CRA Bezpečnost v cloudu

00:00:06
Bezpečnost je pro nás na prvním místě Jsme zvyklí pracovat v prostředí, které má naspolehlivost, zabezpečení a přesnost ty nejvyšší nároky. A my je umíme plnit. Dokazujeme to už řadu let. Pro zabezpečení vašich dat i naší infrastruktury děláme maximum. Pravidelně investujeme do špičkových technologií i těch nejlepších odborníků. Neustále testujeme úroveň naší fyzické i kybernetické ochrany. Sledujeme světové trendy a adaptujeme je tak, aby co nejlépe sloužily ve prospěch našich klientů. Vyvíjíme vlastní špičková řešení. Na nás se můžete spolehnout. S námi budou vaše data v bezpečí. Jsme české radiokomunikace.

00:01:01
Dobrý den, vážení diváci. Rád bych vás dnes s jménem Společnosti České radu komunikace přivítal u webináře s tématem kybernecké bezpečnosti. Jmenuji se Lukáš Bartakovič. Českých radů komunikacích na starostní produkty kybernické bezpečnosti. A se mnou ve studiu je to Marek Erneker, který má na starostní produkty.

00:01:20
Lukáši, dobrý den.

00:01:21
Vítej. Konec Nejdříve jedna administrativní záležitost k dnešní agentě, o čem si budeme povídat, zamíříme se na trendy v bezpečnosti v cloudu, řekneme si o možnostech obrany proti útokům, které si tady naskíníme a zároveň uvedeme nějaká doporučení, další kroky. A trendy. V případě, že budete mít v průběhu webináře nějaké dotazy, pokládejte je prosím do četu, kolegové se pokusí vám na ně zodpovědět. Případně pokud by to byl nějaký komplexnější dotaz, něco složitějšího, můžete přímo nás kontaktovat buď na telefonu nebo e-mailem. Díky Marku, že tě tady mám ve studiu, využiju to prvním dotazům. Proč je téma kybernetické bezpečnosti právě v cloudu čím dál častěji s zmiňovaným tématem?

00:02:10
To je určitě dobrá otázka, protože cloud se stává naší denní všední věcí. Využíváme ho napříč našima infrastrukturama, našima službama. Možná jste zaznamenali, že lidé ve velký míře míří do cloudových služeb. vydělávalo peníze a přidávalo jim to nějakou radost. To je takový ten koncept prostě toho, soutřeďme se na to, co umíme. My se s tímhle tématem zcela určitě budeme setkávat dál, protože klaudy tady jsou a budou. Vzniká tady spousta témat typu hybridních klaudů, multiklaudů, lokálních klaudů. Je to skutečně jako cloud, jako buzzword je v podstatě přetížená záležitost. Takže bezpečnost tady v tom, tady v té věci, o které můžeme říct, že pro nás v podstatě blackboxem je prostě téma, který musíme řešit už prostě proto, pokládám, že i vy, ale i my v práci jsme si museli zvyknout na úplně jiných fungování. Najednou jsme online vedli velkou řadu různých schůzek, různých callů, vytváříme společně projekty online, vytváříme nebo sdílíme spolu velké množství informací. Tohle se ve velké míře samozřejmě stalo hybatelem toho, aby se lidé posunuli do cloudu, pokud nejsou ochotní nebo neměli třeba prostředky pro to, aby takovou infrastrukturu implementovali sami doma, což zase míří k tomu, umím to, mám na to lidi, baví mě, bylo prostě jinak možný řešit, případně byla to ta v tu chvíli nejjednodušší cesta, ale finál je takový, že tak, jak v minulosti byla ta míra nebo ta chuť přecházet do cloudu do nějaké míry omezená, tak dneska je v tom v zásadě obrovský rozmach. Můžeme to vidět v podstatě nedoneně.

00:05:17
Řekl bych, že i manažeři a vedoucí si uvědomují, že tohle je ten trend, že takhle to bude asi i potom, až ta pandemie odezní a že možná, já nevím, jestli vnímáš, že ty firmy,

00:05:58
tak se vlastně dá říct, že firmy byly strašně pozadu. My jsme investovali svoje úsilí, svoje data a sypali jsme je do služeb, jako byl Dropbox, v dobách, kdy ve firmách se mluvilo o tom, že vystrčit e-mail a dát mu veřejnou IP adresu je neuvěřitelný nebezpečí a že se to musí řešit nějak velmi speciálně. Nechci říct, že se to nemusí řešit speciálně, jenom říkám, že v podstatě ta firma,

00:06:32
Myslím si, že ten přechod do cloudového prostředí ještě tímhle tím způsobem akcelerovaný zase sebou přináší určité výzvy, které ty uživatelé, ty správci musí čelit. A tady máme základní pílíře bezpečnosti, dá se říct, online světě, který se dají aplikovat i na to cloudové prostředí. Je to o tom, jak tu svoji infrastrukturu zabezpečit, jak si zabezpečit ty data, který tam máme, jak tu infrastrukturu nastavit tak, aby byla v souladu s různými směrnicemi, které vyžadují konkrétní nastavení bezpečnosti. Důležitým prvkem kybernecké bezpečnosti kdekoliv je uživatel. Z důvodu času, který tady máme vyhrazený, jsme se rozhodli v dnešní prezentaci věnovat ochraně infrastruktury. jelikož je nám to právě nejblíž. Další dotaz je asi ten, říká se, že když uživatelé nebo zákazníci přichází do cloudového prostředí, že tím vlastně od sebe odhazují tu odpovědnost a nemusí řešit konkrétní věci. Je to skutečně tak?

00:08:05
Jo, jo. Díky za ten dotaz. Je to tak. My jsme tu vytáhli ten obrázek, který v podstatě říká to dnešní tradiční člení na infrastructure, platform, software a tu míru z odpovědnosti, kterou tam vlastně cloud provider nebo zákazník jít do infrastruktury, respektive do cloudu, takže ta zodpovědnost na straně zákazníka se bude neustále zmenšovat, ta zodpovědnost na straně cloud provideru se bude neustále zvětšovat. To je určitě pravda. My jsme našli poměrně zajímavé průzkumy, které říkají, že i přesto, že toho zákaznického prostředí nebo ta zákaznická zodpovědnost se bude zmenšovat, tak s tím, jakým způsobem budou ovlivňovat nebezpečí ve svém vlastním prostředí, je to úplně naopak. Lukáši, možná, když o tom něco

00:09:50
tak stále jsou odpovědní za ta data, za přístupy. Případně v těch nižších verzích jsou to aplikace, operační systémy, síťové nastavení a tak dále. A tady třeba asi zamyslet nad tím, protože teď si asi můžeme říct, že ten cloud může být považován jako zabezpečný a že tak, jak se říkalo vlastně několik let zpátky, že ten cloud, tu bezpečnost tam nevíme, tak spíš se zamyslet nad tím, Je to tak. Heslo, už se říká možná deset let, že heslo je přežitek, ale stále v některých odvětvích nebyla nalezena lepší cesta nebo jako uživatelsky přivětivá cesta, tak jak toho uživatelé autentifikovat. Tam, kde se to podařilo, můžeme zmínit třeba mobilní telefony a otisky prstů, případně nějaký sken obliče. To znamená, stále u toho zákazníka budou některé oblasti, které si bude muset zajistit sám, případně se bude hledat po tom trhu a hledat poskytovatele, případně systému integrátora, kdo mu tady ty oblasti zajistí například formou služby.

00:11:31
Mhm.

00:11:37
Amen.

00:11:39
Takže podíváme se na to, jakým způsobem tu ochranu infrastruktury v podstatě nějakým základním konceptu můžeme tvořit. Přesně tak. Zase, jestli o tom něco můžeš říct, prosím.

00:11:49
Jo, je to tak, že když to vezmeme od toho úplného základu, což je Infrastructure as a Service, tak se dá předpokládat, že ty uživatelé, ti zákazníci, tak si tam budou hostovat nějaké svoje aplikace, nějakou svoji infrastrukturu, která bude podporovat ten jejich primární biznis. Na sítěvé úrovni je to ochrana proti DDoS útokům, které cílí na to, aby vyřadili infrastrukturu z toho zákazníka z provozu. Dalším ochranou na sítěvé úrovni je potom firewall, který je možné rozšířit o nějaké next generation funkce. A ten aplikační vrstva, která by měla chránit ty aplikace a služby, tam je ochrana web application firewall. Všechno si to rozebereme potom trošku podrobněji na dalších slajdech. Začnu ochranou sítěvého perimetru. První, tam byla zmíněna DDoS ochrana. DDoS útok je možná jako nejznámější a nejpoužívanější útok na zákaznícké infrastruktury, který má za cíl vyřadit tu infrastrukturu z provodu cílí. Cílí na služby, jejíž provoz je kritický, to znamená, jsou to distribuční společnosti, jsou to společnosti, které sdílí nějaký mediální obsah, případně jsou to e-shopy, kde každá nedostupnost toho cílového systému i v řádech pár minut znamená velké finanční ztráty. Z analýzy, kterou je tady zmíněna, tak se dá vyčíst, že Počty DDoS útoků stále rostou.

00:13:40
Jenom, Lukáš, je k tomu nějaký vysvětlení, protože ten pětinásobný nárůst mezi roky 2019 a 2020, jestli dobře chápu tu informaci, tak mám pocit, že malinko vlastně koreluje s tou situací třeba právě důležitosti tý digitalizace, tak jak jsme o ní mluvili před chvilinkou. Přikládáš to tomu samému, nebo myslíš, že to je něco jiného, co vede k takovýmhle enormním nárůstům?

00:14:06
Přikládám to tomu, z důvodu, že to bylo jako nehumání. Takže to, že jsme nějakým způsobem jako společnost byli směřováni do toho digitálního světa, tak asi by se dalo připsat, že je tam nějaká souvislost s tím, že i ty útoky na to, aby tady ta digitální komunikace kontinuitá, vlastně ta digitalizace byla narušená, znamená nárůst těch týdos útoků.

00:14:58
Na mě to působí třeba tak, že vlastně to ukazuje jenom tu samotnou valuaci toho, co to znamená, Jako v tom smyslu, že jdu určitým trendem, který se pravděpodobně nejbližší nezastaví. Ještě tady koukám na tu statistiku těch hnotlivých útoků. Vidím, že Čína tam dominuje se třemi čtvrtinami veškerých útoků. To jsou zdroje těch útoků? To, co vidíme, to je odkud se útočilo nebo naopak kam?

00:15:38
To jsou zdroje útoků a je to tak, jak říkáš. V podstatě, pokud si představíme DDoS útok, tak je to útok, kdy z mnoha různých počítačů že nejčastěji z těch IP adresí, ze kterých se útočilo, bylo právě z Číny. Rozhodně zajímavá informace z tohoto reportu je, že v globálním měřítku tři čtvrtě všech útoků je z Číny, nicméně když se na to koukneme optikou Evropy a vlastně Evropě a středního východu, tak největším útočníkem je Ruská federace, která v tom globálním hledisku je až na šestém místě. Dá se to možná připisovat nějaký jako geopolitický situaci a těm sférám vlivu.

00:16:35
A to v podstatě, jestli teda dobře rozumím celý tý situaci, tak kdybychom se chtěli bránit takového DDoSu, to koněk by nám nezbylo, než se vlastně odstřinou od dvou třetin internetu, když to jako trochu přeženu. My jsme chtěli říct z prvních top 10 prostě jako států vůbec budeme ignorovat, ale mohli normálně fungovat i s nimi, pokud jsou to ty hodní.

00:17:26
Přesně tak. Najít si cestu, jak fungovat a případně se dýt dost útoků, který by nenášli rájet. Tady je možná taková otázka, na kterou si odpovím sám a to je, proč vlastně ten DDoS, proč je to jeden z nejpoužívanějších nástrojů a dá se říct, že tím hlavním motivátorem je cena. Na tabulce níže tak je vidět cena různých úkonů, které se dají na Darkwebu koupit, zajistit a vidíme, že vedle pořízení si amerického řidičáku,

00:18:36
samozřejmě, ale co to teda vlastně znamená Dark Web?

00:18:38
Dark Web je, dá se říct, taková šedá zóna internetu, kam se dá přes určité prohlížeče a určité anonymizační brány dostat. Základem toho Dark Webu tak je vlastně záruka anonimity a dost velkým pomocníkem jsou tomu třeba kryptoměny, které taky zajíždňují anonimitu a zároveň dávají možnost těm lidem, kteří jsou na těch tržištích na Darkwebu možnost platit za služby a nakupovat nějakou měnou.

00:19:13
To znamená, že za 10 dolarů bych si mohl objednat nějakých 50 tisíc rekvestů za vteřinu po dobu jedné hodiny. Pokud bych tímhle způsobem chtěl odstřihnout některé třeba velké vydavatelství nebo něco podobného, jak se dá říct, že do 100 dolarů bych nejspíš pořídil útok, který by je na tu hodinu nebo na nějakou další dobu byl schopen v podstatě znemožnit.

00:20:05
který bude řádově jako minuty, to hledá jinde a když mu nabídnou podobnou rozumnou srovnatelnou cenu, tak si to objednává.

00:20:13
Extremně klesá konverze, tím pádem oni přicházejí o zisky a může jít jenom o útok v řádech minut nebo možná třeba jeden desítek vteřin, protože v tu chvíli ten zákazník není schopen kliknout rovnou objednávám, objednávám, vyzvedávám a tak dále.

00:20:25
Přesně tak, přesně tak. A to se bavíme jenom o tom finančním hledisku, ale je třeba brát zřetel v případě útoků na nemoc Říká se tomu botnet, to znamená síť napadených počítačů, který v jednu chvíli se začnou konkrétně IP adresy například na něco dotazovat. V případě posílají pakety UDP datagramy, jak bylo zmíněno. A ilustruje to graf, který je na prezentaci, kde je vidět ta špička nárostu toho provozu. Tady to ilustruje vlastně útok na GitHub, který proběhl v roce 2016. Ta kapacita toho útoku byla 1,34. je možná jako stonásobně a na mitigace to, kdy dokázali tomu útoku odolávat, tak byla až za 20 minut.

00:21:55
To znamená, 20 minut byl GitHub podstatně nedostupný, jestli tomu dobře rozumím těm číslům?

00:22:00
Přesně tak. Tak, jak je to tady zmíněno a k těm zdrojům, s kterými jsem se dostal, tak to, ta mitigace začala, nebo se podařila až za těch 20 minut.

00:22:09
Ještě pro představu, co to znamená, těch 1,34 terabitů, to je číslo, který pro nás může být těžko představitelný. Ano.

00:22:47
Zatím největší pro zajímavost je útok na Amazon Web Services nedávno v roce 2020, který byl dokonce 2,34 terabitů.

00:22:58
Ve srovnání s těmi toky, které znám z toho našeho běžného světa tady v Čechách, jsem si myslel, že 9,34 terabitů působí poměrně bájně.

00:23:07
Je to obrovské číslo, myslím si, že to jako zaznamenají. významně jako hodně subjektů a může to mít vev i na další zákazníky minimálně toho poskytovatele.

00:23:19
Ještě nemáš představu, ty jsi mluvil o tom botnetu, když se dělá takovýhle útok, kolik zařízení se v tom botnetu vlastně musí objevit, aby se takový útok dal vygenerovat? Je proto nějaký odhad? Píšeš tisíce až desetitisíce zařízení, respektive tisíce adresních prostorů. To jsou botnety, které mají miliony počítačů, nebo dá se to vygenerovat nějakým menším množstvím?

00:23:45
Asi by se to dalo, nicméně do těch útoků jsou vždycky

00:24:19
Takže co se nabízí?

00:24:21
Tak jednou z metod, nebo jsou různé metody ochrany. Určitě, když si zákazník vybírá svého poskytovatele, tak by se měl podívat na to, jestli je součástí projektu Phoenix, sdružení NYX. To znamená, jsou to subjekty, které v tom peeringu se dohodly na určitých pravidlech. To znamená, mají svůj vlastní CIR team, mají šifrovanou DNSku uživatel. Providera, účastníka té sítě. Pokud jde DDoS na jinýho, tak jsou metody, jakým způsobem ten DDoS útok mitigovat.

00:25:06
Jak tak znám tady ten projekt, tak vlastně to znamená, že to je taková bezpečná zóna uprostřed českýho internetu. Ten, kdo v tom je, tak je schopen s ostatními v této bezpečné zóně komunikovat, ale ten, kdo v tom není, tak v momentě, kdyby na něj šel útok, tak by se mohlo stát, že ho ostatní odříznou. Chápu-li to dobře?

00:25:25
Je to tak. Přesně je to tak. určitě je dobrý se podívat na ten provoz a právě ne pro všechny zákazníky nebo pro všechny uživateli je důležitý ten světový provoz. To znamená nějak se rozlišit, odkud ten provoz přichází, jestli je to z České republiky, ze Slovenska, což bude majorita. V případě, že je to ze zahraničí, můžou být i firmy, pro které je důležitý provoz ze zahraničí. Ale i třeba u e-shopu to může být někdo, kdo se objednává, dejme tomu z Ameriky a chce to doručení, prostě dárku pro babičku. Bylo by asi špatné zaříznout

00:26:38
bezpečnostní prvek, který asi všichni známe. Říkáme OK, nastavím nějaký TCP a UDP, ne, nebo TCP a no a tady, ano, tady, ne. To je pro mě firewall. To znamená, firewall by nám nestačil tady v tom jako kontextu.

00:26:49
Je to tak, jak říkáš, nicméně by nám nestačil, protože v průběhu toho útoku, tak nejenom, že se na ten cílovej systém valí obrovské množství škodlivých dat, ale zároveň se na ně nevalí, ale zároveň jsou třeba i zákazníci. Když to zase jako navážu na ten e-shop, tak to může být někdo, kdo si v tu chvíli chce objednat konkrétní věc z toho e-shopu a proto jsou nástroje a ty nástroje se nazývá DDoS ochrana, který by nám měl dojde k nějakým velkým špičce, tak se objeví alarm a pokud je ta špička, tak jak bylo vidět na tom grafu dříve, je to DDoS útok, tak ho pošleme do scrubbing centra, kterýmu se tak nějak familiárně říká pračka, a který má právě za úkol ten provoz analyzovat a vytáhnout z něj jenom ten validní provoz. Případně, že ten útok je moc velkej, tak se potom přechází vlastně k metodě blackholingu, to znamená na konkrétní IP adresy, poslední možná, protože spíš chceme ten provoz zachovat tak, aby ten validní rozbo odbalen.

00:28:38
To znamená, pokud scrubbing centrum, ta pračka vlastně identifikuje, jak vypadá ten škodlivý provoz, to, co nám chce škodit, tak to jsme schopni filtrovat a už vlastně nepouštět do infrastruktury dál.

00:28:49
Ano, je to tak.

00:28:51
Zůstává jenom to, co vlastně je validní a míří to k zákazníkovi nezávesen na tom, jestli na něj zrovna někdo útočí nebo ne. Typicky jeho zákazníci, kteří jdou na jeho shop nebo chtějí vidět data, který poskytuje. Tady máme koukám ten firewall. Jestliže nám teda nestačil na tom DDoSu, tak co od něho můžeme očekávat? Co to je pro nás teda dneska jako zaprvek? Protože vlastně takhle vidíme, že DDoS je, pokud se chceme vyhnout útokům, které zdá se jsou velmi levný, takže jeden nás potenciálně může poslat, každý, kdo jen trochu necítí pravidla, tak co můžeme očekávat? To, co je pro nás tím úplně jako běžným bezpečnostním prvkem, který zásadě asi všichni používáme. Mám dojem, že já mám na notebooku firewall, doma mám firewall,

00:30:08
je to anglický název attack surface, což se dá přeložit jako útočná plocha, to znamená, chceme mít co nejmíň zdrojů IP adres portů propagovaných ven do té sítě, tak aby je případný útočník mohl využít. Tím to je jako takový základní systém snížování toho útoku. Dále se dá ten attack surface snížit i tím, že se podíváme, jaké tam používáme aplikace, jaké jsou tam šifry, jestli ty šifry jsou z pohledu bezpečnosti nejsou prohlášeny za nedostatečné. zároveň je dobrý znít nějaký risk management a tady z toho vlastně ustavičně se dívat na ty zranitelnosti, skenovat a logovat, aby jsme měli ty informace, jak se na tom stojíme. A pokud tady ty informace máme, tak můžeme přistoupit k činnosti, která se zase anglickým názvem dá označovat jako hardening, asi bych to přiložil jako vytvrzování, to znamená vylepšování, to znamená snažíme se to, co propagujeme směrem ven, zjišťovat zranitelnosti aplikací a případně patchovat, aktualizovat a zároveň managovat přístupy uživatelů.

00:31:31
To vypadá jako poměrně dost práce, jako netrivální. Vím, že ty si předtím zmiňoval i téma Next Generation Firewall, což je takovej buzzword, který já slýchávám třeba tři, čtyři roky, možná malinko díl. Co si představit pod tím? Vím, že to by mělo rozšířit vlastně tady ty schopnosti někam dál. Tak pomůže nám to nějak?

00:31:52
Ano, Next Generation Firewall Standardní Stateful Firewall nám funguje jako takový paketový filtr. dost často je na něm aplikovaná nějaká forma NATu, která skrývá tu vnitřní infrastrukturu, která je zatím. Nicméně by se asi nemělo tvrdit, že natování rovná se firewall, jelikož to, co je schované, to neznamená, že to je ještě jako v zásadě bezpečný.

00:32:22
Jsem moc rád, že to tu zaznívá, protože tohleto tvrzení, že NAT není firewall, respektive tvrzení, že NAT je firewall, byl kolem mě dlouhou dobu rozšířen a lidé byli ochotní tvrdit, že jestli se něco natuje, tak je to vlastně

00:33:02
co je to za provoz, jestli právě v rámci toho provozu není zkovaná nějaká nekalá aktivita. To znamená, u ochrany infrastruktury se často používá intrusion detection, intrusion prevention systém, který má právě za úkol detekovat v tom provozu ať už signatury nebo anomálie a zjistit, jestli tam právě nedochází k nějakému útoku, který je maskovaný v tom legitimním provozu. Jsou určité exploity, které využívají nějaké zranitelnosti té konkrétní aplikaci, která je hostovaná v tom cloudu. V té databázi, která je na internetu dostupná tomu firewallu, je uloženo, jak asi vypadá, to znamená, ten firewall si to porovnává a pokud se jedná o anomálie, tak to je zase podobný princip jako DDoS útoky, to znamená, vydefinujeme si hranice, pokud je to 1000 session, je to legitimní pro vás, pokud to překročí 1000 session, může se jednat o nějaký útok. Jednoduše se to dá představit třeba pod hádaním hesel, takže je dobrý si nastavit, když někdo zadá pětkrát špatný heslo, Aby už se dál nešlo zadávat třeba minutu, hodinu a zároveň to může být signál, že se někdo pokouší do toho systému. Ta vynálezavost kyberkriminálníků nezná mezí, takže vlastně říká se, že jsou vždycky minimální okrok napřed, takže za prvý je dobrý tu databázi aktualizovat a druhá věc je potom ochrana proti zero-day útokům, to znamená nějakým útokům na zranitelnosti, která v době vlastně toho útoku ještě nebyla známá, nebyla označená za zranitelnost a na to jsou pak metody sandboxingu, které budou případně Pokud chceme komplexně chránit aplikace, tak je dobré tam zahrnout další úrovně ochrany. Z pohledu sítěho modelu OSI je to právě ta sedmá vrstva aplikační ochrana, o které si budeme bavit na dalších slidech. Co se dýká ochrany aplikací, tak Ty aplikace, tak jak jsou už naprogramované, můžou mít mnoho zranitelností a několik let zpátky tak vznikla iniciativa, která se jmenuje OVAS a ta má nastorsky schraňovat, analyzovat zranitelnosti webových aplikací a dělá se ho takový report, kdy kvantifikuje, jaké nejčastější útoky na aplikaci nebo jaké nejčastější zranitelnosti byly využívané právě těm zranitelnostem. Aby jsme si to vysvětlili, tak se první podíváme, jak vypadá vlastně provoz na internetu, kdo tam jako vystupuje. Když my vystavíme tu svoji aplikaci, tu svoji službu do internetu, kdo se to tam tak jako může vlastně připojit, kdo nám jako buší do těch vrát, dá se říct. A říká se, nebo z různých analýz vychází, že 47% provozu na internetu tvoří automatizovaný provoz, který je generovaný nějakými boty. Tak ten hodný, pokud začnu u těch hodných, tak je vlastně, to jsou třeba boti, díky kterým fungují internetoví vyhledávače. To znamená, tady ty boti procházejí ty webový stránky, nějakým způsobem si je indexují, aby když potom my zadáme nějaký náš heslo, náš dotaz do webového vyhledávače, tak aby nám to přineslo co nejrelevantnější odpověď. Zároveň to můžou být oblíbené srovnávače cen, a A další, to znamená Ty hodný boti jsou boti, který zbírají ty data s nějakým dobrým úmyslem. Ty zlý boti jsou potom takový, který ty data, říká se tomu data scraping, to znamená, že je jako vytěžujou, takže snaží se najít hodně datových zdrojů a ty data z nich získat a pak i třeba z toho se získá nějaký osobní informace, který se pak použijí v nějakým několik činnosti. Dále DDoS útoky a změny krádeže dat a identit. je vlastně druhá stránka vyhledávače Google. Protože na to dost často nikdo nekouká.

00:40:02
Chápu. Ještě, když se na to podívám, tak budu-li se dívat na nějaký standardní provoz webový stránky, tak přibližně polovinu tvoří systémy, kterými možná do nějaké míry dávají nějakou hodnotu. Dívám se na ty hodný boty, ale do nějaké míry ne. Nejsou to pro mě ty validní uživatelé, které já možná chci, ať už prostě protože něco prodávám, nebo chci něco publikovat, nebo podobné věci. Jak to teda detekovat vůbec? Co s tím, když jednak je to velké množství, to je zřetelné a co s tím můžu dělat tak, abych ty zlý rozpoznal do hodných a případně abych byl schopen třeba i limitovat ty hodný a oni mi tam nalezneme často, přece půlka provozuje hodně.

00:40:41
Jo, je to vlastně téma, aby ty majitelé, ty infrastruktury byly schopní rozlišit, jestli se jedná o člověka a nebo bota a pokud jim o bota, tak jestli přichází s dobrými nebo špatnými. Windows útočí na zranitelnosti protokolů nebo těch aplikací. To znamená, že stačí pouze malej provoz v řádech kilobitů. A z toho pohledu je strašně složitý ho vůbec jako detekovat, protože na těch grafech on se nám neobjeví jako obrovská špička. Takže je to často tak, že ty administrátoři vlastně bojují s tím, že ten server je třeba pomalej, vůbec neví proč a někde tam v tom provozu je zkovený nějaký DDoS útok.

00:41:52
Ty tady zmiňuješ přímo slowloris, DDoS atek, nechceš na tom ilustrovat, jak to vlastně vypadá, protože takhle to vlastně na mě působí, že i s velmi malou linkou,

00:42:25
Slow Loris je vlastně takový signifikantní L7 DDoS útok, je hodně často zmiňovaný, je nazvaný podle azijské malé opičky, která se vyznačuje takovými váhavými pohyby, je hodně pomalá a vlastně na podobným principu fungoval i ten DDoS útok. Otevřela se HTTP sešna nebo relace a když ten uživatel s tím serverem komunikuje, tak se prostě po nějaké době zavře. mnoho relací, které obrovsky vytěžovaly ten server, ale zároveň ten provoz tam byl téměř minimální, protože se posílali pouze základní informace, takže server byl vytížený, protože se snažil s tou relací nějak pracovat, nezahodil ji, ale měl ji stát otevřenou, otvíral další a další, takže je to takový pomalý plíživý útok, který nebyl téměř detekovatelný a zároveň to extrémně zpomalil.

00:43:30
Kdybych seděl na takovým počíhači jako systémový administrátor, tak bych ani neviděl, že CPUčko je na 100% nebo A tohle bude úplně plíživá záležitost, kterou vlastně nemusím detekovat, když neznám dopodrobně ten provoz, který nám zrovna teče.

00:44:13
Asi by se to projevovalo tím způsobem, že to bude extrémně pomalý, špatný odezvy, lidi si budou stěžovat a ten administrator bude přemýšlet nad tím, kde je problém možná, že dojde k nějakému restartu servru, který třeba můžou pomoci jenom na chvíli. A pár minut. Takže extrémně složitě detekovatelný problém. Tady už se dostáváme k ochrannětý aplikační vrsti, jak vlastně rozlišit ty hodný a zlý boty. Co se týká bezpečnostní aplikací, tak prvotní princip, aby ta aplikace v tom koudu provozovaná byla bezpečná, tak je dobrý už ji vlastně vyvíjet secure by design. To znamená, že ta aplika není to tak, jak se razilo dřív security by obscurity. To znamená, když je to utajený, nevidíme do zdrojovýho koudu, tak počítáme s tím, že je to bezpečný.

00:45:04
To pro spoustu vývářů bylo ostatně dost pain. Jakmile narazili na někoho takovýho, kdo zastává názor security by obscurity, tak

00:45:43
nebo jsou to věci, které nedokážeme odstranit právě tím dovývojem aplikace, tak je možný tam nasedit webový aplikační firewall, který pod zkratkou WAV, který taky nám nabízí možnosti ochrany před a škodlivým provozem. Dívá se na ten provoz, snaží se detekovat, to znamená, provádí tam behaviorální analýzu, kouká zase podobně jako na ty grafy, jestli to moc nestoupá. Geolokaci, to znamená, z jaké lokality ten provoz přichází, z jakých zdrojových IP adresy si náhodou nejsou v nějaké databázi, která je označena jako škodlivá nebo potenciálně škodlivá. A pokud nedokáže rozlišit mezi tím, jestli je to bot, anebo jestli je to,

00:47:02
přepiš to, aby to s tou vavkou fungovalo, nebo tato věc je schopná si to hlídat sama?

00:47:09
V ideálním případě by to tak být nemělo, nicméně tak, aby to bylo skutečně odladěné a fungovalo tak, jak my potřebujeme, tak je dobrý být s tím developerem minimálně v kontaktu, vysvědlit si některé věci, jak fungují některé pole, co můžou být vstupy třeba do nějakých formulářů a odladit to. Ten delivery time, toho, ty nápravy vavkou může být mnohem kratší, než v případě opravy a přeprogramování aplikace.

00:47:39
Super, děkuju.

00:47:40
Tak teď jsme se dostali k ochraně, nebo dokončili jsme ochranu perimetru a teď vlastně i přes to, že toto máme takhle nastavený, tak se může stát, že ten útočník se dostane až do té naší infrastruktury, do té naší sítě, napadne nějakej jeden počítač a tím, že už je vevnitř, tak možná má úplně volný pole působnosti, může si tam řádit, jak napadne,

00:48:26
či třeba jednomužný logický celky, který vlastně představují konkrétní roli v aplikaci nebo případně konkrétní vrstvu, tak, aby jsme vlastně stížili tomu útočníkovi průchod v případě, že na nás nějakou z těch fint vyzkouší a povede se mu. Ve finále to vlastně vede k tomu, že my jsme schopní rozdělit tu aplikaci do několika bezpečnostních škatulek, který sami mezi sebou na sebe nevidí tak triviálně, abychom, dejme tomu, zabránili té situaci, fungování nebo mechanismu z toho svýho vlastního útoku a ta práce pro něj začíná, doufejme, pokud nenáš nějakou hodně obecnou chybu, tak pro něj začíná v podstatě úplně od začátku. Nicméně nám to dává prostor na to, se tomu útočníkovi bránit nebo na to přijít, odstavit ho a takový věci. Já tě možná poprosím ještě o další slide, kde to popisujeme trošku šířej, protože mikrosegmentování by se dalo logicky udělat tak, že by jsme vlastně ty jednotlivý v případě mikrosegmentování, tak je podstata začít hlídat tu east-west komunikaci, která probíhá mezi těmi jednotlivými servery. Takže my máme aplikační server, databázový server, teď třeba nějaký kontrolní server, nevím co všechno dalšího a víme, že mezi nimi probíhají nějaké standardní datové toky a pokud bychom přišli do ten aplikační server, tak bez toho, abychom kontrolovali tu mechaniku přenosu mezi aplikačním a databázovým serverem, tak by samozřejmě ten databázový server byl zcela vystaven tomu útoku z aplikačního serveru bylo hodně samo, proto je vhodný, když je například distribuovaný a můžeme ho řídit a všechny ty pravidla mezi těmi distribuovanými formuly řídit společně. To nám potom dá tu výhodu, že skutečně můžeme přijít o nějakou část té infrastruktury, ale neznamená to automaticky to, že bychom tím otevřeli zcela úplně tu infrastrukturu jako takovou v tom našem celku. Docela zajímavým tématem tohodle je potom virtualizace sítí. My od ní řekneme ještě pár slov, protože to je A no, tak to je v podstatě asi, co mě napadá.

00:52:04
Vidím, že je to zajímavé, že i když mám nějaký edge-ový firewall, to znamená nějaký box, nějakou virtuálku, tak asi nedává smysl, když si chtějí dvě virtuálky mezi sobou povídat, abych ten provoz směroval skrz ten edge-ový firewall a zase zpátky.

00:52:20
Je to přesně, jak říkáš, díky za tu nápovědu, protože to je velmi častej způsob, jak to lidé řeší, že v podstatě popadnou ty svoje systémy a teď je od té části, která potom hlídá ty vlastní přenosy mezi těmi logickými celky. Takže jednoznačně ano. Je to koncept, který dá se říct, se dá takhle tímhle způsobem jako levně, jednoduše obejít. Narazí nutně na propustnost, narazí samozřejmě i na tu spravovatelnost, protože najednou na tom edgeovém farvulu budete mít místo dvou, tří VLAN, třeba devět, deset, patnáct VLAN a podobné věci. A teď řešíte, co mezi kterou, kterou ne, porty ano, porty ne, jestli jste správně dělali subnety a podobné věci, které potom

00:53:59
mohlo by to být možná i jako automatizovatelnější nebo minimálně jednodušší na nějakou zprávu nebo konfiguraci.

00:54:05
Je to tak, my jsme tady tohle téma třeba trochu vynechali, ale ten dnešní způsob práce s infrastrukturou často vede třeba k infrastrakci ESE Code nebo k tématu, které jsou kontejnery, Kubernetes a podobné věci, kde vlastně definicí toho vlastního objektu, který já vytvářím, už může být třeba i ta informace, do které z těch logických struktur spadá, případně jakou část sítivýho toku od něj očekávat, jako naopak třeba

00:54:59
že se tím pilně zabýváme.

00:55:02
Je to tak, my vlastně implementujeme NSXT, což je virtualizace sítí v cloudu, takže tady s tím projektem, který nás zanedloho čeká i v produkci, v podstatě zákazníci dostanou k dispozici právě mikrosegmentaci, nebo v případě, že s námi někdo spolupracuje už dneska na kontejnerech, tak tam je samozřejmě mikrosegmentace nebo izolace sítí a izolace třeba namespaces a podobných dalších věcí, které v kontejnerech jsou, dejme tomu, nativnější formou, třeba logických struktur a tak dále, tak jsou už vlastně zakomponovány. jako rybníčku, ale uvnitř takového systému v rámci East-Westu může běhat i třeba 90, 100 gigabitů. To téma je najednou úplně jiný, protože když si ty databázy povídají spolu nebo s aplikačním serverem, tak najednou se ten problém jeví jako úplně jinačí, než v případě toho Nordsautu. Takže ono je to téma veliký, není úplně triviální a samozřejmě nelze se jakoby, nelze ho vyřešit prostě lusknutým prstům typem, tak tam nasázíme pár fármů,

00:57:00
Máme tady ještě jako další, dá se říct, pojmy, zkratky a nějaké principy, které by asi bylo potom zajímavé do nějakého otevřít v dalším webináře a přines vám informace i z těchto oblastí, ale my si vlastně tady jenom o nich tak jako rychle řekneme. Tak jestli začneš.

00:57:17
Já hned začnu tím prvním backupem. To je takový jednoduchý mechanismus, všichni ho známe, ale proč nám může pomoct bezpečností? To téma je dneska poměrně velký, je běžný a je běžný za dvou důvodů. jsou v podstatě na těch backupovacích systémech, tak se je schopný s dnešními nástroji nad těmihle daty provádět, dá se říct, hloubkový analýzy, ať už jde o viry, jde případně o nějakou zranitelnost třeba v kódech. Dneska známe systémy, které tímto způsobem procházejí třeba imidže pro kontejnery nebo imidže operačních systémů a detekují v nich, jestli se využívají knihovny, pro které nejsou známé. Už dneska známe nějaké útoky, kterými bychom Děkuji za pozornost. v podstatě ten náš provoz mezi něco, aby si právě tyhle dvě věci povídali a ostatní je nezajímalo. To je velmi dobrá věc. Rovnou malinko navážu SD Vanka, což je něco velmi podobného. Ty to znáš líp, Luky, takže ti poprosím, si to popíšeš, ale to je vlastně něco velmi podobného, ještě ve větším měřítku.

01:00:18
Jsou to vlastně principy toho software defined networkingu, který jsi popsal, tak jsou aplikovaný na vansítě, to znamená propojení poboček, lokalit, datových center. těch služeb, jestli dostávám to SLA, který jsem si koupil a jestli ten provoz tam prochází tak, jak má. ZTNA potom zkrátku si skrývá Zero Trust Network Access, to znamená zase je to jiný pohled na VPN sítě, kdy po přihlášení standardně do VPN sítě ten uživatel měl zpřístupněnej určitej segmenty sítě. Tady se do toho snaží zase dostat nějakou aplikační vrstvu, aplikační logiku, takže

01:01:45
v podstatě ale s tím access kontrolem ve smyslu přístupu klienta.

01:01:49
Ano, hodně to souzní s tou mikrosegmentací, tak jak je třeba v klaudu, tak jak je běžná segmentace sítě v sítích, tak tady je to taková mikrosegmentace aplikovaná na ty uživatele. A celý by to měl zastřešovat zkrátka SAS, což je Security Access Service Edge, která vlastně právě pracuje s tou ideou těch hybrid klaudů a multiklaudů a dalších

01:02:48
Taková bezpečnostní umbrella v podstatě nad různým spektrem bezpečnostních služeb, jestli jsem to pochopil. Super.

01:03:23
My vám poděkujeme za pozornost. Za mě a za kolegu Marka Ernekera doufám, že kolegové měli možnost v průběhu webináře odpovídat na vaše dotazy. Kdybyste odpověď nedostali, pokusíme se teďka offline po webináři na ně odpovědět a případně je možný u nějakého komplexnějšího tématu nás kontaktovat na uvedených e-mailech. Děkujeme. Děkujeme. Naschledanou.

01:03:47
A se nikde neviděnou.