Pondelok popoludní. Žiadne známky problému.
Telefonát od dodávateľa o podozrivých e-mailoch sa javí ako drobná anomália. V utorok ráno však používatelia hlásili poškodené súbory, pomalé počítače a podivné prípony. Medzitým na inom oddelení niekto rieši naliehavú finančnú požiadavku, ktorá „prišla od vedenia“.
Na prvý pohľad ide o nesúvisiace incidenty. V skutočnosti však ide o jeden koordinovaný útok, ktorý sa postupne odohráva v celej infraštruktúre. Táto roztrieštenosť je jedným z najväčších problémov súčasnej kybernetickej bezpečnosti – organizácie vidia jednotlivé príznaky, ale chýba im schopnosť pochopiť celok.
Typický scenár sa nezačína nijako dramaticky. Útočník najprv zneužije neopravenú zraniteľnosť na serveri alebo firemnom notebooku, potom vytvorí skrytý prístup do systému a postupne sa presúva ďalej. To, čo sa na prvý pohľad javí ako niekoľko nesúvisiacich udalostí, je v skutočnosti jeden plynulý proces.
Prečo dnes nestačí vidieť – je potrebné pochopiť
Moderné bezpečnostné nástroje generujú obrovské množstvo údajov. Riešenia pre koncové body monitorujú správanie zariadení, správa identít zaznamenáva protokoly a auditné protokoly zaznamenávajú aktivity v systémoch. Napriek tomu organizácie často reagujú príliš neskoro.
Dôvod je zásadný: väčšina týchto nástrojov poskytuje len izolovaný pohľad. Napríklad EDR poskytuje podrobné informácie o tom, čo sa deje na konkrétnom zariadení, ale stráca kontext v okamihu, keď sa útok presunie inam. Centralizácia protokolov do SIEM bez pokročilej korelácie a detekcie anomálií často prináša len množstvo informácií bez jasnej interpretácie.
Otázka: Prečo teda ani kombinácia firewallu, EDR a SIEM často nedokáže zabrániť incidentu?
Odpoveď je pomerne jednoduchá – útoky dnes neprebiehajú v jednej vrstve. Prebiehajú paralelne naprieč identitami, e-mailom, cloudom a sieťovou komunikáciou. Ak tieto signály nie sú prepojené, vzniká slepota. Organizácie síce niečo „vidia“, ale včas to nepochopia.
Vektory útoku ako súčasť príbehu
Keď sa pozrieme na najčastejšie typy hrozieb, ktorým dnes spoločnosti čelia, môže sa zdať, že ide o samostatné disciplíny – phishing, malvér, ransomvér alebo bočný pohyb. V skutočnosti však tvoria logicky prepojený reťazec.
Typickým vstupným bodom je dnes phishing, ale rovnako pravdepodobným začiatkom útoku môže byť aj zneužiteľná zraniteľnosť servera. Útočník tak získa prvý prístup do prostredia a okamžite vytvorí zadné vrátka – napríklad inštaláciou nástroja na vzdialenú komunikáciu.
Po vstupe dovnútra nastáva jemná fáza eskalácie oprávnení. V praxi to často neznamená prelomenie hesla, ale využitie existujúcej situácie – napríklad neaktívnej relácie administrátora. To umožňuje útočníkovi získať privilegovaný prístup bez viditeľného útoku.
V ďalšej fáze prichádza bočný pohyb. Útočník sa presúva naprieč prostredím – z jedného servera na druhý, z lokálneho prostredia do cloudu. Tu tradičný prístup ochrany koncových bodov zlyháva. Akonáhle útok prekročí hranicu zariadenia, EDR stráca schopnosť poskytnúť kontext.
Malvér v tomto scenári často nehrá hlavnú úlohu, ale slúži ako podporný nástroj. Okrem toho moderné varianty bežia v pamäti alebo používajú legitímne systémové nástroje, čo čoraz viac sťažuje ich detekciu.
Záverečná fáza potom zahŕňa vypnutie bezpečnostných mechanizmov – napríklad vypnutie miestneho firewallu, vypnutie antivírusového programu. Celý reťazec potom často končí únikom firemných údajov, šifrovaním dátových úložísk, záloh, virtuálnych serverov a finančným vydieraním – viditeľnou a deštruktívnou fázou útoku. Z pohľadu organizácie je to „začiatok problému“. V skutočnosti je to však posledná kapitola.
Kontext ako kľúč k pochopeniu incidentu
Základný rozdiel medzi tradičným a moderným prístupom k bezpečnosti spočíva v práci s kontextom. Jednotlivé udalosti nemajú zmysel samy o sebe. Podozrivé prihlásenie môže byť legitímne, zmena roly môže byť opodstatnená a neobvyklá sieťová komunikácia môže mať technické vysvetlenie.
Skutočný obraz sa nám ukáže až vtedy, keď tieto udalosti spojíme dohromady. Tu nastupuje prístup analýzy správania používateľov a subjektov (UEBA), ktorý vytvára modely správania používateľov a zariadení a identifikuje odchýlky od normy.
Výsledkom nie je len odhalenie jednotlivých anomálií, ale vytvorenie uceleného incidentu, ktorý má jasnú štruktúru, prioritu a kontext. Podľa dostupných materiálov tento prístup umožňuje analyzovať identity, koncové body a sieť súčasne a vyhodnocovať ich v reálnom čase v rámci zásad nulovej dôveryhodnosti.
Mýtus „nie sme zaujímavý cieľ“
Jedným z najčastejších omylov, s ktorými sa v praxi stretávame, je presvedčenie, že menšie alebo stredne veľké spoločnosti nie sú pre útočníkov atraktívne. Tento predpoklad mohol platiť pred desiatimi rokmi. Dnes už neplatí.
Útoky sú z veľkej časti automatizované. Útočníci sa nezameriavajú na konkrétne spoločnosti – skenujú rozsahy IP adries, hľadajú zraniteľnosti a využívajú príležitosti. Organizácia teda nie je cieľom útoku kvôli svojej veľkosti alebo dôležitosti, ale jednoducho preto, že je prístupná.
Ako ukazuje prax, nejde o to byť „zaujímavý“, ale o to byť dosiahnuteľný.
Od detekcie k riadenej kybernetickej obrane
Súčasný vývoj ukazuje posun od pasívneho dohľadu k aktívnej a riadenej bezpečnosti. Nestačí len odhaliť hrozby – treba ich pochopiť, určiť ich priority a v ideálnom prípade na ne reagovať v reálnom čase.
Otázka: Čo sa stane, keď organizácia tento prístup nemá?
Odpoveď je veľmi praktická. Incident sa rozpadá na desiatky čiastkových problémov, ktoré riešia rôzne tímy bez spoločného kontextu. Reakcia je pomalá, nekoordinovaná a často prichádza až vtedy, keď sú už škody spôsobené.
Ako SecuRadar zapadá do systému
Práve schopnosť dať izolované bezpečnostné udalosti do zrozumiteľného kontextu je kľúčovým princípom riešení ako SecuRadar. Nejde len o zhromažďovanie protokolov alebo generovanie upozornení – cieľom je vytvoriť z jednotlivých signálov kompletný obraz bezpečnostného incidentu.
V tejto súvislosti SecuRadar spája informácie o prístupe, správaní používateľov, zariadeniach a komunikácii. Prostredníctvom analýzy správania (UEBA) dokáže odhaliť, že zdanlivo nesúvisiace udalosti – napríklad skenovanie siete, vytvorenie služby na serveri, relácia administrátora, vytvorenie nového účtu a zmena doménových politík – sú v skutočnosti súčasťou jedného útoku.
Výsledkom nie je zahltenie tímu IT množstvom oznámení, ale prehľadne štruktúrované incidenty s prioritou, kontextom a odporúčaniami pre ďalšie kroky. Organizácia tak získa nielen väčší prehľad, ale najmä schopnosť včas a s istotou reagovať.
Záver
Moderný útok nie je jednorazový. Je to príbeh.
A ak ho neviete čítať v súvislostiach, strácate schopnosť včas ho zastaviť.
Kybernetická bezpečnosť sa tak z otázky „čo sa stalo“ stáva oveľa dôležitejšou otázkou:
„Ako tieto udalosti navzájom súvisia – a čo to znamená pre organizáciu?“
