Ako účinne zabrániť ohrozeniu prístupu?
Ako zistíte, že sa niekto práve prihlásil pod identitou vášho kolegu – a ako ho včas zastavíte?
Prečo dnes nestačí mať MFA a aké kroky skutočne ochránia pred útokmi v roku 2025?
Identita ako nová hranica obrany
Zabudnite na obvod. V digitálnom svete rozptýlenom v cloude, hybridných pracoviskách a zariadeniach BYOD
je identita hlavným vektorom útoku
.
Na to, aby sa útočník stal „oprávneným“ používateľom, stačí kompromitácia jediného poverenia.
Práve na tejto skutočnosti sa zakladá koncepcia
Nulová dôvera
že:
- žiadny používateľ,
- žiadne vybavenie,
- žiadne umiestnenie
…nie sú vo svojej podstate dôveryhodné.
Preto nestačí chrániť vchod.
Musíte pochopiť správanie vo vnútri.
MFA: Nedostatočné, ale nevyhnutné minimum
Viacfaktorovú autentifikáciu v súčasnosti využíva väčšina spoločností – často vo forme SMS kódu alebo push notifikácie. Je to dobrý začiatok. Ale z hľadiska dnešných útokov
to už takmer nestačí
.
Moderné útoky obchádzajú systém MFA:
- pomocou nástrojov phishing proxy,
- technika man-in-the-middle,
- krádež tokenov relácie.
Silnejší prístup:
MFA odolné voči phishingu
Tento záznam bol zaslaný v FIDO2 tokeny, Windows Hello pre firmy a označený FIDO2 tokeny, Windows Hello pre firmy.
Podmienený prístup
: Rôzne úrovne dôveryhodnosti v závislosti od kontextu prístupu
🔐
MFA dnes nie je cieľom. Je to základ, na ktorom treba stavať.
Kontext je kľúčový: adaptívny prístup a overovanie na základe rizika
Moderné nástroje, ako napr.
Microsoft Entra ID alebo Okta
umožňujú vyhodnocovať prihlásenia nielen podľa identity, ale aj podľa ich
kontextu
. Nazývame to
overovanie založené na riziku
.
Príklady rizikových signálov:
- Nezvyčajné
geolokácia
(napr. Ázia, ale zamestnanec je v Brne)
- Neznáme
Zariadenie
alebo nekompatibilný operačný systém
- Podozrenie
IP adresa
– napríklad verejná sieť VPN alebo anonymizér
História prístupov
ktorá nezodpovedá normálnemu správaniu
Čo systém robí?
- Vyžaduje silnejšie overenie
- Blokuje prístup k citlivým aplikáciám
- Alebo zastaví celé prihlásenie
➡️
Neodsudzujte ho len tak,
kto
sa uchádza, ale
ako a prečo
.
Kompromis nie je vždy hlasný – preto ho musíte hľadať
Útočníci v roku 2025 nie sú hluční. Neposielajú emaily s lebkou, nespúšťajú červené upozornenia.
Postupujú potichu a metodicky
. Pracujú s kompromitujúcimi prístupmi a testujú, čo si môžu dovoliť.
Na ich zistenie potrebujete
analýzu správania používateľov (UEBA)
ktorá:
- porovnáva skutočné správanie so štandardným vzorom,
- hľadá anomálie v prístupových údajoch,
- detekuje aj takzvané „tiché“ útoky – vnútorné hrozby, delegovaný prístup, nové aplikácie bez schválenia.
Čo by malo zahŕňať dobré monitorovanie:
- Zvýšenie počtu pokusov o prihlásenie alebo zlyhaní MFA
- Podozrivé kombinácie rolí a aplikácií
- Prístup zo zariadenia, ktoré používateľ nikdy predtým nepoužil
- Používanie globálnych oprávnení bez udania dôvodu
🔍 Presne takto to funguje
SecuRadar Complete
ktorý využíva
Microsoft Sentinel
,
klasifikáciu MITRE ATT&CK
a
automatickú detekciu anomálií v reálnom čase
.
Automatizovaná reakcia: keď systém nečaká na rozhodnutie človeka
Zistenie je len prvým krokom. V reálnom svete musíte reagovať
sekúnd.
– a v tej chvíli potrebujete mať nástroje, ktoré nečakajú na analýzu.
Automatická odpoveď zahŕňa:
- Izolácia napadnutého zariadenia
- Vynútené odhlásenie a zablokovanie tokenu
- Obnovenie hesla
- Aktivácia súboru bezpečnostných pokynov (napr. prostredníctvom programu Microsoft Sentinel)
✅ Kľúčom je
vopred pripravený skript
. Incident nesmie byť prekvapením – musí ísť o očakávaný scenár.
Odporúčania pre spoločnosti: ako strategicky chrániť identity
Prestaňte sa spoliehať na heslá a štandardné MFA
Nasadenie overovania odolného voči phishingu je dnes absolútne nevyhnutné.
Stávka na kontextové riadenie prístupu
Podmienený prístup s granularitou založenou na riziku výrazne zvyšuje bezpečnosť bez zbytočného zaťaženia používateľa.
Analyzujte správanie – nielen technické údaje
UEBA a korelácia údajov odhaľujú to, čo protokoly neodhaľujú.
Automatizácia reakcií – skrátenie času rozhodovania
Rýchlosť je často jediným rozdielom medzi úspešnou ochranou a incidentom.
V prostredí plnom mobilnej práce, cloudových aplikácií a decentralizovaných tímov
je identita najcitlivejším a zároveň najzraniteľnejším miestom
vašej infraštruktúry.
