Útočníci to majú ľahké, ak sú firmy v strese alebo personálne poddimenzované.
Ako odznelo aj na nedávnej slovenskej konferencii o kyberbezpečnosti, aktéri hrozieb si hovoria: „Načo budem hackovať, keď si môžem zavolať a vypýtať si meno a heslo.“
U nás doma
Bezpečnostný odborník Maroš Barabas prezentoval reálne incidenty, kde útočníci dokonca zotrvávali v sieti niekoľko týždňov. V jednom prípade „udreli“ cez predĺžený víkend, keď mala drvivá väčšina firmy dovolenku, a zašifrovali všetky dáta. A ako sa dostali do siete? Ľahko. Na phishing reagoval administrátor.
V druhom prípade incident objavili náhodne, keď bezpečáci pri skenovaní darkwebu videli podozrivo zhodné firemné údaje na predaj. Keď videli, že údaje sú aj s fotkami zamestnancov, už ani nebolo o čom pochybovať.
Siete to majú ťažké
Skúsenosti z praxe podporujú aj tohoročné štatistiky a medziročné porovnania. Počet útočných kampaní zameraných na prienik do siete sa ku koncu polroka globálne zvýšil takmer o polovicu.
Čo je však pozoruhodné, stále klesá podiel škodlivého softvéru pri pokusoch o prienik do siete. Kyberbezpečnostná spoločnosť Crowdstrike deteguje vyše 70 percent útočných aktivít bez škodlivého softvéru. Súvisí to s tým, že útočníci zneužívajú platné prihlasovacie údaje do sietí.
Aj správcovia sietí to majú ťažké
Zabezpečenie siete je v súčasnosti kľúčovou úlohou firiem a inštitúcií všetkých veľkostí. Aj tej vašej.
Prístupy z vnútornej siete nie sú iba neškodné a prebieha odtiaľ čoraz viac útokov. Kompromitácia jedného dôveryhodného vnútorného zariadenia umožňuje získať útočníkovi prístup na ďalšie systémy. Aktéri hrozieb sú v sieti nepozorovaní, prehľadávajú a kopírujú údaje, vykonávajú špionáž, ransomvérové útoky, zapájajú zariadenia do botnetov alebo nelegálne ťažia kryptomenu.
Zmizla nám dôvera
V roku 2020 sa rozpadlo mnoho štruktúr aj v kybernetickej bezpečnosti. „Veľké množstvo služieb migrovalo do cloudu, zmenil sa spôsob práce, rastie počet zariadení v sieti a zamestnanci sa pripájajú z rôznych lokalít. Model perimetrovej bezpečnosti sa stal zastaraným,“ konštatuje Jozef Bálint, bezpečnostný špecialista Alison Slovakia.
Firewall, ako hlavný prvok ochrany na perimetri, odišiel do histórie. Rovnako prestalo platiť, že používatelia, zariadenia a aplikácie vo vnútornej sieti sú primárne považované za dôveryhodné a všetko vo vonkajšej sieti za nedôveryhodné.
Ak by sme to chceli povedať veľmi expresívne, dnes je nedôveryhodné všetko. Definitívne sa tak presadil koncept zero trust, čiže koncept nulovej dôvery.
Neveriť nikomu a overovať všetkých
Vonkajšia aj vnútorná sieť sú považované za nebezpečné, respektíve nepriateľské. Každý prístup, či už ide o používateľov, zariadenia alebo aplikácie, musí byť overený a autorizovaný. Všetko ostatné je zamietnuté.
Súčasťou konceptu nulovej dôvery je aj predpoklad prieniku, čiže očakávanie najhoršieho možného scenára a s tým súvisiacich reakcií na incident a plánov na zabezpečenie chodu organizácie. Používatelia a aplikácie majú pridelené len tie prístupy, ktoré potrebujú nevyhnutne na svoju činnosť.
Ako hovorí bezpečnostný profesionál Marek Zeman po nedávnych skúsenostiach s implementáciou, koncept nulovej dôvery spája bezpečnosť a prevádzku v jeden ucelený celok.
Každý rok viac
V globálnom meradle takmer tri štvrtiny organizácií uviedli, že v tomto roku sú v procese prijímania zero trust stratégie alebo ju už prijali.
Implementáciu konceptu nulovej dôvery sa v Tatra banke rozhodli urobiť na základe odporúčaní materskej skupiny. „Pre kompletné nasadenie do banky našej veľkosti sme naplánovali štyroch expertov na celý čas projektu. V konečnom dôsledku implementáciu vnímam naozaj veľmi pozitívne,“ hodnotí Marek Zeman.
Po mesiacoch skúseností tu padol aj najväčší mýtus, že ide o neobratné a pomalé riešenie, ktoré nedovoľuje nikomu nikam pristupovať. Ukázalo sa, že koncept nulovej dôvery priniesol naozaj dobré a funkčné riešenie a má rovnaké muchy ako ktorékoľvek iné. Ale všetky muchy je možné „pochytať“.
Dôveruj, ale preveruj
Tento princíp je základným kameňom každej bezpečnostnej architektúry. Preto podľa názoru architekta kybernetickej bezpečnosti Mariána Trizuliaka marketingovo poňatý koncept zero zrust neprináša až také prevratné zmeny: „Buď pravidelne prehodnocujem riziká a aplikujem opatrenia, alebo jednoducho spím na vavrínoch. Toto nie je o technickej nulovej dôvere, ale predovšetkým o nás, o ľuďoch.“
Zároveň však kriticky dodáva, že nech je bezpečnostný profesionál akokoľvek skúsený alebo ostrieľaný, po istom čase sa stane pohodlným a nemusí niektoré hrozby vnímať. Koncept nulovej dôvery dlhodobo udržiava v pozornosti aj profesionálov a nedovoľuje im spoliehať sa na zaužívané predpoklady pri budovaní bezpečnostných riešení.
Je to o rozmýšľaní
„Realizácia konceptu nulovej dôvery je podobná tomu, ako si budujeme vlastné bývanie – rozumne postaviť plot, zabezpečiť dvere, zakryť strechu,“ opisuje proces Marián Trizuliak. „Treba ísť pekne po vrstvách zvonku do vnútra ‚cibule‘, kde sa nachádza to najdôležitejšie.“
Tento koncept má pomôcť profesionálom udržovať pozornosť, neustále zvažovať a vyhodnocovať hrozby aj tam, kde doteraz nevnímali priestor na zlyhania či narušenia. Nulová dôvera môže zároveň predstavovať princípy bezpečnostnej architektúry IT prostredia alebo prevádzkových technológií.
Bezpečnosť nemá konečnú
Architektúra nulovej dôvery je nevyhnutná všade, kde zamestnanci pracujú z rôznych lokalít, využívajú cloudové riešenia a internet nahradil ich firemnú sieť.
V dobe globálnej komunikácie a konektivity sa táto architektúra uplatňuje v každom segmente, ktorý potrebuje byť efektívny a konkurencieschopný a minimalizovať riziká spojené s kybernetickými hrozbami.
Posilnenie konceptu nulovej dôvery predstavuje kombinácia s hĺbkovou ochranou (defence-in-depth). „Pridávajú sa tu nástroje na riadenie a monitorovanie privilegovaných účtov, ktoré umožňujú zvýšiť úroveň bezpečnosti pomocou vytvárania auditových logov a záznamov,“ vysvetľuje Jozef Bálint.
Už to bude iba viac
Spoločnosť Gartner odhaduje, že globálne výdavky na riešenia nulovej dôvery budú v tomto roku 820 miliónov amerických dolárov. Nejde ani o sumu samotnú, ale o predpokladaný dramatický rast. Ročné výdavky na riešenia nulovej dôvery sa do troch rokov viac ako zdvojnásobia.
Na porovnanie – ročné výdavky na informačnú bezpečnosť a riadenie rizík vo svete narastú v roku 2025 „iba“ o necelých štyridsať percent.
