Kyberútoky se nevyhýbají ani menším firmám. Naopak, antivirus je ale v současnosti už nespasí

Kyberbezpečnost dnes musí řešit všechny firmy a podniky bez ohledu na velikost. Denně se objeví 450 až 600 tisíc nových typů malwarů, tedy různých typů škodlivých útoků, a jejich cílem už dávno nejsou jen jednotlivci nebo naopak velké korporace. Čelí jim stále více i malých a středních firem – útoky na ně vzrostly podle RiskRecon meziročně o 150 procent.

Zodpovědní podnikatelé by si měli být dobře vědomi nebezpečnosti často velmi sofistikovaných kybernetických útoků a především škod, které jim mohou jejich prostřednictvím vzniknout. Napadením jediného koncového bodu může dojít k narušení infrastruktury celé podnikové sítě.

Jako vstup poslouží i jen jeden počítač, notebook nebo telefon, vzhledem k dnes běžnému využívání přístupu do firemní sítě z mobilu a přes webové rozhraní. Hrozí tak, že celý chod podniku, výroby či distribuce může být velice rychle ochromený. Může dojít ke krádežím identity, ztrátě dat, někdy i velmi citlivých, nebo přijde ke slovu vydírání (ransomware útok) za jejich vrácení či obnovu, odšifrování. Také náklady na řešení incidentu mohou být enormní, nemluvě o škodách na pověsti a důvěryhodnosti firmy.

Antivirus nestačí

Domněnka, že postačí pravidelně aktualizovaný antivirový software, je velmi mylná. Klasické antivirové programy jsou navrženy tak, aby identifikovaly a zastavily známé typy malwaru, jako jsou viry, červi, trojské koně a spyware, které se skrývají v poškozených, respektive škodlivých souborech. Ovšem při napadení novou, dosud neznámou „škodnou“, případně pokud jde i ta známá jinou cestou, či má dokonce klíč neboli přístupové údaje, jsou antiviry neúčinné. Než dojde k jejich updatu, může malware v systému a síti úřadovat a škodit. A to často velmi dlouho.

Například odhalení úniku dat trvá v průměru 212 dní. A přitom čas, který útočník potřebuje, aby se z jedné napadené koncové stanice, například notebooku, začal šířit do ostatní firemní infrastruktury, aby se zorientoval a mohl začít reálně škodit, je v průměru menší než 1,5 hodiny.

Druhý důvod, proč jsou antivirové programy málo účinné, spočívá v další formě šíření škodlivých programů, a to takzvaných fileless malware.

Jde o programy, nebo i jen jejich malé fragmenty, které se nemnoží pomocí souborů, ale využívají existující legitimní procesy nebo nástroje vestavěné v operačním systému. Využijí zranitelnosti nějaké internetové služby nebo prohlížeče nebo se šíří phishingem či přílohou, která obsahuje škodlivý script. Tím obejdou antivirovou ochranu, která zkoumá soubory. Odhalení tohoto typu malwaru je velmi obtížné, protože neukládá žádné soubory na disk, nepomáhá ani restart a vyžaduje pokročilé metody pro detekování. Těmi jsou například systémy EDR (Endpoint Detection and Response).

Řešením je EDR systém

EDR je pokročilejší řešení kybernetické bezpečnosti, které cílí na detekci, vyšetřování a eliminaci sofistikovaných a cílených útoků, a to včetně dosud neznámých a pokročilých hrozeb nezachytitelných antivirem.

Tento systém zaznamenává a vyhodnocuje údaje, spojuje události a vidí je v širším kontextu. Všímá si situací, které jednotlivě nejsou podezřelé, ale škodlivost je vidět až v celém obraze. Využívá znalosti postupů, které útočníci typicky používají. V reálném čase analyzuje chování všech běžících procesů a jakmile vyhodnotí, že některé postupy nejsou standardní, že se dějí kroky používané při kybernetických útocích, tak proti nim zasáhne.

Detekce je založena na umělé inteligenci a aplikaci prvků strojového učení. „Tato pokročilá ochrana podniku je pochopitelně dražší oproti antivirům a klade mnohem vyšší nároky na znalosti a schopnosti správce při nasazení a provozu takového systému.

Nicméně existují řešení, která se dají pořídit za cenu dobrého antivirového programu a přitom jsou to špičkové technologie. Navíc je provozují profesionálové, kteří se postarají o správu a poradenství. Jedním z velmi účinných a přitom i pro malé a střední podniky velmi dostupným EDR systémem je Magenta EDR,“ radí Karel Galuška, produktový manažer pro produkty a služby kybernetické bezpečnosti ve společnosti T‑Mobile CZ.

Menší podniky jako snadný terč

Menší a střední podniky chráněné pouze antivirovou ochranou jsou pro útočníka poměrně snadným cílem. Přitom ale povinnost detekovat kybernetické útoky, reagovat na ně, tedy hlásit je a zároveň se adekvátně chránit, je jednou ze základních. Vyplývá ze Zákona o kybernetické bezpečnosti.

Nová legislativa, která do českého právního řádu transponuje směrnici Evropské unie NIS2, bude vstupovat v účinnost začátkem příštího roku a dotkne se citelně právě i malých a středních firem. „I proto nabízíme řešení, které je efektivní, tedy nahradí antivir, je založeno na moderních technologiích a poskytuje spolehlivou a všestrannou ochranu. Je modulární, tedy lze využít pro různé typy firem s různými provozními požadavky a s různými platformami. Zároveň je snadná a rychlá jeho implementace. Zároveň se jedná o cenově velmi dostupné řešení,“ vyzdvihuje přednosti Magenta EDR Karel Galuška.

Firma, která bude tuto službu využívat, může mít její správu plně pod kontrolou, sama ji vyhodnocovat a řešit případné incidenty zcela samostatně. „Například EDR detekuje útok malwaru a provede nápravná opatření. Pokud se problém nepodaří vyřešit automaticky, přesune počítač do karantény a situaci oznámí správci. Pak už je na něm, jak situaci bude řešit. Může v případě potřeby například využít možnost konzultační služby T‑Mobile SOC. Další možností je pak doplnit základní verzi službou SOC light,“ doplňuje Galuška.

Tato služba automaticky řeší jen méně závažné detekce. U těch kritických vždy provádí analýzu pracovník SOC (Security Operations Center). Zákazník tedy nepotřebuje mít tak hluboké znalosti kybernetické bezpečnosti a šetří svoje zdroje, protože tuto práci dělá dodavatel 24 hodin denně.

Článek vznikl ve spolupráci se společností T-Mobile.