Na následujících řádcích se zaměříme na vývoj malwaru včetně problematiky ransomwaru a phishingu, mobilní hrozby a na další zajímavosti ze světa počítačového zločinu - s důrazem na podnikový sektor.

Svět hrozeb zero-day

Stále rozsáhlejší obchod probíhá s tzv. zero-day zranitelnostmi, tedy chybami, proti nimž není v danou chvíli k dispozici obrana. Za nalézání bezpečnostních mezer ve svém softwaru platí stále více výrobců, a rovněž tak příslušné částky se prudce zvyšují.

Dosud přitom hlavní legální trh v této oblasti vytvářeli ne samotní dodavatelé softwaru, ale specializované firmy jako Tipping Point či francouzská bezpečnostní společnost Vupen Security. Tyto firmy poté zabudovávaly ochranu před zneužitím do svých síťových produktů, eventuálně informace dále poskytovaly svým zákazníkům, mezi nimiž významnou úlohu hrály vlády (včetně vojenských organizací, provozovatelů kritické infrastruktury apod.).

Stále se rozšiřující legální trh se zero-day chybami neroste zdaleka tak rychle jako trh černý či šedá zóna. V USA se začalo dokonce diskutovat o možnosti zakázat export zero-day zranitelností. Kritici tento nápad přirovnávají k zákazu "vyvážet" silné šifrovací technologie, který poškodil americké firmy ve světě proti konkurenci. Existuje i řada dalších protiargumentů, když firmy obchodující se zranitelnostmi či dodávající příslušný software vesměs působí celosvětově.

To, že podobný návrh vůbec padl, ale ukazuje, jakou roli dnes zero-day zranitelnosti hrají. Analýza Trend Micro přímo uvádí, že útočníci mají k dispozici tolik zero-day exploitů (zneužití), že si je nemusí šetřit na významné cíle, ale používají je i k plošně prováděným útokům na menší firmy.

Další generace malwaru

Z malwaru, který se objevil v poslední době, stojí za pozornost zejména Duqu 2. Jde o jeden z nejpokročilejších škodlivých kódů současnosti, který využívá celou řadu dalších nástrojů. Do sítě bezpečnostního výrobce Kaspersky Lab např. Duqu 2 pronikl pomocí ukradených certifikátů čínského výrobce Foxconn.

Zneužívá zero-day chyb (viz výše), neukládá si žádné informace na pevný disk a běží plně v operační paměti. Spekuluje se, že jde opět o dílo tajných služeb, vlád nebo organizací, které mají srovnatelné zdroje. Zasaženo byla prozatím řada cílů v západních zemích i na Blízkém východě.

Duqu 2 tak můžeme považovat za další etapu kybernetické války. Není to však tak, že by starší zbraně již skončily ve šrotu. Vzpomínáte na Stuxnet, který narušil íránský program obohacování uranu, údajně neuspěl v Severní Koreji a pak unikl do volného oběhu?

Výzkumník Peter Kleissner zjistil, že stále existuje řada počítačů (v tomto případě navíc i na Dálném východě), které si z řídicích serverů botnetu Stuxnet stahují instrukce. Na některých z těchto strojů přitom současně běží i software pro řízení průmyslových systémů.

Šifrující vyděrači

Sabotáže a kybernetická špionáž míří především proti velkým cílům. Na koncové uživatele cílí dnes hlavně phishing/bankovní trojské koně. Co si útočníci slibují od útoků na menší organizace? Již asi dva roky je zde velmi oblíbenou metodou ransomware, tedy software, který šifruje data obětí a za jejich opětovné zpřístupnění požaduje zaplacení výpalného. Vyděrači jsou stále sofistikovanější, dokáží znepřístupnit data v celé síti, na síťových úložištích nebo dokonce i v cloudových službách (v tomto případě je třeba navíc ukrást přístupové údaje).

Ransomware je pro podvodníky velmi výnosným způsobem "podnikání", což potvrzuje hned několik analýz pokoušejících se o související finanční odhady. Čísla Trustwave říkají, že základní výbavu lze dnes na černém trhu pořídit řádově v tisících dolarů.

Za šanci (samozřejmě bez jakékoliv záruky) dostat se zpět ke svým datům je údajně až 0,5 % obětí ochotno zaplatit ve stovkách dolarů, ale jsou známy případy, kdy napadené instituce obětovaly až 10 000 dolarů. Ransomware CTB Locker vynáší svým provozovatelům dnes asi 100 000 dolarů měsíčně, srovnatelná čísla platí pro celou řadu dalších rodin malwaru (TeslaCrypt a AlphaCrypt). CryptoLocker, dnes zřejmě nejrozšířenější malware tohoto typu, vynáší asi o několik řádů více, protože ho paralelně používá hned celá řada skupin.

Vývoj phishingu

Ať už jde o ransomware, krádeže duševního vlastnictví nebo přístupových údajů, samotný průnik do sítě obvykle vyžaduje nějakou asistenci obětí (v případě zero-day chyb může ovšem stačit návštěva podvodného či kompromitovaného webu). Různorodé metody oklamání uživatelů můžeme zjednodušeně shrnout do kolonky phishing. Jaké aktuální trendy probíhají zde?

Analýza společnosti Proofpoint tvrdí, že cílený phishing směřuje stále více na střední management raději než na členy vedení firem. Tito lidé klikají na odkazy v e-mailech s větší pravděpodobností než samotní ředitelé.

Studie Verizonu zase uvádí, že účinnost phishingu překvapivě roste - přestože o samotné existenci těchto útoků všichni vědí a metoda je natolik rozšířená, že se s ní prakticky každý setkal i na vlastní kůži. Procentuálně stále více obětí kliká nejen na odkazy ve zprávách, ale otevírá i připojené soubory.

Mobilní rizika realitou

Také mobilní zařízení dnes představují pro podnikové IT významnou hrozbu. Tyto problémy řada prognóz předvídala s předstihem, v době, kdy rizika ještě nebyla příliš reálná. To se však nyní změnilo a podceňovat nadále tuto oblast zabezpečení se firmám rozhodně nemusí vyplatit. Chytrá přenosná zařízení slouží pro útočníky především jako oblíbená brána, kudy se malware může dostat do zbytku podnikové sítě.

V této souvislosti stojí za pozornost zjištění firmy Dimension Data. K masivnímu nárůstu škodlivého softwaru v podnikových sítích dochází pravidelně v pondělí ráno. Proč to? Infekce přenosných zařízení zřejmě ve velké míře nastávají o víkendu, když jsou koncoví uživatelé a jejich zařízení z dosahu bezpečnostních mechanismů podnikové sítě.

Hranice oddělující vnitřní síť a vnější svět (perimetr, technický firewall apod.). dnes prakticky přestala existovat. Není přitom rozhodující, zda smartphony a tablety jsou ve vlastnictví firmy nebo patří samotným zaměstnancům (situace často označovaná jako BYOD).

Na vině toho, že klíčová data opustí chráněné prostředí firmy, ale nejsou jen mobilní zařízení. Podle průzkumu Microsoftu, který obsahuje i data přímo z ČR, si 39 % zaměstnanců českých malých a středně velkých firem zasílají citlivá data soukromým e-mailem, aby mohli pracovat i mimo firmu. Bezpečné nástroje na sdílení dokumentů využívá méně než třetina zaměstnanců (29 %).

Studie Mobilita ve světě malých a středních firem 2015 uvádí, že v ČR je přitom rizikové chování výrazně rozšířenější než v jiných evropských zemích.

Co z toho vyplývá pro požadavky na firemní bezpečnostní řešení? Moderní bezpečnostní produkty by měly primárně ochránit především kritické informace/data. Zabezpečení na úrovni koncových bodů, sítí nebo aplikací je samo o sobě pouze omezeně účinné.

Pokročilé řešení by tedy mělo dokázat řídit data bez ohledu na operace, které se s nimi dějí (tisk, kopírování apod.), i na to, kde jsou zrovna uložena. Citlivý soubor by např. v Dropboxu nebo na mobilním zařízení měl mít stále přiřazená stejná oprávnění (řízení přístupu), eventuálně by prostě vůbec nešel poslat cloudovým e-mailem či uložit na USB klíčenku. Ochrana na úrovni dat/souborů mimochodem také podstatně snižuje rizika vyplývající z ransomwaru.