Cyber threat management: faktory ovlivňující počet kybernetických útoků

Pojďme se společně zamyslet nad tím, co ovlivňuje a nadále i bude podstatným způsobem ovlivňovat počet kybernetických útoků.

Jednou větou, byť možná trochu na úkor přesnosti, by se dal stav, ve kterém se nacházíme, formulovat asi nějak takto.

S rostoucím počtem uživatelů s nízkým bezpečnostním povědomím přistupujících k informačním systémům a operačním technologiím kdykoliv, odkudkoliv a z jakéhokoliv zařízení trvale připojeného do internetu, které je možné napadnout skrze zranitelnosti zneužitelné za použití všem snadno dostupných nástrojů a služeb, počet kybernetických útoků nadále poroste.

Každé zařízení připojené do internetu se může nacházet jak v roli útočníka, tak i oběti. Může na něj být veden útok, ale zároveň je možné z něj vést útok.

Jednotlivé faktory, které počty útoků ovlivňují, jsou samozřejmě celkem dobře známy, ale vždy byly posuzovány izolovaně, což byla zásadní chyba, protože na kyberprostor nebylo nahlíženo jako na celek, a jednoznačně zde scházel holistický přístup.

Po dobu několika let nám zde tak postupně rostlo nezanedbatelné riziko kybernetického útoku, kterému v podstatě nikdo nevěnoval pozornost, a rozhodně bych to nepřičítal nějakému kreativnímu řízení rizik.

Připomeňme si, že riziko, které se skládá ze tří komponent, hrozby, zranitelnosti a dopadu roste, pokud kterákoliv komponenta roste. A jak se postupně měnila krajina hrozeb, a zvětšoval se povrch útoku, rostla nejen zranitelnost, ale zvyšovala se i pravděpodobnost hrozby a dokonce i hodnota dopadu.

Jinými slovy nerostla nám zde jen jedna komponenta, což je obvyklý to případ, ale všechny tři. Logicky tomu ani nemohlo být jinak, protože i v kyberprostoru fungují základní ekonomická pravidla. S minimálními náklady a se značnými úspory z rozsahu je zde možné poměrně rychle dosáhnout obrovského zhodnocení vložených prostředků a navíc s celkem nízkým rizikem.

A právě tato skutečnost činí tento trh pro kyberzločince nesmírně atraktivním a láká ke vstupu další organizované skupiny. Mimochodem, krásně se na něj dá aplikovat Porterův model 5 sil. Nicméně, pro správné porozumění jednotlivým klíčovým faktorům, které podstatným způsobem ovlivnily, a mnohé z nich budou i nadále ovlivňovat, nárůst počtu kybernetických útoků, je třeba se vrátit o pár desetiletí zpět.

Konkrétně do druhé poloviny 90. let minulého století a podívat se na to, jak vývoj informačních technologií v zásadě formoval současnou podobu útoků. Stručně by se dal celý vývoj charakterizovat takto:

  • Dostupnost internetu akcelerovala počet uživatelů a připojených zařízení, jejichž zranitelnost rostla spolu s komplexitou operačních systémů a s počtem nainstalovaných aplikací.
  • Komplexita systémů rostla na základě požadavků uživatelů na množství dostupných funkcí, podporovaných vstupních a výstupních formátů a spolupráci mezi aplikacemi a snadnost jejich užití.
  • Snadnost užití opět zvýšila počet uživatelů a jejich zařízení, a zatímco celkové bezpečnostní povědomí těchto uživatelů klesalo, tak možnosti, schopnosti a počty útočníků naopak rostly.
  • Snadnost a rychlost s jakou se daly zakládat nové domény a publikovat na nich vlastní obsah bez nějakých hlubších znalostí pak umožnilo učinit z každého webového serveru potenciální zdroj hrozby.
  • Osamocené hackery toužících po poznání nahradily vysoce organizované kriminální skupiny, kterým jde výhradně o finanční prospěch. A výnosy z této trestné činnosti lákají ke vstupu do tohoto odvětví další zločinecké skupiny.
  • Požadavek na přístup k systémům kdykoliv, odkudkoliv a z čehokoliv zvyšuje nároky na zdroje a spolu s tím i náklady a to vede k transformaci IT a konsolidaci, virtualizaci, digitalizaci, robotizaci, a zkrácení životního cyklu vývoje, což mnoho firem z pohledu řízení rizik a zajištění odpovídající úrovně bezpečnosti nezvládlo úplně nejlépe.

Hned zkraje uveďme, že ono riziko rostlo, především s počtem uživatelů a jejich zranitelných zařízení připojených do internetu a to při současně klesající úrovni jejich znalostí a nízkého bezpečnostní povědomí. Je třeba si uvědomit, že v prvopočátku internetu se jednalo především o počítačové nadšence, kteří byli prvními, kteří se do internetu připojili a disponovali i poměrně hlubokými znalostmi o tom, jak počítač a operační systém funguje.

Tím, jak se operační systémy, především pak Microsoft Windows stávaly stále intuitivnější a uživatelsky přívětivější, a periférie stačilo jen připojit a začít používat v duchu hesla „Plug & Play“ (anebo také „Plug & Pray;-), a při instalaci čehokoliv stačilo v zásadě jen klikat na tlačítka „Yes“ a „Continue“ se do internetu připojovalo stále větší množství domácností a firem, které počítač využívaly výhradně pro uspokojení svých potřeb, a úroveň jejich znalostí týkající se informačních technologií byla minimální.

Svou roli sehrálo i to, jak byly do sítě připojovány první počítače. K připojování prvních počítačů do internetu docházelo tehdy přes vytáčené připojení (dial-up). Z důvodu vysokých nákladů na vytáčené připojení tyto počítače nebyly nikdy trvale připojeny do internetu a rovněž byly i odděleny od zbytku sítě a data stažená nebo nahraná na internet se pak přenášela na disketách.

Rychlost spojení se tehdy počítala v jednotkách kilobitů za sekundu, a náklady se účtovaly za dobu trvání spojení, bez ohledu na objem přenesených dat, takže cílem většiny uživatelů bylo rychle stáhnout a odeslat poštu nebo data a zase se odpojit.

S přechodem na pevné a v zásadě neomezené připojení a klesající cenou za připojení a postupně se zvyšující rychlost přenosu, se začaly do internetu připojovat celé sítě.  Nicméně přístup na internet byl i nadále omezený, rozhodně nebyl pro všechny zaměstnance, zpřístupněny byly jen vybrané servery nezbytné pro výkon daného předmětu činnosti organizace, a tento jejich seznam se pravidelně aktualizoval, přidával se na tzv. white list.

Situace se však po několika letech stala neúnosnou a přešlo se na seznam zakázaných stránek dle jejich kategorie a obsahu, tzv. black list. Ovšem ani filtrování webu problém se stažením škodlivého kódu nevyřešilo, neboť ten se nacházel i na naprosto důvěryhodných stránkách.

V prvopočátku však byly možnosti šíření virů v prostředí MS-DOS, které tehdy dominovalo ve většině firem, značně omezené, neboť muselo dojít k zastrčení diskety a ručnímu spuštění zavirovaného souboru. Stačilo však uživatele poučit, že nesmí spouštět neznámé soubory s příponou exe, com a bat, a když k tomu přeci jen došlo, tak stačilo daný počítač přeinstalovat.

Tím, že tyto počítače nebyly připojeny do sítě, tak nehrozilo šíření virů na další stroje v síti. V případě prvních sítí, postavených stále na jednouživatelském operačním systému MS-DOS a serverovém operačním systému Novell Netware nebo Windows for Workgroups, případně kombinaci obojího, jsme se mohli s nějakými pokročilými červy, které by se sami šířili po síti, setkat jen výjimečně.

S rostoucí oblibou MS Windows se však situace začala postupně měnit k horšímu, objevovaly se nové druhy malware, ve Windows přibyla funkce autorun umožňující spuštění obsahu na médiu ihned po jeho zasunutí do počítače. Počet spustitelných souborů se nakonec tak rozšířil, že se společnost Microsoft rozhodla v dalších verzích svého OS přípony souborů ve výchozí konfiguraci po instalaci vůbec nezobrazovat.

S rostoucím úspěchem kancelářského balíku MS Office a jeho podílem na trhu se pak začal škodlivý kód šířit i v podobě tzv. makrovirů a to v dokumentech (MS Word) a spreadsheetech (MS Excel), kde je nikdo nečekal.

S rozmachem elektronické pošty (MS Outlook) se pak začaly poměrně intenzivně šířit i červi a trojští koně. Většina této havěti se dále vyvíjela a v modifikované podobě přežila dodnes, kdy dominují v podobě bezsouborového malware a trojanizovaných aplikací umístěných na nejrůznějších úložištích, odkud si je uživatelé sami stahují a instalují

Tak jak se zprvopočátku jednoúčelový počítač stával víceúčelovým, rostla i komplexita systémů a spolu s nimi i počet zranitelností. Je to celkem logické, protože čím větší počet řádků kódu napíšete a čím složitější daný systém je, tím více chyb pak obsahuje, ostatně to dokládá i počet zranitelností v NVD databázi.

Co bylo dříve považováno za jasné symptomy virů nebo obecně škodlivého kódu, je dnes považováno za zcela normální chování a běžný projev operačního systému a jakousi daň za bezpečnost. Je nasnadě, že za této situace není běžný a mnohdy ani pokročilý uživatel schopen odlišit probíhající aktualizaci systému od chování malwaru, který provádí těžbu kryptoměny anebo mu šifruje data na disku. Tito uživatelé, resp. jejich zařízení, představují velice atraktivní cíl pro útočníka, který může na tato zařízení vést útok, úspěšně je napadnout a vést z nich útok na další cíle.

Kromě toho tyto uživatele nějaká bezpečnost absolutně nezajímá, a vzhledem k neomezenému vysokorychlostnímu připojení už vůbec neřeší objem přenesených dat, neboť si i navíc zvykli, že operační systém na pozadí stahuje obrovské balíky dat, neustále se aktualizuje a konfiguruje, přičemž o tom uživateli nedává vůbec vědět a ten jen eviduje výrazné zpomalení svého počítače. (Obzvlášť na počítačích s 2 GB RAM, kde byly původně Windows 8, a později proběhl upgrade na Windows 10, a pro které jsou 4 GB RAM málo.)

Problém však zdaleka nespočívá jen v MS Windows, nýbrž v celém ekosystému, a především ve  zranitelných aplikací třetích stran, u kterých uživatel ani pořádně neví, kdo je jejich autorem, a v mnoha případech to ani nemá při nejlepší vůli jak zjistit. Ostatně tohle je dlouhodobý problém, a píši o tom zde.

A ti, co chtěli hackovat a útočit, to začali mít také jednodušší. Zatímco počátkem 90. let jste si mohli z BBS systémů stáhnout tak akorát hacker manifest, common criteria a rainbow series, tak dnes si můžete stáhnout hotové exploity, detailní postupy útoku anebo si celý útok za pár dolarů objednat, prostě Crime as a Service, zkr. CaaS.

A změnila se i struktura a motivace útočníků. Za útoky již nestojí osamocení hackeři vedeni touhou něco se naučit a dokázat, ale organizované skupiny, jejichž hlavní motivací je výhradně finanční prospěch.

Spolu s novými trendy v řízení lidských zdrojů a s tlakem na snižování nákladů se začaly objevovat požadavky na přesun zaměstnanců z kanceláří do open spaců, umožnění práce z domova, ze soukromých zařízení zaměstnance a s přístupem k informačním systémům společnosti přes internet.

Požadavek businessu byl jasný, přístup do sítě musí být možný z čehokoliv (anything), odkudkoliv (anywhere) a kdykoliv (anytime) a to za účelem jak vlastní práce, tak i vzdálené správy, a to i kritické infrastruktury často outsourcované a vykonávané zaměstnanci třetí strany.

Pokud jde o samotnou koncovou výpočetní techniku, tak se začaly desktopy nahrazovat soukromými notebooky, tablety a smartphony, ze kterých se rovněž začalo přistupovat k systémům společnosti, což vedlo k masivnímu používání Wi-Fi sítí, opět se všemi riziky, které tato technologie přináší. Především zde není nutné se fyzicky dostat k přenosovému médiu a síťové infrastruktuře, a je možné na ni snadno skrytě a nepozorovaně zaútočit.

V další dekádě se pak objevila myšlenka snížit náklady tím, že když nyní více zaměstnanců pracuje z domova, tak je možné jejich pracovní místa sdílet. A protože nebylo jasné, kdy, kde a kdo bude sedět a z jakého počítače bude pracovat, tak bylo rozhodnuto, že všechny systémy musí být na síťové úrovni dostupné ze všech počítačů, které se připojí do podnikové sítě.

Doposud pracně budovaná segmentace vzala za své. Od té doby stačilo, když do organizace prošel jeden jediný maligní e-mail anebo zaměstnanec zavítal na maligní stránku, a záhy byly kompromitovány všechny stroje v síti.

Vzhledem k nedostatku zahraničního kapitálu a nuceného vstupu zahraničních investorů do českých firem došlo k propojení sítí různých IP adresních rozsahů nacházejících se v různých zemích, což v případě geopolitického konfliktu, kdy se válka odehrává i kyberprostoru, vede k tomu, že se konflikt snadno přelije z jedné země do druhé. Jasně se to ukázalo na případu Petya, kdy kromě hlavního cíle byla zasažena i spousta dalších menších cílů, a to především díky vybudované síťové konektivitě.

K šíření škodlivého kódu přes internet pak velkou měrou přispěl i web 2.0 a možnost publikovat vlastní obsah. (Povšimněte si data zveřejnění příspěvku, a skutečnosti, že prakticky všechny hrozby, které jsem před více jak deseti lety nastínil, se nakonec realizovaly.)

V podstatě kdokoliv tak mohl na jakýkoliv web, který umožnil uživateli vložit komentář, vložit i škodlivý kód anebo jen prostý text nebo obrázek a ten pak mohl klidně sloužit i jako C&C server. Detailně jsem se tomu věnoval v této sérii příspěvků, které rovněž mnohým v době jejich publikování přišly jako sci-fi.

Počet domén, které mohou být napadnuty, anebo ze kterých může být veden útok, roste doslova raketovým tempem, denně je zakládáno neuvěřitelných několik stovek tisíc nových domén, přičemž až 70 % z nich je zneužíváno ke kybernetickým útokům.

Napadány jsou však i domény, resp. webové aplikace, které jsou zaregistrovány již drahnou dobu. A to přesto, že jsou umístěny v cloudu a na bezpečné infrastruktuře. Je tomu tak proto, že tyto weby trpí četnými zranitelnostmi. Na tyto weby jsou pak umísťovány podvodné stránky nebo škodlivý kód.

Když si uvědomíme, že až 90 % veškeré rozeslané pošty je SPAM, a ten se nám daří celkem dobře zadržet, i když občas některé e-maily projdou a spolu s ním i phishing, který se vyvíjí a je stále sofistikovanější, tak je to na druhou stranu docela úspěch.

Ovšem pravda je, že za bezmála 20 let se nám bohužel nepodařilo s malwarem nijak výrazně zatočit, tedy kromě klasického viru, který tak nějak zašel na úbytě. Dokonce ani ta nejlepší antimalware řešení nedetekují nový malware ihned, ale zpravidla až po několika hodinách a ty ostatní až po několika dnech. (Otázka je, co s tím udělá v následujících letech cloudové antimalware řešení postavené na AI/ML, když útočníci už dnes tyto technologie používají.)

A konečně poslední faktor, který rovněž musím zmínit, je nezvládnutá transformace IT, resp. s tím spojené problematiky řízení bezpečnosti a rizik, především pak v oblasti outsourcingu, konsolidace, virtualizace, digitalizace, robotizace, agilního vývoje a v posledních letech pak integrace řešení běžících v cloudu a on-premise a přístupů k nim. Ale to už jsme v zásadě v současnosti.

Tento výše nastíněný vývoj IT v posledních dvaceti letech proběhl tak nějak podobně ve většině organizacích bez odhledu na odvětví národního hospodářství nebo sektor, ve kterém daná organizace působí a v některých k těmto změnám stále ještě dochází.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Cyber threat management: faktory ovlivňující počet kybernetických útoků” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: