Další zjištění Indexu:

Čekání na útok
73 % respondentů uvedlo, že v příštích 12 až 24 měsících očekávají kybernetický bezpečnostní incident. Více než polovina dotazovaných (54 %) čelila útoku v posledních 12 měsících. A 52 % takto postižených uvedlo, že je to stálo nejméně 300 000 USD.

Nadbytek bezpečnostních řešení
67 % firem má na svém IT prostředí nasazeno 10 a více bezpečnostních řešení. Čtvrtina z dotázaných jich dokonce provozuje než 30. Firmy přiznávají, že velký počet parciálních bezpečnostních nástrojů zpomaluje schopnost odhalovat incidenty a reagovat na ně.

Nezabezpečená zařízení
85 % společností dovoluje k připojovat se k firemním platformám ze soukromých nespravovaných zařízení.

Investice do bezpečnosti
Účastníci průzkumu chápou své rezervy v zabezpečení firemní infrastruktury. 97 % respondentů plánuje v následujícím roce zvýšit rozpočet na kyberbezpečnost, přičemž u 86 % společností mají investice do bezpečnosti vzrůst o více než desetinu.

„Nemůžeme podceňovat hrozbu, kterou představuje naše vlastní přílišná sebedůvěra. Firmy musí investovat do integrovaných platforem a opřít se o umělou inteligenci, aby mohly pracovat ve strojovém měřítku a konečně naklonit misky vah na stranu obránců,“ uvedl Jeetu Patel, výkonný viceprezident a generální ředitel divize Security and Collaboration ve společnosti Cisco.

Článek Pouze 3 % firem je odolných proti současným kyberbezpečnostním hrozbám se nejdříve objevil na Správa počítačových sítí, vývoj software, webdesign | INTEWAY TECHNOLOGY s.r.o..

Služby pro vzdálený přístup jsou pro mnoho podniků nezbytným, ale riskantním prvkem.

Sophos zveřejnil analýzu aktivních útočníků „It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024“. Studie analyzující více než 150 případů reakce na incidenty řešených týmem Sophos X-Ops Incident Response v roce 2023 zjistila, že kyberzločinci zneužívají protokol vzdálené plochy (Remote Desktop Protocol – RDP), běžnou metodu pro navázání vzdáleného přístupu k systémům Windows, hned v 90 % útoků. To byl zdaleka nejvyšší výskyt zneužití RDP od roku 2021, kdy Sophos začal vydávat studie o aktivních útočnících, které zahrnují data od roku 2020.

Kromě toho byly služby pro vzdálený přístup, jako je RDP, nejčastějším vektorem počátečního proniknutí útočníků do sítí. Ještě v roce 2023 šlo o způsob počátečního přístupu u 65 % řešených incidentů. Služby pro vzdálený přístup jsou za dobu vydávání studií o aktivních útočnících od roku 2020 trvale nejčastějším způsobem počátečního průniku kyberzločinců. Obránci by to měli považovat za jasné znamení, že je třeba při hodnocení rizik pro jejich podnik upřednostnit právě řízení těchto služeb.

„Služby pro vzdálený přístup jsou pro mnoho podniků nezbytným, ale riskantním prvkem. Útočníci si uvědomují rizika představovaná těmito službami a aktivně se je snaží narušit kvůli zisku, který se za nimi skrývá. Zavedení těchto služeb bez pečlivého zvážení a přijetí opatření na zmírnění souvisejících rizik nevyhnutelně vede ke kompromitaci. Útočníkovi netrvá dlouho najít a napadnout nechráněný server RDP a bez dalších kontrolních mechanismů snadno najde i server Active Directory, který čeká na druhé straně,“ řekl John Shier, technický ředitel společnosti Sophos.

Jednoho zákazníka, který využívá služby multidisciplinárního expertního týmu Sophos X-Ops, útočníci úspěšně napadli hned čtyřikrát během šesti měsíců, přičemž pokaždé získali počáteční přístup právě přes odkryté porty RDP. Jakmile útočníci pronikli do prostředí zákazníka, pokračovali v úhybných manévrech v jeho síti, stahovali škodlivé binární soubory, deaktivovali ochranu koncových bodů a získali vzdálený přístup.

Dvěma nejčastějšími příčinami útoků jsou stále kompromitace uživatelských účtů a zneužití zranitelností. Studie o aktivních protivnících pro manažery IT za rok 2023 vydaná loni v srpnu ale zjistila, že v první polovině tohoto roku zneužití kompromitovaných účtů jako nejčastější příčina útoků poprvé předstihlo i neošetřené zranitelnosti. Tento trend pokračoval i po zbytek roku 2023, kdy kompromitované účty představovaly hlavní příčinu ve více než 50 % případů reakcí na incidenty za celý rok. Při kumulativním pohledu na údaje o aktivních útočnících v letech 2020 až 2023 byly kompromitované přihlašovací údaje také celkově první příčinou útoků, a to v téměř třetině všech případů reakcí na incidenty. Navzdory historicky potvrzenému výskytu kompromitovaných účtů při kybernetických útocích ale organizace v roce 2023 neměly ve 43 % případů reakcí na incidenty zavedeno vícefaktorové ověřování.

Zneužití zranitelností na druhém místě
Druhou nejčastější příčinou útoků bylo zneužití zranitelností – a to jak v roce 2023, tak při kumulativní analýze dat z let 2020 až 2023, kdy bylo hlavní příčinou v 16 %, resp. 30 % případů reakcí na incidenty.

„Řízení rizik je aktivní proces. Tváří v tvář neustálým hrozbám ze strany odhodlaných útočníků, jsou organizace, které to dělají dobře, v lepší bezpečnostní situaci než ty, které rizika neřídí. Důležitým aspektem řízení bezpečnostních rizik je kromě jejich identifikace a stanovení priorit také jednání na základě těchto informací. Některá rizika, jako je například otevřený protokol RDP, ale k radosti útočníků v organizacích přetrvávají velmi dlouho a stávají se tak vstupními dveřmi. Zabezpečení sítě omezením exponovaných a zranitelných služeb a zpřísněním ověřování zajistí, že budou organizace celkově bezpečnější a budou lépe čelit kybernetickým útokům,“ řekl John Shier.

Studie Sophos Active Adversary Report for 1H 2024 vychází z více než 150 vyšetřovaných reakcí na incidenty po celém světě ve 26 odvětvích. Napadené organizace se nacházejí ve 23 různých zemích.

Článek 90 % útoků v roce 2023 zneužívalo protokol RDP se nejdříve objevil na Správa počítačových sítí, vývoj software, webdesign | INTEWAY TECHNOLOGY s.r.o..

Ochrana koncových bodů a řízené bezpečnostní služby fungují nejlépe společně.

Podvodníci proměnili počítačovou kriminalitu v sofistikovaný a nebezpečný tanec. Využívají umělou inteligenci (AI) k vylepšování útoků prostřednictvím sociálního inženýrství a k napadání svých cílů mají k dispozici malware poskytovaný formou služby (Malware-as-a-Service, MaaS).

Vzhledem k masivnímu přílivu sofistikovaných kybernetických hrozeb je pro organizace velmi důležité investovat do vícevrstvé bezpečnostní ochrany, přičemž nedílnou součástí monitorování, vyšetřování a reakce na hrozby v reálném čase jsou řízené bezpečnostní služby, jako je řízená detekce hrozeb a reakce na ně (MDR). Bez silného a komplexního základu kybernetické bezpečnosti ale samotné řízené služby tyto hrozby účinně zmírnit nemohou.

Skutečnost je taková, že žádný jednotlivý přístup vás nemůže ochránit před všemi typy útoků. Pro zajištění komplexní obrany proti novým hrozbám musí organizace upřednostnit proaktivní opatření, která mohou zastavit útoky ještě před jejich zahájením, a to zejména silnou ochranu koncových bodů.

Proč zavést vícevrstvý přístup ke kybernetické bezpečnosti?
Ochrana koncových bodů zahrnuje zabezpečení různých koncových zařízení v síti organizace proti potenciálním kybernetickým hrozbám. Zabezpečení koncových bodů je klíčové, protože jejich slabá ochrana usnadňuje protivníkům získání neoprávněného přístupu přes tyto digitální vstupy a provádění jejich útoků.

Vzhledem k tomu, že protivníci stále zdokonalují své útočné techniky, je nutné, aby vícevrstvá ochrana pokrývala všechny fáze útočného řetězce. Pro ilustraci významu tohoto přístupu uveďme příklad z praxe. V loňském roce byli naši bezpečnostní specialisté na řešení incidentů přivoláni k nápravě kybernetického bezpečnostního incidentu a našli dva soubory, které na napadených počítačích zůstaly. Během dalšího vyšetřování identifikovali soubory jako kryptograficky podepsaný ovladač systému Windows a spustitelnou aplikaci (tzv. loader) vytvořenou k instalaci ovladače. Oba přitom byly použity při neúspěšném pokusu o deaktivaci nástrojů na zabezpečení koncového bodu. Ochrana koncových bodů klienta zahrnovala funkce proti manipulaci, které zabránily útočníkům v nasazení ransomware, ale pokud by byla jeho ochrana koncových bodů slabá nebo špatně nakonfigurovaná, mohl být útok úspěšný.

Kromě zastavení útoků před jejich spuštěním (jak vidíme v tomto scénáři) urychluje silná ochrana koncových bodů také lidmi vedenou detekci a reakci na hrozby, kterým samotná technologie nedokáže zabránit. Díky odfiltrování většiny útoků se mohou bezpečnostní týmy zaměřit na menší počet incidentů a jejich přesnější detekci a následnou reakci. I když může být lákavé přehlížet význam základních bezpečnostních opatření – zejména když neustále slyšíte o nejnovějších špičkových bezpečnostních nástrojích a službách – ochrana koncových bodů a řízené bezpečnostní služby fungují nejlépe společně.

Tři způsoby, jak zvýšit účinnost ochrany koncových bodů
Pro udržení neprůstřelné kybernetické obrany je zásadní kombinace proaktivní ochrany koncových bodů a reaktivní, lidmi prováděné detekce a reakce na hrozby. Přestože technologie nedokáže zastavit každý útok, silná opatření na ochranu koncových bodů mohou obráncům poskytnout čas potřebný pro boj proti pokročilým, lidmi vedeným útokům. Čím účinnější bude ochrana vašich koncových bodů, tím lépe bude váš detekční tým vybaven pro svou práci.

1. Audit pro průběžné zlepšování ochrany koncových bodů
Provádějte pravidelné audity kybernetického zabezpečení, abyste zajistili správnou konfiguraci vašich bezpečnostních nástrojů. Vaše organizace již pravděpodobně zavedla mnoho správných opatření na ochranu koncových bodů. Ale vzhledem k tomu, že nesprávná konfigurace bezpečnostních nástrojů byla pro specialisty na IT a kyberbezpečnost v roce 2023 největším vnímaným rizikem kybernetické ochrany, vyplatí se zajistit, aby byly vaše bezpečnostní nástroje správně nakonfigurovány a aktualizovány.

Udržováním správných konfigurací a pravidelnou aktualizací nástrojů můžete plně využít hodnotu svých investic do koncových bodů a jejich ochrany. Někteří poskytovatelé služeb nabízejí kontrolu stavu zabezpečení, ale k provedení auditu můžete použít i ověřené, specializované nástroje. Díky tomu můžete identifikovat oblasti, které je třeba zlepšit, a zajistit, abyste své portfolio nástrojů na zabezpečení koncových bodů správně průběžně upravovali.

2. Využití ochrany založené na chování
Chcete-li zajistit komplexní ochranu proti kybernetickým útokům, musíte posílit obranu v celém řetězci útoků, abyste měli více možností, jak potenciální hrozby zastavit. Přestože je dodržování osvědčených postupů kybernetické bezpečnosti – například používání složitých hesel a vícefaktorové autentizace – pro zabezpečení vaší organizace nesmírně důležité, vzhledem k sofistikovanosti a nepředvídatelnosti moderních kybernetických hrozeb je nebytná i další ochrana. Proto je rozumné doplnit základní opatření o bezpečnostní řešení založená na sledování chování v celém řetězci útoků. Nelze například říci, jak budou vypadat další kmeny ransomwaru, ale známe typy chování, které útočníci používají. Když se nebudeme spoléhat pouze na známé signatury, ale zaměříme se na chování, zvýší se tím schopnost odhalovat a zmírňovat i neznámé hrozby. Pokud implementujete ochranu založenou na chování ve více bodech řetězce útoků, můžete také hrozby rychleji odhalit a zastavit.

3. Přizpůsobení obrany prostředí kybernetických hrozeb
Neustálá informovanost o vývoji prostředí kybernetických hrozeb umožňuje optimalizovat obranu proti útokům. Například podle průzkumu společnosti jsou dnes dvěma hlavními příčinami ransomwarových útoků zneužité zranitelnosti a kompromitované přihlašovací údaje. S tímto vědomím můžete upřednostnit kontroly zabezpečení koncových bodů, které budou tyto hrozby nejlépe zmírňovat, včetně funkcí proti exploitům a zneužití přihlašovacích údajů, a také prosadit širší bezpečnostní opatření, jako je vícefaktorové ověřování.

Žádné opatření na ochranu koncových bodů není nepřekonatelné. Silné a vícevrstvé zabezpečení koncových bodů ale umožňuje zastavit většinu útoků ještě před jejich uskutečněním, což snižuje rizika a zvyšuje užitečnost řízených bezpečnostních služeb. Pokud dosáhnete správné rovnováhy mezi základními bezpečnostními opatřeními a reaktivními kyberbezpečnostními službami, můžete se lépe zorientovat v dnešním prostředí kybernetických hrozeb.

Autor: Raja Patel, senior vice prezident pro vývoj bezpečnostních produktů, Sophos

Článek Ochrana proti sofistikovaným kybernetickým útokům vyžaduje vícevrstvou obranu se nejdříve objevil na Správa počítačových sítí, vývoj software, webdesign | INTEWAY TECHNOLOGY s.r.o..