Výpadek IT v nemocnicích díky útoku hackerů způsobuje vážné problémy

Ransomware je s námi více než 15 let, a přestože už dnes relativně přesně víme, kde jsou naše největší slabiny, není měsíce, kdy by se člověk nedočetl o průniku nebo dokonce zašifrování sítě. O to více bolestivý je fakt, že útoky se zaměřují na klíčové, nedostatečně zabezpečené sítě – nemocnice, průmyslové podniky a energetiku (předpovídali jsme zde). To nejslabší místo je od počátku stejné - jsou jím uživatelé. Pojďme si říci, jak z toho ven.

Jak typická nákaza či zavirování sítě probíhá? Na počátku všeho je útočník, jedinec či skupina. Stále jich ale není dost na účinný útok, pokud by jej měli provádět manuálně ze svého počítače. Je třeba získat co nejvyšší počet zařízení, ze kterých lze útočit, a k tomu slouží botnet.

Botnet je uskupení nejrůznějších zařízení (tzv. botů), která jsou schopna komunikovat do internetu – tiskárny, čidla, modemy, ledničky, Wi-Fi routery, počítače. Jak se zařízení stane součástí botnetu? Kliknutím na odkaz, na přílohu v mailu nebo stažením souboru anebo jednoduše kvůli slabému přístupovému heslu. Centrála botnetu po úspěšném získání přístupu nainstaluje malware, díky kterému získá alespoň částečnou kontrolu nad napadeným strojem.

A proč to všechno? Protože nyní lze z napadeného zařízení na jediný pokyn centrály botnetu poslat například dotaz na zobrazení konkrétní webové stránky, a představte si, že toto lze udělat synchronizovaně v jeden okamžik, ze všech zařízení, která tvoří botnet – a těch je třeba půl milionu. Zábavu lze ale povýšit dále. Často se do infikovaných zařízení instaluje malware, který se snaží odposlechnout důležité informace o počítači a ideálně se rozšířit i na ostatní zařízení v rámci sítě.

Ještě nekončíme. Některé druhy malware otevírají dveře ultimátní zbrani – ransomwaru. Už se vám někdy stalo, že jste si zazipovali archiv, ale nepamatovali si heslo? Nebojte, ransomware toto udělá za vás na všech složkách v síti, kam se dostane. Zašifruje veškerý obsah počítačů, serverů a velice často i záloh a záloh záloh.

 

Otázka zní – jde se bránit?

Ano jde a nejlépe ochranu vrstvit na sebe. Začít se dá od toho nejlevnějšího:

  1. Kontrola přístupových údajů a smazání zapomenutých či dočasných účtů (toto je stále jeden z nejčastějších důvodů průniku do sítě).
  2. Včasný update a instalace aktuálních patchů.
  3. Používání aktualizované antivirové ochrany.
  4. Poučení uživatelů a zmínění základních chyb, kterých se opakovaně dopouštíme.
  5. Použití NGFW nebo UTM řešení (které je však správně nakonfigurováno).

Protože útoky a způsoby jejich provedení se neustále zdokonalují, první čtyři body zpravidla nestačí k efektivnímu zastavení hrozby. Proto bychom rádi pomohli s posledním bodem. Zmiňovali jsme, že ochranu je důležité vrstvit na sebe. Pojďme se podívat, jak chrání WatchGuard.

Základem je pustit uživatele jen na bezpečná místa na internetu, z povolených aplikací a podle aktuálních trendů a hodnocení webů: WebBlocker, Application Control, RED (Reputation Enabled Defense).

I tak, činnost uživatele a poštovní provoz musí být chráněny a to ideálně kontrolou spamu, integrovaným antivirem a i v případě, že by ani ten hrozbu neodhalil, nastoupí ochrana fungující na základě strojového učení, nezávisle na signaturních databázích známých hrozeb: Gateway AntiVirus, spamBlocker, APT Blocker, IntelligentAV.

Kdyby i toto všechno selhalo, je tu zlatý hřeb, ochrana koncových stanic – TDR (Threat Detection and Response). Jedná se o nepatrnou službu - Host Sensor, běžící na počítači či serveru, jejímž úkolem je kontrolovat procesy a analyzovat typické chování uživatele. V případě abnormality nebo závadného kódu je schopna automaticky a okamžitě zareagovat například zastavením procesu, smazáním souboru nebo odpojením dané stanice od zbytku sítě, aby nedošlo k šíření nákazy. Administrátor a uživatel jsou ihned informování o závažnosti hrozby a provedené akci.

Některé hrozby jsou schopny rozpoznat, že jsou detekovány antivirem či jiným mechanizmem a chovají se slušně. Proto je WatchGuard schopen cloudového sandboxingu s emulací HW prostředků.

 

 

Jak to kupříkladu funguje?

Dejme tomu, že vám přijde mail. Už v okamžiku, kdy putuje přes WatchGuard firewall, se kontroluje, zda-li obsahuje známou hrozbu, či odpovídá vámi nastavenému pravidlu povolených přípon přiložených souborů. Otisk přiloženého souboru je poslán do cloudového sandboxu, a pokud ani otisk není znám, je poslán celý soubor na analýzu. Projde-li dál, algoritmus na bázi neuronové sítě zkoumá kontext milionů stavebních bloků, ze kterých je soubor složen. Pokud i přesto projde, Host Sensor na koncové stanici hlídá, které procesy s jakými právy se snaží soubor iniciovat a včas zakročí. To vše za přispění běžného antiviru a zdravého rozumu.

V dnešní době progresivních evazivních hrozeb bohužel jednotlivá opatření sama o sobě nemusí stačit. Pokud ale ochranu zřetězíme, značně snižujeme šanci, že se staneme obětí. Pro příznivce práce z domova a VPN spojení dodáváme, že útočníci překvapivě často využívají k průniku do sítě právě VPN účty zaměstnanců, ač správně nastavené. V dnešní době je už téměř povinností nasadit MFA. Řešení multifaktorové autentizace AuthPoint účinně znemožňuje útok na základě zcizených přihlašovacích údajů.

 

Potřebujete poradit s návrhem bezpečnostního řešení pro vašeho zákazníka?

Kontaktujte nás!

Naši konzultanti mají dlouhodobé zkušenosti a jsou certifikováni přímo od výrobce.

Rádi vašemu zákazníkovi zapůjčíme UTM WatchGuard s plnou funkcionalitou na zkoušku spojenou s analýzou provozu a rizik.

description: ; keywords: ;