiky, standardy, příručky a vůbec veškerou dokumentaci a tu i dostane.

V boji s phishingem soustavně prohráváme a nic na tom nemění ani probíhající bezpečnostní osvěta zaměstnanců.

Snažíme se dostat pod kontrolu rozhodování zaměstnance, které on sám má pod kontrolou jen v jednotkách procent, protože ve většině případů jej zcela ovládají emoce.

Můžete argumentovat dosažením obchodních cílů, mandatorními požadavky anebo odstrašujícími případy.

Co to znamená a jaká jsou úskalí této argumentace, o tom si přečtete v tomto článku.

Víte, kolik organizací se v minulém roce stalo obětí nějakého toho kybernetického útoku?

Jistěže ne a vlastně ani nemůžete. Skutečný počet organizací, které se staly obětí nějakého kybernetického útoku, se nejspíš ani nikdy nedozvíte, protože žádné veřejné statistiky neexistují. Ale vězte, že jich je mnohonásobně více, než se uvádí.

Pro mnoho lidí je kybernetická válka stále něco neuchopitelného a nepochopitelného. Když se v těchto dnech objevila informace o úspěšném útoku na FireEye, tak mě jako první napadlo, kteří jejich nestátní klienti to také odnesou.

Možná se ptáte, co má soukromá firma společného s kybernetickou válkou? Pokud se jakýkoliv subjekt zaplete, byť i jen do rozkrývání státních kyber útoků, musí vždy očekávat, že i on se stane cílem.

Blíží se nám konec roku a tak opět nadešel čas se zamyslet nad tím, jakým kybernetickým hrozbám budeme čelit v nadcházejícím roce 2021.

Už teď je jisté, že budeme čelit mnoha různým hrozbám. A vzhledem k tomu, že drtivá většina útoků je zatím stále vedena spíše plošně, tak by základní bezpečnostní opatření měl přijmout v zásadě každý.