IT bezpečnost ve vrstvách

Zásadní roli v našem vrstveném modelu hraje antivir. Dokáže zachytit většinu známých i neznámých hrozeb, se kterými se můžete setkat při prohlížení internetu anebo při používání emailu.

Kde nás antivir může zachránit? Například:

• při otevření škodlivé přílohy v emailu
• při přístupu na podvodné (phishing) stránky
• při infiltraci různými malware včetně ransomware (výkupné za zašifrovaná data)
• při připojení externího zařízení (disku, flashdiskku), který je infikovaný virem

Antivir je základní komponentou našeho vrstveného modelu, kterou by měl používat opravdu každý.

V našem vrstveném modelu používáme firewall na dvou úrovních.

• Firewall na síťových prvcích – povoluje anebo zakazuje komunikaci přímo na síťových prvcích. Umí řídit komunikaci přicházející z internetu a také komunikaci v interní síti. Například mezi serverovou sítí a sítí, kam se připojují uživatelé. Díky tomu je chráněna celá síť.
• Firewall na počítačích – je software nainstalovaný na počítačích. Stejně jako v předchozím případě umí povolovat a zakazovat různé typy komunikace. Standardní nastavení bývá takové, že z internetu k Vám nepustí firewall žádnou komunikaci, ale zároveň od Vás do internetu povolí vše.

Software, ať už na serveru nebo jako program v počítači, často obsahuje chyby - říkáme jim „bezpečnostní díry“. Útočník jich může využít pro získání přístupu do sítě nebo počítače. Firewall umí útočníkům přístup zakázat tak, že se o zneužití těchto chyb nemohou ani pokusit.

Základní firewall bývá velice levný, někdy i zdarma. Přesto hraje na poli bezpečnosti velmi významnou roli.

Těchto chyb může útočník využít, aby ovládl Váš systém. Proto je vhodné udržovat všechny programy aktuální a instalovat bezpečnostní záplaty. Abychom si byli jistí, že se záplaty instalují a že fungují, používáme nástroje, které nás upozorní, pokud na některém počítači nebo serveru záplata chybí.

V opačném případě se může stát, že se počítače a servery nebudou delší dobu aktualizovat, aniž bychom o tom věděli. To pak představuje riziko, kterého útočníci mnohdy využívají.

Může se stát, že nová záplata sice jednu věc opraví, ale další dvě rozbije. Proto je v prostředích, kde si nemůžeme dovolit výpadek, vhodné testovat a posuzovat, které záplaty budeme instalovat.

V případě aktualizací síťových prvků a dalších zařízení je před aktualizací třeba posoudit, zda nová verze nepřináší chyby, které by ovlivnily Váš provoz.

Pokud používáte stejné heslo k více službám a webům, hesla si píšete na papír nebo používáte v heslech běžná slova a přidáte k nim 123 na konec, mohl by Vás zajímat náš článek věnující se bezpečnosti hesel.

Článek - Zabezpečení hesel

Co přesně to MFA (MULTI-FACTOR AUTHENTICATION) – vícefaktorové ověření je?
Jedná se o systém, kdy se pro přístup k Vašemu účtu musíte ověřit dvěma po sobě jdoucími způsoby. Například standardním zadáním hesla a následně ještě kódu, který je Vám zaslán SMS zprávou nebo přes aplikaci v mobilu.

Proč je MFA tak důležité a jak mi reálně může pomoci?
Ač se to na první pohled nemusí zdát, zjistit Vaše heslo, i když ho máte velice silné, nemusí být zas tak obtížný úkol. V praxi se to stává třeba takto:

• Přijde Vám email s textem, že s Vašim účtem je něco v nepořádku a že máte kliknout na odkaz níže a účet si zkontrolovat. Když kliknete na odkaz, dostanete se na stránku, která vypadá stejně jako reálná stránka (třeba stránka e-shopu nebo banky). Stránku však vyrobil útočník a uživatelské jméno a heslo, které tam zadáte, si útočník uloží.
• Letíte letadlem a člověk přes uličku vidí, jaké heslo na klávesnici zadáváte.
• Přihlásíte se do svého emailu z cizího počítače. Třeba z hotelu nebo z kavárny. Počítač má na sobě nainstalovaný tzv. keylogger. Ten si ukládá, co píšete na klávesnici. Keylogger může být ve formě nainstalovaného programu a nebo dokonce v hardwarové podobě, tedy „krabičky“ kterou útočník připojil mezi klávesnici a počítač.
• Na počítači máte vir, který útočníkovi odešle hesla, která zadáte na klávesnici.

Jak vícefaktorové ověření celou situaci změní?
Pokud se to opravdu stane a útočník se dostane k Vašemu heslu, může se zkusit do Vašeho účtu přihlásit.

• Pokud nepoužíváte vícefaktorové ověření, tak se do vašeho účtu přihlásí a Vy se o tom pravděpodobně ani nedozvíte.
• Pokud vícefaktorové ověření máte, tak se útočníkovi po přihlášení heslem objeví výzva pro zadání druhého ověření. To však přišlo Vám na mobil jako SMSka, nebo jako kód do Vašeho mobilního telefonu. Tento kód útočník nemá a proto se mu přihlásit nepodaří. Co víc - tím, že Vám přijde kód, který jste si sami nevyžádali víte, že se něco děje a dává Vám to možnost si heslo změnit.

Proto je potřeba věnovat emailům speciální pozornost. Základem všeho by měl být antivir a antispam na každém emailovém serveru tak, aby škodlivé emaily uživatelům vůbec nepřišly.

Moderní doba však přináší mnoho dalších taktik a metod, jak s útočníky bojovat. Jejich skladba a implementace vždy závisí na konkrétních požadavcích zákazníka.

Zde je pár příkladů, co můžeme v boji proti emailovým útokům použít:

• Anti Spoofing, někdy nazýváno jako Impersonation protection: mnoho útoků probíhá tak, že si útočník založí veřejně dostupný email se jménem šéfa. Třeba jmeno.sefa@gmail.com. Takový email pak většinou projde skrz antispamový filtr a útočník v něm může požadovat například nákup dárkových Amazon karet a nebo rovnou zaslání peněz na účet. Anti Spoofing zajistí, že pokud je email odeslán jménem kohokoliv, kdo existuje v naší organizaci, email se zadrží. Náš administrátor jej poté posoudí a rozhodne, jestli ho uživateli uvolní anebo ne.
• SPF a DKIM: jsou to metody, které zajistí, že nikdo nebude moci odesílat emaily naším jménem (z naší domény, např. z @itoperations.cz). Bez těchto opatření je odeslání emailu z libovolné adresy (i když ji nevlastníme) velmi snadné.
• Zákaz některých souborů: některé útoky se snaží využít funkce operačního systému, který skrývá příponu souborů. Útočník tedy odešle soubor nabídka.pdf.exe. Váš operační systém příponu .exe skryje a Vy uvidíte pouze nabídka.pdf. Na tom se Vám nebude zdát nic divného, otevřete to a nevědomky si tak spustíte program s virem. Je tedy vhodné některé nebezpečné přípony souborů úplně zakázat a nedovolit jejich doručení.
• Sandboxing: některé pokročilejší nástroje umožňují ověření přílohy emailu v testovacím izolovaném prostředí. Tedy příloha se odešle do tohoto „sandboxu“, tam se spustí a systém vyhodnotí, co se po spuštění děje. Kam se to připojuje, jestli to chce něco šifrovat, atd. Po otestování se email buď zadrží a nebo doručí uživateli.

Myslíte si, že je Váš počítač bezpečný, když máte ve Windows nastavené silné heslo? Pojďme se nad tím zamyslet.

Pokud data na Vašem disku nejsou šifrovaná, lze se do Vašeho počítače dostat minimálně dvěma jednoduchými způsoby:

• Vyndat pevní disk z vašeho počítače, připojit si ho ke svému počítači a data si překopírovat. Oprávnění ve Windows příliš nepomůže. Administrátor útočníkova počítače může převzít vlastnictví kterékoliv složky v NTFS systému souborů a získat tak přístup všude.
• Nastartovat počítač z instalačního média překopírovat/přejmenovat pár souborů, restartovat počítač a změnit si heslo na administrátora dřív, než se vůbec do Windows přihlásíte.

Pokud data na Vašem disku šifrovaná jsou, jste v bezpečí. Ani jedna metoda uvedená výše, ani žádná jiná známá metoda nedokáže získat data ze správně zašifrovaného disku.

K šifrování můžete použít vestavěné nástroje operačního systému. Pro Windows je to Bitlocker a pro MacOS je to FileVault. Tyto nástroje jsou zdarma.

Proxy brána je služba, která v reálném čase umožňuje otestovat stránku, kterou chce někdo z firmy navštívit. Pokud je na stránce něco závadného, uživatele nepustí dál.

Jak to funguje?

• V síti nastavíme provoz tak, aby všechna internetová komunikace procházela proxy bránou.
• Uživatelé začnou navštěvovat internetové stránky tak, jak jsou zvyklí.
• Proxy brána průběžně kontroluje reputaci a bezpečnost stránek.
• Bezpečné stránky se uživateli zobrazí běžným způsobem.
• Pokud je některá stránka vyhodnocena jako nebezpečná, uživateli se zobrazí varování a na stránku je přístup zablokován.

Vše funguje v reálném čase bez výrazného zpomalení.

Tato služba může obsahovat i další funkce, pokud je to žádoucí. Může například blokovat stránky dle zadaných kritérií a kategorií, jako je například gambling nebo obsah pro dospělé nebo cokoliv, co nesouvisí s prací.

Velmi silným nástrojem pro boj proti bezpečnostním hrozbám je aktivní sledování sítě. Funguje to tak, že do Vaší sítě umístíme speciální zařízení, které poslouchá veškerou komunikaci, která se v síti odehrává. Tuto komunikaci analyzuje s pomocí databáze vzorků škodlivého chování a pokud se ukáže, že komunikace je nebezpečná, nebo třeba jen spadá do kategorie, kterou v síti nechceme, je možné tuto komunikaci přerušit a na skutečnost upozornit správce sítě.

Uvedeme dva základní příklady:

• Některý z počítačů dostal vir typu ransomware, který zašifruje data a požaduje výkupné. Aby tento typ viru fungoval, potřebuje se po spuštění na počítači oběti zkontaktovat s řídícím serverem. Naše zařízení pro sledování sítě komunikaci rozpozná, přeruší a upozorní nás. Tím se zamezí jakékoliv škodě a navíc se o incidentu dozvíme.
• Některý z počítačů se pokusí komunikovat pomocí protokolu, který není přímo škodlivý, ale je pro nás nežádoucí. Například pokud by si někdo pustil stahování přes BitTorrent, pravděpodobně bychom o tom chtěli vědět, abychom se mohli zeptat uživatele, jestli to pro svou práci potřebuje. Takovou komunikaci můžeme povolit a pouze na chování uživatele upozornit.

V běžném pracovním prostředí není potřeba, aby uživatelé měli na svém počítači administrátorské oprávnění. To je vyžadováno například pro instalaci nových programů, nebo pro změnu nastavení.

Kdo však toto administrátorské oprávnění většinou potřebuje jsou viry a malware. Pokud toto oprávnění nemá uživatel, nemá ho ani vir, který může být uživatelem nechtěně spuštěn.

Proto výrazně doporučujeme, aby pro každodenní práci byly používány účty se standardním oprávněním. Pokud bude třeba vyšší oprávnění, můžeme se přihlásit jiným účtem, udělat co potřebujeme a poté se vrátit zpět k normálnímu účtu.

Odebrat uživatelům administrátorské oprávnění je velmi dobrý způsob, jak bojovat s viry. Přesto se někdy může zdát, že je tento krok až příliš přísný a omezuje uživatele v některých věcech, které by normálně potřeboval dělat.

Řešením je využití systému, který Vám umožní definovat jemnější pravidla toho, co uživatel smí a co nesmí. Můžete například:

• Určit, které programy si uživatelé mohou instalovat sami. Takové programy budou instalovány s administrátorským oprávněním, i když jej uživatel fakticky nemá.
• Určit, které části systému vyžadující administrátorské oprávnění může uživatel využívat. Například změnu nastavení síťového adaptéru.
• Zamezit instalaci programů, které ve svém prostředí nechcete nebo na pokus o instalaci upozornit IT helpdesk, který se může připojit a program po prověření nainstalovat.

I když aplikujeme všechny vrstvy bezpečnosti, nakonec se může stát, že se něco stane chybou uživatele. Mnoho útočníků dokonce na uživatele své útoky cílí.

Proto v našich uživatelích posilujeme povědomí o bezpečnostních hrozbách a o technikách, které útočníci používají. Učíme uživatele být obezřetní a přirozeně podezíraví. Je něco jinak nebo máte jen pocit, že něco není, jak má? Zastavte se, zamyslete se a nahlašte nám to. Útočníci se často snaží navodit dojem urgence, protože vědí, že když vám dají čas se zamyslet, uděláte správnou věc.

Jeden příklad za všechny:
Dostanete SMSku nebo email od Vašeho šéfa, že je na jednání s potenciálním klientem a že potřebuje, abyste mu rychle koupili pár dárkových poukazů na Amazonu, protože je potřebuje rozdat jako pozornost, aby obchod vyšel. Zní to divně, že? Právě ten pocit „divnosti“ je potřeba respektovat a jednat podle toho.

V dnešní době nových technologií a umělé inteligence je potřeba být extrémně obezřetní. Představte si, že v příkladu výše nedostanete SMSku, ale šéf Vám přímo zavolá a jeho hlas zní úplně přesně jako jeho vlastní. Říká se tomu deep fake a je to metoda, která je opravdu reálná a používá se.