CRA Bezpečnost: Co je to Ransomware a jak se mu bránit?

00:00:01
Rád bych vás jménem Společnosti České radiokomunikace přivítal u dnešního webináře, který se zabývá problémy takovou hrancového útoku. Jmenuji se Lukáš Bartakovič a u společnosti České radokomunikace mám na storysky portfólem zákaznících služeb kybernecké bezpečnosti a dnešním webinářem vás budu provázet. V dnešním webináři si řekneme, co je to ransomware, jaké jsou jeho hlavní poznávací znaky, povíme si o známých případech, které se odehrávaly v roce 2020, tedy v minulém roce, jaké jsou základní metody obrany a nakonec si to schrneme do určitých doporučení a bezpraktic, co by společnosti a instituce měly dělat a neměly dělat tak, aby se co nejlépe dokázali vyhnout napadení útoty právě typu ransomware.

00:01:09
Už tedy k samotnému webináři.

00:01:14
…mnoho roku vyšlo na spadejském servru České republiky. o tom, že Česká republika bude stále česky čelit. Ani, že to není ten, co máme. Děkuji. A vědět, taky uzimu. A. Ať se ten titulek článku může zdát lehce alarmující, tak určitě, ale jedna informace v tomto článku je důležitá, vychází to i z té zprávy o úřadu Nuky a to, že se mění to cílení útoku právě typu ransomware. Dříve se ty cyberútočníci snažili napadnout náhodné počíteče, náhodné společnosti, tam, kde viděli díru, tam vyskoušeli, zda se jim podaří se infiltrovat do jejich infrastruktury, firmy a instituce z oboru zdravotnicí, obchodů, technologické firmy. poskytovatela služeb a obsahů, tedy firmy, které jsou dost často závislé právě na té svojej vlastní infrastruktuře. V případě ransomware útoků, v případě s nepřístupním ty infrastruktury je to dokáže paralizovat. A u těchto firm ten důvod je, že je tam vždycky tlak na rychlé obnovení do normálního stavu. To znamená, že taková společnost, taková instituce může být dost často letšena k tomu, i aby právě výkupné těm kyberkriminálníkům zaplatila. Výpadek pro ně znamená strátu tržeb, strátu zákazníků, za placení právě výkupného nejčeského. A nejzajímavější zpráva nebo nejzajímavější útok v roce 2020. …jednoho americkou společnosti Garmin a právě v červenci této firmě přestávají fungovat webové stránky, technická podpora, nejdou ukádat aktivity, nefunguje služba Garmin. Uživatelé, kteří mají chytré hodinky, chytré náramky, nemůžou apodovat.

00:03:35
Lukáš, já se omlouvám, ale malinko zvuk nám ho průje, tak jenom jestli zkusíte poštelovat ten mikrofon na těch sluchátkách. případně vzít klidně ty větší, protože se to hodně seká.

00:04:06
Ty poprosím jednou chvíli, teď už všechny ostropení.

00:04:08
Lukáš tam jenom zkusí něco s tím zvukem.

00:04:16
Zkouším teďka, je to lepší?

00:04:18
Lepší, lepší. Děkujeme.

00:04:22
Dobře, takže u společnosti Garmin ten problém byl i z toho důvodu, že se nezabývá pouze výrobu uživatelské elektroniky na trackování sportovních aktivit, ale zároveň i přístroji k navigaci letadel, avionika, navigaci lodí. To znamená, výpadek jejich služeb je pro některé zákazníky kritický. Stopy útoky vedly do Ruska, k organizaci Evil Corp a podle výsledků vyšetřování, obnovila. co nejdříve. Konec. zpátky v provoz, musela zaplatit výkupné ve výši 10 milionů dolarů. Teď se vrátíme do České republiky. Březen minulého roku v České republice se začínají objevat první případy nákazu novým typem koronaviru. Začíná se diskutovat kapacity zdravotnictví, začíná se Vlastně i kampaně v rámci televizí. A v tu chvíli přichází ransomware útok na fakultní nemocnici Brno. začne vyřazovat z provazu. IT systémy, odkladají se operace. Někde jsem slyšel, že ten nemocník se musel částečně se vrátit zpátky k papírům, dokonce se k tomu vyjadřoval i náš premiér, který označil tento akzahienismus. Podle informací, které máme, nebylo v tomto případě nějaké výkupné zaplaceno. Nicméně tak, aby se ta nemocnice dokázala vrátit do normálu, tak na místě zasahovaly lidé z Nukibu, Národního centru organizovaného zločinu. Dokonce tam byl poslán tým z Všeobecné fakultní nemocnice z Prahy, který právě s řešením ransomwareu a kybernetických útoků na nemocnice má zkušenosti. Zároveň se tam vystřídalo několik komerčních subjektů. Podle závěrečné zprávy použitý ransomware byl Defray. Dokonce teď je aktuální zpráva, která byla slyšet dneska ráno v rádiu, že Zhruba minulý týden byla napadena další nemocnice, pravděpodobně stejným způsobem. To jsou zatím informace, které máme. Víc informací Nukip nezdělal. Ani to je, o jakou nemocnici se jednalo.

00:06:58
Lukáši, pardon, ještě nám vypadl výkon screen prezentace. Přijde na hudbě? Dostupnout.

00:07:10
Děkuji.

00:07:11
Jo.

00:07:26
co teda omlouváváte teď. Tak. Tak už je to vidět správně.

00:07:35
Super.

00:07:41
tady u tohoto slidu je Dobrý si říct, co to vlastně ransomware je. Ransomware z anglického názvu ransom, co se dá přehořit jako výkupné, znamená zašifrování dat, citlivých dat zákazníka, dat, na kterých mu záleží a požadování výkupného. kdo za těmito útoky stojí. Většinou jsou to nestátní organizace, jsou to hekerské skupiny, Jakuba zmiňovala Evocorp z Ruska. Zároveň se dost často v různých zprávách zmiňuje, že Na tady těch typech útocíků můžou figurovat i vládní agentury, které jsou financovány vládami, dá se říct, jako ze zemí typu KLDR, Čína nebo Rusko. jak útočí na ten systém. Většinou snaží se využít zranitelnosti formou phishingu, to znamená podvodných e-mailů a primárně to sociální inženýřství. To znamená, snaží se nějakým způsobem okalmat ty uživatele a získat od nich přístup do toho systému. Z analýzy, kterou si před minulým roce zpracovala společnost Sofos, tak je na pravé straně vidět v tabulce. jakým typem infiltrace se ten útočník dostal do systému. Je to vzorek asi z 2,5 tisíce analyzovaných případů. Je vidět, že kliknutí na odkaz, stažení souboru 29%, vzdálení útok na servo 21%. To znamená, nejčastější bylo nějaké stažení souboru, kliknutí na škodlivý soubor v e-mailu. A znamená to, že přes 80% všech infiltrací do systému té společnosti, té instituce jsou sítěvé útoky. Je to něco, co se správnou konfigurací, správným nastavením toho systému by se tomu dalo předejít. Cyberkriminálníci v případě ransomwareu cílí na nejslabší článek, a ten nejslabší článek je většinou uživatel. A nejvíce ransomwareu vzniká pro operační systém Windows, což dá se říct, že je pravděpodobný, jelikož systém Windows je i nejčeský zpoužívaný v rámci třeba původníkového nasazení. Na dalších screenách jsou vidět příklady toho, jak takový ransomware vypadá. Šifrovací ransomware datalocker, kde je vidět stránka o tom, že data byla zašifrována a zároveň je tam odkaz na bitcoinovou peněženku, kde může, kde ten postižený uživatel může zaplatit za to, aby mu ty data byly vráceny. I vzhledem jako doporučení Národního útvaru kybernické informační bezpečnosti je dost diskutabilní, jestli v případě, že se ransomware objeví u nás na našem počítači, v našich sítí, jestli platit nebo ne, jelikož není žádná garance toho, že ty data vám budou vráceny. Ransomware nejsou pouze šifrovací, škodlivé. Může to být e-mail typu sextortion e-mail. Příkladem je e-mail napravo, který vypadá, že pochází z nějaké důvěryhodné osoby, z důvěryhodné domény a snaží se formou textu, který je psaný docela dobrou češtinu, vydírat toho uživatele s tím, že ho natočil příčinnosti, kterou nikdo nedělá a pokud ji někdo dělá, tak asi by nebyl rád, kdyby u toho byl natočený a snaží se získat z toho uživatela nějaké peníze. Ten e-mail vypadá relativně věrohodně. Jaká je tedy mechanika malware? Jak se dostane do toho systému? Tady ta mechanika malware se nazývá Kill Chain. Začíná to u infikovaného e-mailu s infikovaným souborem, případně nějakým odkazem. Kliknutím na odkaz, uživatelé nějakým způsobem donucen, aby na ten odkaz kliknul a tím kliknutím na odkaz. se stáhne škodlivý kód. Neškodlivý kód potom má ještě další fáze, které budou na dalším slidu. Nicméně, když se do toho systému infiltruje, hledá zajímavá data, snaží se vypnout antivirus. systém centru, snaží se dostat tam, kde jsou data zálohována, zároveň se snaží kontaktovat směrem ven do internetu a hledá command and control. servery. a snaží se jim říct, že se úspěšně infiltroval do systému a zároveň, což je ta poslední fáze, se snaží, jakož i z podstaty se jedná o počítačový věr, rozšířit na další počítače. To znamená, hledá okolní počítače v síti, hledá, jaký má zranitelnosti a případně, že to zranitelnost sidí, snaží se ho infiltrovat také. Tak. Tady na pravé straně je analýza útoku na Benešovskou nemocnici, kde byl využit Malaver Emotet, Trickbot a Ryuk. Ten vektor štíření útoku byl opět e-mailem, to znamená, uživatel obdržel spam s malwarem jako přílohu, nedopatřením na ten infikovaný soubor kliknul, do počítače se mu stáhl malware Emotet. Jedná se o makrovirus, který primárně slouží pro získání přístupu k systému a instalaci dalšího škodlivého softwaru. To znamená, ten Emotet sám o sobě stáhne ten malware Trickbot, což se jedná o trojan, který je určený k sběru citlivých dat, Konec tak nainstaluje samotný ryuk, což už je skutečně ten ransomware, který šifruje data, snaží se Snaží se najít, kde jsou data zálehována. ukáže hlášku s tím uživateli, s tím, že jeho data byla zašifrována. Pro tu danou instituci potom jedna z cest, pokud se takhle dojde k infikování toho daného zařízení, je obnovit ty data ze zálohy, pokud ta záloha byla taky nakažena. Ideální, když má, a ne každá společnost to má, nějaké offline zálohy, na které tady ten ramcovér nemůže. A ta obnova je potom mnohem složitější. Co se týká cílení útoku, jak už bylo zmíněno, nejlepší článek a nejčeskější cíl útoku je právě uživatel. Už se nedá říct o tom, tak jak je to na obrázku napravo, že by uživatelé byli tak neskušení a věřili tomu, že když jim přijde lámanou angličtinou e-mail, kdy mu nigerijský král odkazuje 50 milionů dolarů, že na danou informaci kliknou. V dnešní době ty e-maily jsou mnohem sofistikovanější, ty útoky jsou rafinovanější. Dost často ten e-mail je psaný dobrou češtinou, přichází z e-mailu, který vypadá. Důvěry hodně imituje to reálného uživatele, může tam být pouze překlep, který se uživatel nevšimne a zároveň se snaží tou zprávou, která v tom e-mailu je, vyvinout na uživatele, na příjemce toho e-mailu tlak, tak, aby jednal rychle, aby si ty informace neuvěřoval a co nejpravděpodobnějíc klikl na odkaz anebo otevřel tu přílohu. Odkaz může být nasměrovaný na nějaký portál, který potom vypadá jako portál skutečné společnosti, může to být trackovací systém, nějaké kury, Otevřením souboru například zinfikovaným makran si ten škodlivý kód do počítače nahraje. Cílem tohoto prvotní fáze útoku je získání přístupu do toho systému. Nejdůležitější v této fázi je důsledná edukace uživatelů, tak aby byli schopni identifikovat, že se jedná o podvodní e-mail. A. aby věděli, co v takovém případě mají dělat, kam to hlásit, co s takovým e-mailem dělat. Tím se přesouváme do dalšímu tématu, který je vzdělávání uživatelů, které je kritickým prvkem tomu, aby se ten malware nešířil, protože tak, jak bylo zmíněno v těch předchozích případech, až se jednal o nemocnice, vždy musel se najít někdo, kdo ten škodlivý software si dotal svého počítače stánu. Tady cituji bezpečnostní report společnosti Alef z roku 2019, který analyzuje, kolik peněz, jaký náklady vynakládají společnost, Přes 40% firm ročně vynakládá na jednoho zaměstnance méně jak 20 Kč ročně na vzdělávání právě v této oblasti. Konec. což je docela alarmující informace. Více než tisíc korun, potom je zajímavé číslo 15%, může se jednat o banky, může se jednat o domů společnosti, které neberou kibernickou bezpečnost na lehkou váhu. Důležité je, aby ty uživatela byly informovaní o tom, jak poznat. že se jedná o podvod, co znamená bezpečný pohyb v kyberprostoru, když mám podezření, na koho se mám obrátit, jakým způsobem reagovat, neklikat, kam to poslat a zároveň, když už omelem kliknu, něco se mi stáhne, co mám udělat. Většinou nejjednodušší řešení je odpojit ten počítač od sítě v tu danou chvíli a kontaktovat své IT oddělení. Ty. To školení může být formou e-learningu, prezentací nebo testů. Zároveň si některé společnosti dělají simulované phishingové útoky. To znamená, posílají sami phishingové e-maily na svoje zaměstnance a vyhodnocují, kdo na ně klikne, udělá to takový zajímavý report a ten uživatel může být nějakým způsobem potom informán, že klikl na škodlivý e-mail, že ať si na to dá příště pozor. To sami se dá dělat třeba s fleškama, které se pohazují různě po budově. i z toho se dá udělat report. A zároveň je takhle jako všeobecné doporučení, že Všichni zaměstnanci, všichni uživatelé by měli jít aspoň jednou ročně poučení a informování o základech kybernetické bezpečnosti a pojmu v tom kyberprostoru. Co si z pohledu IT administrátora, jak se takovým rámcem věru bránit, je dobré vycházet za doporučení Národního úřadu pro kybernické informační bezpečnosti, kde je příročka pro IT administratory, která schrňuje asi v 50 bodech, na co by si ten IT administrátor měl dát pozor, jak adresovat jednotlivé body, ať už je to z pohledu infrastruktury, sítí, servlu, aplikací nebo operačních systémů. Konec. Já jsem tady jako zjednodušil a chtěl bych tady ukázat pět základních pilířů ochrany proti ransomware útokům. Prvým pilířem je kvalitní ochrana. To znamená, je dobré v rámci své infrastruktury mít firewall s útém funkcemi, mít dobře chráněno ochranu e-mailu s ochranou proti phishingu. To znamená, primárně by většina podvodných e-mailů k tomu uživateli neměla vůbec dorazit. A pokud k němu dorazí a nějakým způsobem si ji podaří překonat ty filtry, nestáhl. Zároveň je nutné to kombinovat. s ochranou koncových zařízení proti pokračilým hrozbám. metoda ochrany sandboxingu, o které budu mluvit dále, a chránit si svoji serverovou infrastrukturu před útoky. Důležité je taky zmenšovat útočnou plochu infrastruktury, to znamená, pokud propagují nějaké služby do internetu, ať už jsou to e-maily, webové stránky, mít co nejmenší plochu, co nejmenší možnost dávat těm záškodníkům co nejméně otevřených portů. a mít opravdu skutečně jenom to nutné minimum. To znamená, když budu mít webový server, povolím pouze porty 80 a 443. Všechny ostatní nepotřebné porty zablokuju na Firewallu. a na ty bezpečnostní politiky na Firewallu, skrz které se bude do té infrastruktury komunikovat, tak na ně aplikovat nějaké funkce z těch next-gen funkcí, které Firewall mají. Zároveň zabezpečit zdálený přístup. Ideálně přistupovat přes šifrovaný VPN tunel. Pokud jsou uživatelé a mají nějaké administratorská opatření, vykonávají nějakou práci, že můžou něco změnit, něco překonfigurovat, tak používat metodu Least Privilege Principle, to minimum práv, které potřebuje k vykonání svojí práce a ne víc. To znamená, nemusí mít přístup k rootu toho serveru. ke všem jeho funkcím. Zároveň ověřovat uživatelů. logovat přístupy, použít třeba dvou faktorů autentifikaci, aby Pokud ten uživatel zadá hesla, tak si ho ověřit ještě nějakým druhým faktorem, to znamená náhodným generátorem hesel, případně nějakou biometrikou, jelikož hesla Už téměř od celého začátku jsou překonaná metoda. Uživatelé používají jednoduchá hesla. na který potom ty útočníci můžou použít. Jednoduché slovníkové útoky případně si defaultní heslo vůbec nezmění. A pokud už se ten malware, škodlivý kód, dostane do té infrastruktury, tak je třeba zamezit v nekontrolovaném šíření. To znamená segmentovat síť a logovat, co se v té dané síti děje. Co se týká segmentace sítě, je tady grafika, která ukazuje šíření útoku v nesegmentované. někdy na ploché síti. To znamená, na tomto screenu, který je hodně zjednodušený, tak je vidět, že server, pracovní laptop připojený přes Wi-Fi i firmní pracovní stanice jsou připojeny na jedné síti, což snad se ve firmách nevyskytuje, ale pro zjednodušené ukázání principu to mělo postačovat. Pracovní laptop připojený přes Wi-Fi sít, objeví se na něm zranitelnost a Utočníci se na něj snaží zautočit. Využijí zranitelnosti, dostanou se do daného zařízení a Ta fáze poslední toho kill chainu, tedy snaží se najít ty další zařízení v té dané síti a sledují, jestli taky u nich není nějaká zranitelnost, kterou by mohly využít a infiltrovat i další systémy. Tady je vidět, že se šíří i na firmní pracovní stanici, která je umístěna třeba v kanceláři, objeví se další zranitelnost a už jsou infikované obě dvě zařízení. Tak. Tady už jsou základy segmentace sítě, jak to udělat. V tomto případě stále máme všechny zařízení připojené na jednom segmentu sítě. Škodlivý kód se může beztrestně šířit do všech zařízení. A první věc, která nás asi napadne, takže ten server v té dané sítě. nemá co dělat. Ideálně serverovou infrastrukturu oddělit, oddělit do tzv. DMZ-ky. Primárně se to dělá u zařízení, které propagují nějaké služby do internetu. A pro tu DMZ-ku dokážu na Firewallu nastavit nějaká bezpečnostní pravidla. To znamená pro uživatelé přistupující jak z internetu, tak z vnitřní sítě, nastavím konkrétní porty, přes který můžu komunikovat a nastavím tam bezpečnostní politiky a pravidla případně využiju ještě next-gen funkce toho Firewallu, to znamená intrusion prevention system, intrusion detection system, tak aby to bylo chrání. A zároveň je to oddělené od ostatních segmentů Pokud mám Wi-Fi síť, ideálně ji oddělím do další veleny, to znamená, dám další VLANu a tentokrát už není terminována na tom nejbližším switchi, nicméně ta VLANa je terminována na firewallu a zase pokud ta VLANa je tam terminována, tak si v komunikaci s ostatními zónami můžu vydefinovat, kdo kam může komunikovat, na jakých portech, případně tam zapnout nějaké bezpečnostní profile. A aby jsme dokončili tu segmentaci sítě, tak vezmu i tu firemní pracovní stanici. a umístím ji do vlany interní lan, která bude taktéž terminována právě na tom firewallu. Pokud mám nějaký L3 switche, můžu terminovat. může všechno dělat v rámci jednoho switche. Co se týká komunikace, směrem ven, tady těch pracovních stanic a servlu, tak je dobrý zapnout intrusion prevention, intrusion detection systém, který by měl detekovat v tom provozu škodlivý kód, který se snaží využít zranitelnosti těch daných zařízení, to znamená ty infrastruktury, která sedí za tím firewallem, zároveň DNS filter, který nám umožní monitorovat a zároveň ovlivňovat, jaké zařízení komunikují nějaké IP adresy. DNS filter by měl obsahovat informace o škodlivých doménách, o doménách právě command and control serverů a zaměřit komunikaci na tyto servery. To znamená, pokud je přítomný v síti nějaký malware, bude se snažit komunikovat na tady ty podezřelé IP adresy a DNS server by to měl odchytit, nějakým způsobem nás informovat případně to zakádat. Pro uživatele potom je dobrý na těch politikách zapnout antivirus, který funguje. na bázi signatur a kontroluje v provozu výskyt škodlivýho kódu, webfilter, který může omezit a povolovat přístupy na jednotlivé webové stránky, kategorie. Ať už je to škodlivý obsah, je to nějaký sexuální obsah, případně zbraně a tak dále. A zároveň Application Control, který je zase účinným nástrojem v Děkujeme. vynucování bezpečnostní politiky v přístupu ke konkrétním aplikacím typu právě TOR, různé anonimizační VPN, gateway a tak dále, které taky můžou být vstupem škodlivého kódu do naší infrastruktury, do našeho systému. Mezi další nástroje a další elementy ochrany před ransomware je vedle firewallu jeho správného nastavení a segmentace sítí, které je zatím. i ochrana mailové komunikace. Dalé, dat společnosti Verizon z roku 2019 se nejčastějším vektorem šíření malovéru a škodlivého kódu, ať už ve formě přílohy nebo linku, právě e-mail. Na ty uživatové e-mailu útočí, ať už je to malovra škodlivý kód, případně podvodné phishingové e-maily, nebo právě sextortion e-maily, které se snaží vylákat peněz. Ideální e-mailová ochrana je taková, která většinu těchto útoků už odchytí. Má na to různé nástroje, ať už je to kontrola na výskyt škodlivého kódu na bázi signatur, případně má databázi reputaci odesílatelů a IP adres, který jsou označený tím engineem, těma laboratořema, který s tím zabývají jako škodlivé. Zároveň se dívá i na obsah, co je obsahem té zprávy. Další metody jako validace odesílatele. Důležitý je, že Na základě nějakých generických informací by to třeba 90% útoků měl odchytit samotný ten engine. Potom je to i o tom, že ty lidi a uživatelé e-mailových schránky by měli mít možnost, aby řekli, tento e-mail je. spam, tento e-mail je nějaký škodlivý, označit ho tak a tímhle způsobem se potom i ta mailová appliance učí, co je škodlivý soubor a co není. Samozřejmě to je všechno ochrana, která by měla zabránit tomu, aby se ten e-mail k tomu uživateli vůbec dostal. Nejde vyloučit, že se k němu nedostane a v případě, že se tak stane, tak je Jsou pak další mechaniky, jako je třeba click protection nebo data leak prevention, click protection. funguje tak, že pokud je součástí do e-mailu nějaký link, na který je třeba kliknout, tak pokud na něj ten uživatel klikne, tak dochází k dalším testům toho daného linku, jestli se nejedná o stažení škodlivého kódu a to bude v tom případě jemu povoleno. na ten odkaz přijí. V případě Data Leak Prevention je možný aplikovat nějaké filtry, které zamezí nebo kontrolují, jaké soubory jsou tím uživatelům stahovány a jakým způsobem jsou ty vydány. Tato forma funguje ideálně na škodlivé soubory a na ty znaky, které už byly objeveny, to znamená, je na ně vytvořena nějaká databáze škodlivého kódu. To znamená, funguje na bázi signatur. Nicméně existují útoky. Jejíž signatura nemusí být v databázi, nebo se jedná o nové, ještě neznámé útoky a ty laboratoře, který se studium těch škodlivých kódů a vytvářením databází o tom škodlivém kódu zabývají, je ještě nezahrnuly a to zařízení jim neví. Proto je v takovým hrozbám se říká Advanced Persistent Threat, to znamená jako pokročilé. A. pokročené hrozby a v tomto případě je dobrý ochranu mailu a ochranu perimetru kombinovat se sandboxem. Sandbox je mechanika právě před vzírou dej útoky, to znamená útoky, které ještě nejsou známé, nejsou zavedené do té databáze a nejsou známé jejich signatury a zároveň neznámé hrozby. Funguje to tak, že A. Když je nějaký sobor označen jako podezřelý, to zařízení ho pošle do sandboxu, což si můžu představit jako virtuální prostředí. ve kterém je nainstalovan operační systém, i třeba nějaká běžná …ž na běžný set programů, jako kancelářský balíček Office a v tady tom virtuálním prostředí ten nástroj Sandbox, ten škodlivý nebo podezřilý soubor rozbalí, spustí ho a jsou tam. sleduje to, jak se bude ten podezřelý soubor chovat. To znamená, jestli se nějakým způsobem dívá po té síti, jestli se snaží přistupit nějakým systémovým prostředkům. Tato operace by měla trvat minimálně minuty a na základě těch informací sledování toho škodlivého kódu, tak by se mělo vyhodnotit, zda ten podezřelý soubor je skutečně jako vhodný nebo nevhodný k doručení. To zařízení by se mělo, Podel dělím. To, co jsem teď zmiňoval, většinu těch elementů, tak jsou vlastně nástroje, které něco dělají, které tu komunikaci kontrolují, povolují, zakazují nějakým způsobem ji jako řídí. Důležitým faktorem je ale i logování, logování události a provozu. Protože IT administrátor, bezpečnostní administrátor by se měl dozvědět o tom, že se v té síti něco děje, že něco bylo zakázané, že někdo se snažil stáhnout, To znamená, je důležitý ten provoz logovat. Zase je doporučený logovat informace z bezpečnostních zařízení, to znamená z firewallů, z WAFek, z VDOS ochrany, z operačních systémů a z aplikací. Zároveň je dobré logovat i flow, to znamená informace o tom, kolik dát na jaké IP adresy tečou. a tyhle logi někde ukládat. To znamená, je dobrý mít nějaký log management u ložiště logů. Ty jsou vhodný, ať už nějaký forenzní analýze, to znamená, pokud dojde k útoku, ale i ty administrátor má možnost se k těm logům vrátit, podívat se a vyšetřit, odkuď ten útok přišel, koho infikoval a sestavit právě ten kill chain a ty informace, co se přesně jako dělo. A může mu to sloužit vodítko k tomu, aby v dalších případech, v dalších typech útocích se na to připravil a proti tomuto útoku postavil administrátor. Ideálně s tím, co tam dělal, co třeba měnil. Když máme ty logi, ty logi jsou. obrovské množství dat, které je třeba nějakým způsobem analyzovat, nějak jako zpravovat. A na to je nastavba SIEM, což je Security Incident and Event Management. který nad tím logmanagementem, nad tím úložiškem logů dělá nějakou analytickou nástavbu a snaží se ty logy vizualizovat, snaží se z toho udělat nějaké kosmislupené informace, které jsou čitelné v té lidské podobě. Zároveň se snaží korelovat informace z různých zdrojů, to znamená vezme informace z operačního systému, z firewallu a z koncového zařízení. A z těchto informací se snaží udělat nějaké obrázy, které by nám mohly říct, že se například Když si to spojím, že ve stejné době došlo například k neoprávněnému přihlašování na nějakou pracovní stanici, případně se tam můžou nahrávat i informace třeba ze vstupních karet. A tyhle všechny informace, když si dokážu spojit, tak můžu odhalit útok, který, pokud bych se na to díval pouze na konkrétní zařízení, bych ani nejdenifikoval, že se jedná o nějaký kybernecký útok nebo kybernecký incident. To znamená, mám tu uložiště logů, je nad tím nějaká analytická vrstva, která mi snaží ty informace vyzualizovat, řadit a zároveň kvantifikovat, dávat jim nějakou severitu, jestli se jedná o kritické, nekritické události. A úplně jako nejvyšší nastavba tak je SOC, což je Security Operation Center, což je tým, který by na ty bezpečnostní incidenty měl nějakým způsobem reagovat a v případě, že je vytvořena nějaká bezpečnostní politika, nějaký procesy, jak se chovat v případě kybernetických útoků, tak pokud v případě, že se identifikuje nějaký kybernetický incident, tak na něj adekvátně zareagovat. To znamená, už v jeho zárodku, Přijavujeme identifikaci. učinit kroky, které vedou k minimalizaci dopadů na tu dennou infrastrukturu. To, co bylo předtím, to znamená syn, log management a nějaké logování, to jsou většinou nástroje, nějaké aplajency, zařízení. SOC tým už je vlastně tým lidí, který se o který tady to činnosti vykonává. Jsou to vlastně lidský činnosti nad všema tady těma zařízením SMu a log managementu. To logování a vlastně jako zpráva těch logů reakce na incidenty, tak je asi takovým základním pílířem toho, aby bylo možné odhalit a vyšetřovat nejen proběhlé útoky, odhalit, co se v té síti dělo, ale zároveň i nástroj k tomu, aby bylo možné těm dalším kyberneckým útokům předejít a každá společnost, každá instituce, která to s kyberneckou bezpečností myslí vážně, by měla nějakým způsobem ty své data logovat a vyhodnocovat. Stáváme se k poslední kapitole, která se zaměřuje na ochranu koncových zařízení. Ta ochrana koncových zařízení je ještě více akcelerovaná situací, která v České republice a vlastně i ve světě je v současné době, začala v roce 2020. na světovou pandemii koronaviru a to je masivní přechod na home office. S tím home officem už ty společnosti fungují, pokud to neměly dříve nějak masivně nasazeno, tak už třeba tři čtvrtě roku. Teď už jsou i schopní se nějakým způsobem na to podívat a říct si, jestli to pro ně dává smysl, jestli to přineslo nějaké benefity, jestli jsou vůbec schopní v tady té home officeové době fungovat. jsou slyšet hlasy z obou stran Spektr, to znamená, ať firmy, který svým zaměstnancům nechávají úplnou volnost a nechají je pracovat hlavně na home officech a vidí v tom jako zvýšení efektivity práce a nějaký benefit, tak i firmy, který si home officeu ten benefit nevidí, spíš jako nutné jízlo, argumentují jako snížení kreativity, snížení potkávání lidí a tak dále. Zároveň do toho jsou různý tlaky na shareované kanceláře a takový takový flexibilnější místa k práci a k setkávání. Těžko říct. kam se to celé pohne, nicméně. Už teď je asi vidět, že v mnoha firmách to nebude stejný, jako to bylo v roce třeba 2019. Ty firmy se na to musí nějakým způsobem připravit a dost firm se bude snažit těm svým uživatelům, těm svým zaměstnancům nějakým způsobem zefektivnit tu práci na. na home office, zároveň co ty administrátoři by měli řešit. jsou takové třížské, jestli to znamená zajištění provozu během nečekaných událostí, nemusí to být pouze světová virová pandemie, může to být povodně, může to být něco lokálního, může to být nějaký výpadek napájení. zároveň zajistit tomu uživateli tak, aby dokázal pracovat flexibilně a efektivně, zároveň ale bezpečně z dá se říct kterýhokoliv místa, jak už je to domácnost, domácí router nebo je to nějaká veřejná Wi-Fi kavárna, i když to zrovna v aktuální době taky nejde pracovat. A pro mnoho firm a jejich zaměstnanců je práce z domova vnímána jako benefit pro své zaměstnance a jsou určitě lidi, kterým se na home office, kdekoliv jinde mimo kancelář, pracuje líp. Dá se předpokládat, že v mnoha firmách to vyústění bude takový, že částečně bude jako home office a částečně bude určitě setkávání lidí, protože něco je vhodné pro kreativitu, něco je vhodné pro setkávání lidí a asi ne všechno bude dobře nahradit jedním nebo druhým. To ale IT administrátorů a bezpečnostního administrátory přináší nové výzvy, nové překážky. Na humovisu. Ať už si na ten home office odvedete firmní zařízení, případně používá nějaký svůj domácí počítač, nějaký svůj laptop od zbožíhaného výrobce, dejme tomu, ty zařízení jsou vysunutý mimo perimetrový firewall. Vlastně sedí na nějakém domácím internetu poskytovatele, kterýho ten uživatel doma má. Můžou přestupovat nejen z toho domácího internetu, ale i z nějakých sdílených veřejných sítí, z nějakých Wi-Fi sítí. Každá jako nějaký problém s tím zařízením, tak je pro to administratora složitější, protože třeba není schopen mu ho přiníst a není tam A zároveň, pokud je v té dané firmě politika vlastní zařízení, to znamená s anglickou zkrátku nazývený BIOT, tak je i, co na těch zařízeních je, jestli jsou tam jenom povolené aplikace, jestli to zařízení je aktualizované na instalované aplikace a tak dále. To znamená, Ty úkoly pro zprávce IT by měly být zajistit bezpečné šifrané VPN připojení ke zdrojům firmy. tak, aby mohl efektivně pracovat, aby se těm informacím nemohl dostat nikdo jiný, ale zároveň, aby to připojení a to zabezpečení nebylo pro uživatele limitující, zajistit ochranu proti malwareu, ochranit proti něm pokročeným hrozbám a zároveň nějakým způsobem i nahlížet na ten vulnerability patch management, jestli to zařízení, které se k té síti připojuje, je aktuální, jestli tam Ten útočník nemůže využít nějakou hrozbu tak, aby se infiltroval do toho zařízení. Analýz, které byly zpracované v případě běžných ramcových útoků nebo i těch největších, tak je, že využili zranitelnosti, které v té době už byly třeba měsíc nebo dva opraveny a pouze z toho důvodu, že ten uživatel nebo ten administrátor neaktualizovala to zařízení, tak se do toho systému infiltrovaly. Ochrana uživatelských zařízení, tak dá se říct, že se stává ze čtyř pivířů, to znamená za prvý ochrana koncového zařízení proti virům. proti malwareu, exploitů, zároveň je možný aplikovat na ně nějaký aplikační filtering, web filtering, to znamená naštívených webových stránek, aplikací, to znamená, jak zajistit ochranu dokoncového zařízení. Dá se představit pod běžným antivirovným softverem, který na těch zařízeních jsou instalovaný. Zároveň by tam měl být nástroj pro bezpečné připojení, pro bezpečnou komunikaci, to znamená nějaký VPN klient. ať už na technologii SSL nebo IPSec vytáčenou VPNku, zároveň je dobrý, když je to napojený třeba na Active Directory a pro lepší komfort to tomu uživateli umožňuje single sign-on, nějaký jednoduchý připojení. A. Třetí pilíř je získávat informace od toho klienta zpátky do té naší infrastruktury. To znamená dívat se na telemetry, jak ten co znamená informace o komunikaci toho zařízení o jeho stavech. kontrolovat zranitelnosti, vidět, jaké jsou tam aplikace, jestli jsou aktuální a zároveň, pokud to zařízení není v souladu s naší bezpečnostní politikou, jsou tam objeveny kritické zranitelnosti, případně dostanu od toho zařízení informaci, že bylo napadený, tak bych měl mít možnost nějakým způsobem ho dát automaticky do karantény na základě nějakých událostí. a zároveň je dobrá integrace na Ochranu proti pokročím rozbám to znamená integrace do sandboxu. Tyhle čtyři plíře můžou být řešeny různými. důznímé. to znamená, ten uživatel může mít až čtyři programy nainstalovaný na tom koncovém zařízení, případně jsou společnosti, který to nabízí v nějakých bandlech a řeší více tady z těch pilířů. novým takovým trendem. Jo, ještě je třeba zmínit, že tady se jedná o endpoint protection. a novým trendem tak je ETHER, což je Endpoint Detection Response, který se snaží při vlastně na ty zranitelnosti a na ty útoky reagovat co nejrychleji. To znamená, snaží se ten provoz jako analyzovat a udělat nějakou automatizovanou odpověď. Je to vlastně doplně k tomu Endpoint Protection. který pracuje primárně na bázi signatů, to znamená detekuje, jestli něco není špatně a to, co se na tom počítači děje, jestli neodpovídá nějaký signatuře škodlivého kódu, škodlivého chování. Adder se dívá zase na ty data, analyzuje, využívá umělou inteligenci a machine learning, tak, jak je to teďka jako moderní zmiňovat, že se tady ty moderní mechaniky a nástroje využívají a z těch dat, tak a vygenerování incidentu, tak si přinastaví nějakou response nebo odpověď, co se má udělat. Nejčastější je to třeba karanténa toho hostu, to znamená, je odpojen do sítě, bude dán na nějakou karanténní velanu a bude moct komunikovat pouze do internetu. Zároveň v tu chvíli je notifikovaný. No. uživatel, teda IT administrátor. No. To se dá všechno nazvat nějakou automatizací, to znamená jako předefinováním krokům, co se stane, když. Zároveň by smělo být nějaký remediaci útoků, to znamená, když analyzuje, že se snaží ten škodlivý krok přistupovat k nějakým systémům souborů, tak se je snaží ochránit. A dá se říct, že tyto systémy mají za úkol přidetekovat ten útok už v jeho počátcích a nějakým způsobem mu zabránit a předejít na základě právě mechanik jako umělé inteligence a machine learning. Tak. Toto je závěrečný slide a tady bych schronil nějaký best practice pro ochranu před ransomware. Primární byl tomu věnovaný právě možná největší čas tohoto webináře, tak je školení a edukace zaměstnanců. a uživatelů. To znamená, uživatel by měli poznat, jak vypadá podezřelý e-mail podle určitých znaků, které ty e-maily vykazují a jak se mají chovat, když jim něco podobného přijde. Ideálně kam to mají hlásit, na koho se obrátit. Člověk, který jim řekne ano, přepošli mi to ano, smaž to, nemusí si tím zabývat. Důležitý je zálohování ideálně offline kopie, jelikož z mnoha případů doložených právě napadení ransomware z minula, tak byly informace, že ani online zálohy nepomohly a právě musel se přecházet na ty staré offline zálohy, které nemusely být úplně aktuální a potom dávat dohromady ty databáze znamenalo mnoho práce. Zároveň aktualizovat a patchovat aplikace, operační systémy, Škodlivý kód, škodlivé soubory útočí právě na tyhle zranitelnosti, využívají je a většina úspěšných útoků, jak bylo zmiňováno, byla díky bezpečnostním dírám, které v tom systému byly a dávno už na ně byla vymyšlená oprava. Zároveň je dobrý mít, když takovej útok nastane, nebo už jako nastal, mít připraven nějaký plán, ať už remediace toho útoku, tak potom nějakého plánu obnovy. aby ten administrátor nebyl přesně, že a vlastně neví, co má dělat, ale už věděl ano. A třeba jako nejjednodušší rada, která je taková jako laická je, když se něco taky ostane, vytrhnout ten počítač ze sítě. Potom se bude řešit, co bude dál a pak už by to měla být nějaká systematická součinnost kroků, to znamená analýza, co všechno bylo napadené, nějakým způsobem oddělení těch zařízení. A ty zařízení se pak dají třeba, když jsou napadené, spustit v nějaké oddělené véláně a snažit se s nich obnovit ty data a dostat tu společnost, tu instituci zase zpátky do stavu, kdy běžně. Funguje. A zároveň jako poslední věc tak je mít dobrou ochranu tady vlastně v těch pilířích, které byly zmiňované, případně se spojit s nějakým partnerem, který řeší tu kibernickou bezpečnost a No. To. Konec. kybernetickou bezpečnost s ním jako konzultovat a nastavit to tak, aby to fungovalo správně. V případě třeba nemocnic, tak dokonce ta hrozba je podle Nukibu tak vysoká a ta paralýza toho daného oboru, zvláště v dnešní době, je tak velká, že bude zřízen vlastně jako institut, který se bude starat o to a bude dohlížet na to, aby třeba zrovna ty nemocnice byly proti těm kybernetickým útokům chráněny a nedocházely IT a security administrator je případně managementu, aby na tohle to byl připraven. Já vám děkuji za pozornost. Podívám se, jestli jsou nějaké dotazy. A pokusím se zaplnit. Tak, první dotaz je, jestli bude k dispozici samotná prezentace. Bude, dokonce to bude formou videa, takže Všem, kteří se na webinář přihlásili, tak určitě pošleme tu prezentaci, případně i vlastně link na to video, kde bude možný si to přehrát. A dotaz vytrhnul počítač ze sítě, tak tím bylo myšleno, ano, z datové. Měl bych tak, že vlastně Pokud to zařízení už je napadený, je zašifrovaný, tak dá se říct, že s tím už rychle nemůžu nic udělat. Pro mě je důležitý, abych zamezil tomu šíření dál, zamezil tomu, aby došlo k napadení další zařízení, to znamená oddělim ho od té sítě, nechám ho běžet a pak nějakým bezpečným způsobem se na něj pokusím přihlásit a ty data smějí dostat očištění od toho ransomwareu. Takže zpustit to v nějaký virtuáce, přehlásit to, otestovat. a třeba se podaří něco z toho zachránit. Je to ve finále jako vlastně mechanika, kterou ty společnosti, které jsou volány k těm ransomware útokům, používají, to znamená ty zařízení jako odstřížený, snaží se k ním nějak dostat a snaží se z nich nějak vydalovat aspoň některý data, které zašifrované nejsou.

00:52:35
A.

00:52:37
Dotaz ještě, jestli umíte nám s těmito hrozbami pomoci nějakými svými službami. Určitě byl ten zmiňovaný, že základním elementem je firewallová ochrana, to znamená správnou konfiguraci firewallu. A. Endpoint protection to znamená, umíme jak služby perimetrovýho firewallu, tak služby ochrany koncových zařízení, umíme i mailovou gateway a zprostředkování i sandboxu. Tak je tady pak potom dotaz nejlépe tlačit na management.

00:53:31
A.

00:53:34
To je určitě těžká otázka a většinou Ten management je k tomu motivovaný, až když se nějaký takovýhle útok stane. přijde ta firma od data, je nějakým způsobem paralyzovaná, ale v tu chvíli je blbý, že ta odpovědnost jde na toho IT administrátora a ten management se na ně jako oboří, proč to jako nezajistil. Určitě je dobrý si udělat nějakou analýzu. základní kybernetické bezpečnosti, která ukáže, vlastně získí, kde mám svoje data a svoje aktiva, které potřebuju k chodu té společnosti a jakým způsobem jsou chráněny, jestli jsou zálohovaný, jestli jsou chráněny nějakým firewallem, jak by třeba je dalo zneužít, jak by se dalo zautočit. Tady ten audit dá se říct, že zabere třeba den dva, udělá nějaké manažerské výstupy a dá se předložit managementu a říct, jestli do toho ty peníze vloží nebo ne. Ty nevýhoda těch bezpečnostních, jako kyberneckých nástrojů pro ochranu, tak je, že jsou většinou velmi drahý, zároveň. Tak. Je nutná i hluboká know-how na správný nastavení, takže je možný buď si to dělat in-house, nebo se obrátit na společnosti, které se tím zabývají a objednat si buď s nějakou implementací nebo formou služby. Tak, je tam dotaz na kvalitu penetračních testů, které firmy nabízejí na trhu včera a samozřejmě ta kvalita nejde toho hodnotit asi obecně. Jsou firmy, který se tím zabývají, dá se říct, jako povrchně, až po firmy, které jdou jako skutečně do hloubky. My většinou říkáme, že na začátku je dobré si udělat právě třeba audit té kybernické bezpečnosti, udělat jako nějaké základy a postupně, když identifikují nějaké hrozby, nějaké slabé články, tak se jim zabývá takový z dohloubky. To znamená, mám špatně nastavený firewall? Ano. že dojde ke schození infrastruktury nebo narušení nějakého provozu, protože skutečně pak ten penetrační tester se chová jako útočník a testuje i třeba procesní připravenost. To znamená, jestli když je detekovaný nějaký DDoS útok, jestli ten operátor zavolá a nadetekuje to. Takže vím, že se to dá jako velmi škálovat. A je zajímavé začít na začátku s něčím jednodušším a jít postupně víc do hloubky. Znamená to jako prasnost, ale vím, že jsou tady firmy, který dokážou dělat penetrační testy právě cílený, to znamená, že posílají podvržený e-maily, dávají. různě lidem k dispozici nebo pohazují flešky, jak se tak říká, a kontrolují, kdo si to připojí, co na tom dělá. Určitě jsou tady firmy, který tomu hodně rozumí, dají se z toho udělat zajímavé věci, ale zároveň je to otázka ceny a řekl bych, že pokud ta firma chce začít řešit kybernickou bezpečnost, tak nemusí hned dělat penetrační testy. Je dobrý začít s nějakým základním auditem. Tak, ještě tady mám nebo dotaz, jestli se dají online zálově Windows doméně považovat za bezpečné před ransomware. No. Přiznám se, že úplně nevím, o jaký zálohy na té Windows doméně se jedná. Tohle případně, půjdu mi, pán napíše e-mail, tak by se mohli potom diskutovat na e

00:58:09
-mailu.

00:58:19
Pak je tady zmíněný vlastně problém, jaké nemocnice, kde jí to odstřelo CCA na týden. Nevím, jestli tady je zmíněný vlastně ten případ, kdy před týdnem byla napadena jedna nemocnice, nebo jestli je to něco staršího. Vím, že se jednalo o Benešovskou nemocnici, ale tady právě nemocnice v Brně. všeobecná fakultní nemocnice v Praze. Dotaz na webinář. jim to je užitec prací ve firmě. In our home office. Ty webináře zase, jestli pán na sebe nechá e-mail, tak můžeme zkusit něco poslat. Většinou jsou to webináře třeba výrobců, který nabízí svoje řešení a potom je možný mít jako webináře, který jsou přímo dělaný jako na míru daný firmě a to už jsou potom jako pacený služby, ale určitě i něco jako bezplatného se dá najít pro nějakou základní edikaci těch uživatelů. Tak, další dotazy nevidím, takže já vám ještě jednou děkuji za pozornost. V případě nějakých dalších dotazů, toho, co tady nebylo zodpovězeno a třeba by to i z mé strany jako ideálně, že by se jako na to koukl trošičku dohloubky nebo nějakou další diskuzi, tak určitě nás neváhejte kontaktovat a tento webinář a jeho nahrávka budou k dispozici. a bude to distribuováno přes agenturu na všechny účastníky tohoto webináře. Děkuji za pozornost. A učím se na shledanou.