O tom, že len jednoduchý antivírus na zaistenie bezpečnosti dát už nestačí, sa hovorí dlhšie. Prax to teraz v dobe pandémie tvrdo dokazuje.
Na to, ako správne pristupovať k zabezpečeniu sme sa opýtali Patrika Műllera, ktorý pôsobí ako regionálny manažér pre východnú Európu v spoločnosti Sophos
Ako je to teda so súčasnými trendami v oblasti bezpečnosti? Čo použiť okrem antivírusu?
S tvrdením, že samotný antivírus nie je pre zabezpečenie IT už dostačujúce, nemožno než súhlasiť. Organizácie by sa mali zamerať na detailnejšiu stratégiu obrany s využitím nových technológií. V súčasnej dobe sa osvedčujú stratégie nulovej dôvery (zero trust), ako sú ZTNA (zero trust network access) alebo SASE (secure access service edge). To je správny prístup, pretože kritickým momentom zaistenia bezpečnosti je koncový bod, ktorý je kľúčom k schopnosti posunúť kybernetickú bezpečnosť vpred.
Na proaktívnu obranu proti nenápadným útokom je navyše úplne zásadný komplexný systém kybernetickej bezpečnosti, ktorý zahŕňa viac vrstiev ochrany.
Sophos zákazníkom uľahčuje nasadenie bezpečnostných produktov, navrhnutých od základu tak, aby spolu komunikovali, zdieľali informácie a okamžite reagovali na útoky. Uľahčuje správu zabezpečenia s využitím vlastných technológií pomocou jediného ovládacieho panela v Sophos Central.
Dobrým príkladom sú riešenia typu Endpoint Detection and Response. EDR je skvelá technológia, ale pre zákazníkov veľmi náročná z dôvodu veľkého počtu súborov so záznamami a upozorneniami. Ako ďalší krok začal Sophos poskytovať riešenia Managed Threat Response. MTR riešenie zahŕňa monitoring a výstrahy a tým znižuje náročnosť systému. Výsledkom je efektívnejšie zabezpečenie IT, ktoré je vhodné aj pre malé a stredne veľké podniky s menším alebo nulovým počtom vyhradených pracovníkov pre oblasti bezpečnosti.
Ako sa Sophosu v roku 2020 darilo, okrem iného s ohľadom obrovský medziročný rast vo vašej komunite poskytovateľov riadených služieb?
Sophos rastie rýchlejšie než trh v EMEA a COVID ešte viac urýchlil digitálnu transformáciu, kde je bezpečnosť IT jedným z hlavných hráčov. Portfólio novej generácie rastie o viac ako 30 % ročne a teraz predstavuje 70 % našich predajov. Na trhu neexistuje silnejšia, inovatívnejšia, komplexnejšia a otvorenejšia platforma novej generácie. Naše predaja riadených služieb rástli už štyri po sebe idúce roky o viac ako 50 % ročne a zatiaľ nevykazujú žiadne známky spomalenia. Dokonca sa ešte zrýchľujú. Náš MSP (Managed Service Provider) program teraz podporuje viac ako 12 500 globálnych a regionálnych MSP po celom svete. Takže sme viac ako úspešní.
Patrik Műller, regionálny manažér pre východnú Európu v spoločnosti Sophos, Zdroj: Flickr
Ako sa Sophos ako firma prispôsobuje novým potrebám zákazníkov?
V moderných architektúrach zabezpečenia IT má zásadný význam kombinácia práce s koncovými bodmi a firewallmi a Sophos je schopný takúto technológiu poskytovať. Pritom nezabúdame ani na malé a stredne veľké podniky. Väčšina spoločností zaoberajúcich sa kybernetickou bezpečnosťou totiž poskytuje riešenie len pre veľkých zákazníkov. Problém ale je, že väčšina z našich ekonomík stavia na stredne veľkých spoločnostiach. Sophos je jediným dodávateľom, ktorý má v portfóliu zabezpečenie koncových bodov aj firewally a tieto produkty sú natívne integrované do jedinej konzoly Sophos Central.
Odvetvie kybernetickej bezpečnosti navyše nedávno prešlo evolúciou v podobe technológie Endpoint Detection and Response (EDR), ktorá sa teraz stala štandardným nástrojom na prenasledovanie hrozieb. Sophos je v tejto oblasti lídrom so svojou technológiou Intercept X with EDR. EDR generuje obrovské množstvo dát okolo útokov a hrozieb a pomáha organizáciám rozhodovať sa na základe týchto poznatkov, aby sa lepšie chránili.
Existujú ale organizácie, ktoré nemajú tím na riadenie EDR, a pre tých sme vytvorili službu Sophos Managed Threat Response (MTR). A navyše, pre organizáciu, na ktorej prebieha aktívny útok, je určená služba Sophos Rapid Response. Ak súčasní zákazníci spoločnosti Sophos alebo aj iné organizácie zaznamenajú aktívny útok a potrebujú okamžitú podporu, aby odrazili protivníka a napravili škody, môže tím Sophos Rapid Response rýchlo zasiahnuť. Je pritom dôležité mať na pamäti, že kybernetická bezpečnosť je predovšetkým o technológiách, ľuďoch a procesoch.
Ako teda postupovať ako je spoločnosť napadnutá útočníkmi a neexistuje v nej schopný tím, ktorý by útoku čelil. Ako môže Sofos rýchlo pomôcť v takýchto prípadoch?
Bleskurýchla reakcia na incidenty minimalizuje škody spôsobené útokmi a skracuje čas nutný na obnovu dát. Sophos tak predstavil vyššie spomenutú službu Sophos Rapid Response. Je to prvá služba svojho druhu, ktorá za fixný poplatok rieši na diaľku reakciu na incidenty, keď identifikuje a neutralizuje aktívne kyberbezpečnostné útoky počas 45 dňového obdobia záväzku. Sophos Rapid Response poskytuje organizáciám služby dedikovaného tímu špecialistov ako reakciu na incidenty. Dodá analytikov hrozieb, ktorí rýchlo zastavia aj pokročilé útoky, odstránia útočníkov zo siete, minimalizujú škody a náklady a skrátia čas potrebný na nápravu.
Keď ste zasiahnutí útokom, je čas extrémne dôležitý. Každá minúta medzi úvodnou kompromitáciou a neutralizáciou sa počíta, pretože útočníci pokračujú v životnom cykle útoku. Sophos Rapid Response narúša aktívne útoky, čím eliminuje zložitý a časovo náročný proces zastavenia útočníkov, takže sa organizácie môžu rýchlejšie vrátiť k svojej bežnej prevádzke.
Sophos Rapid Response neutralizuje širokú škálu bezpečnostných incidentov vrátane ransomwaru, napadnutia siete, manuálne operujúcich útočníkov a ďalších. Tím služby Sophos Rapid Response môže byť zostavený a aktivovaný počas niekoľkých hodín a väčšina útokov môže byť klasifikovaná už v priebehu 48 hodín.
Len čo sú aktuálne hrozby neutralizované tímom Rapid Response, posunie sa program Sophos Rapid Response k permanentnému monitorovaniu s nepretržitým vyhľadávaním hrozieb, vyšetrovaním, detekciou a reakciou zo strany tímu Sophos MTR. Správa o vyšetrovaní hrozieb podrobne opisuje konštatovania, prijaté opatrenia a ďalšie odporúčania na nápravu a pomáha organizáciám pochopiť pôvod útoku a tiež to, aké prostriedky boli napadnuté, k akým dátam útočníci pristupovali a aká do siete zaviedli.
Služba Sophos Rapid Response je okamžite k dispozícii existujúcim aj novým zákazníkom spoločnosti Sophos. Na rozdiel od tradičných služieb reakcie a vyšetrovania, ktoré vyžadujú zložité a zdĺhavé nasadenie s hodinovými sadzbami, je služba Sophos Rapid Response k dispozícii na diaľku a s pevným cenovým modelom, založeným na počte používateľov a serverov v organizácii. Služba Sophos Rapid Response je zároveň štruktúrovaná tak, aby vyhovovala firmám všetkých veľkostí, vrátane menších organizácií, ktoré zatiaľ neboli schopné využiť takúto službu bez pravidelného poplatku.
Už sme hovorili o úspechu vašich riadených služieb. Prečo si myslíte, že tieto služby rastú tak rýchlo a aké sú plány Sophosu v tejto oblasti?
Digitálna transformácia nás posúva smerom k spotrebe a táto ekonomika poháňaná spotrebou posúva organizácie smerom k riadeným službám. A Sophos je veľmi dobre pripravený túto zmenu správania využiť. Sophos MSP Connect je náš špecializovaný program pre MSP, s ktorým môžu spĺňať všetky bezpečnostné potreby svojich zákazníkov poskytovaním bezpečnostných riešení Sophos novej generácie. Vďaka spolupráci s jedným dodávateľom môžu MSP poskytnúť svojim zákazníkom kompletné portfólio bezpečnostných riešení a služieb, ktoré spolupracujú a sú vzájomne integrované. Srdcom programu Sophos MSP Connect je bezpečnostná platforma Sophos Central. Vyššie spomenutý ovládací panel Sophos Central Partner umožňuje MSP spravovať všetkých svojich zákazníkov a ovládať všetky ich produkty Sophos prostredníctvom jediného prostredia.
Na riadené služby sa pozeráme z pohľadu našich partnerov. Vo výsledku totiž potrebujú zákazníci znížiť riziká a o to sa postará partnerstvo medzi nami ako dodávateľom technológií a našimi partnermi, ktorí poskytujú služby. Tento ekosystém je základným kameňom úspechu Sophosu.
Aká je dnes úloha partnerov v rámci obchodných kanálov, s ohľadom na zrýchľujúcu sa digitálnu transformáciu? Ako môže pomôcť zákazníkom preskupiť sa a čo najlepšie využiť obmedzené bezpečnostné zdroje?
Ako globálny líder v oblasti kybernetickej bezpečnosti sa Sophos sústreďuje predovšetkým na inovácie a ochranu zákazníkov. Ak máte skvelý nástroj, ale jeho inštalácia, nasadenie a použitie je tak zložité, že k jeho správe a údržbe potrebujete armádu bezpečnostných profesionálov v SOC (Security Operations Center), v drvivej väčšine organizácií po celom svete to nebude veľmi dobre fungovať. Vždy sa tak zameriavame na poskytovanie špičkových podnikových bezpečnostných nástrojov, ktoré sú prístupné organizáciám akejkoľvek veľkosti od 1 až do 100 000 zamestnancov. Ochrana aj iných ako len veľkých podnikov je zásadná, pretože menšie spoločnosti sú vystavené rovnakým druhom hrozieb, ale nemajú ani zďaleka rovnaké možnosti a zdroje, aby na ne mohli reagovať.
A práve tu zohrávajú veľmi dôležitú úlohu naši partneri so svojimi skúsenosťami, znalosťami a schopnosťou individuálne riešiť potreby zákazníka. Preto zrýchleným tempom pokračujeme v investíciách do nášho „Channel First“ modelu.
Spoločnosti po celom svete vidia rastúcu potrebu zabezpečenia cloudu. Aká je vaša stratégia zabezpečenia cloudu pre región EMEA?
Cloud globálne zrýchľuje a nie je možné ho zastaviť. Niektoré európske krajiny sú v digitálnej transformácii pomalšie, iné rýchlejšie. Centrálou už nie je dátové centrum, ale sú to ľudia. Nie je to cloud, ale ste to vy. Ako stále viac organizácií migruje do cloudu, musia vedieť, ako zabezpečiť to, čo do cloudu ukladajú. Za to totiž zodpovedá príslušná spoločnosť a nie poskytovateľ cloudu. Sophos má komplexnú stratégiu zabezpečenia cloudu, ktorá identifikuje zraniteľné miesta a nesprávne konfigurácie v cloude, rieši problémy so zabezpečením a dodržiavaním predpisov a sleduje a optimalizuje výdavky za cloud. S aktívami v cloude zaobchádzame rovnako ako s tými miestnymi: všetky dáta, zariadenia a aplikácie je potrebné chrániť, bez ohľadu na to, kde sa nachádzajú. Organizáciám v regióne EMEA budeme aj naďalej pomáhať určiť ich najlepšiu cestu k zabezpečenie cloudu.
Denne dostávame oznámenia o rastúcom počte útokov, konkrétne o zneužívaní rôznych udalostí a mien (coronavirus, prezidentské voľby, snahy využiť reakcie na rôzne iné udalosti, celebrity atď.). Ako v Sophose tento vývoj vnímate?
Phishing je tu už roky a má pomerne dobre známe terče, triky a sprievodné znaky. Ale stále vidíme, že sa objavujú nové techniky, vďaka ktorým je pre stroje aj ľudí stále ťažšie tieto sofistikované podvody detegovať. Vysoko zacielený „spear phishing“ bol v poslednej dobe hybnou silou radu významných kompromitácií, od značne medializovaného hacktivismu po nenápadné cielené penetrácie. Napríklad od doby, kedy sa COVID-19 dostal na titulné stránky, sme riešili rad podvodov súvisiacich s novými koronavírusmi, phishingovými útokmi a malwarovým kampaňami, v ktorých podvodníci prispôsobili existujúce sexuálne vydieračské e-maily, mobilný malware a triky na krádeže hesiel, aby využili strach a neistotu ľudí.
Ale nezabúdajme, že nie každý kyberzločinec naskočil na vlak koronavirových podvodov. Existujú podvodníci, ktorí sa stále zameriavajú na krádeže PayPal účtov a po novom na falošné hovory od technickej podpory. Ľudia sú totiž rozptýlení oveľa viditeľnejšími a viac spomínanými podvodmi spojenými s pandémiou. Nemajú dostatok času na ostražitosť voči všetkým ostatným podvodom, ku ktorým sa tieto nové útoky pridali.
Dobrou správou je, že existujú veľmi účinné nástroje na získanie lepšieho povedomia o podvodoch. Napríklad Sophos Phish Threat je nástroj na simuláciu phishingových útokov a súvisiace školenia. Tento nástroj poskytuje flexibilitu a možnosti prispôsobenia, ktoré organizácia potrebuje na vytvoreniu „kultúry pozitívneho povedomia“ o bezpečnosti pomocou individuálne vytvorených phishingových kampaní.
Ktoré druhy útokov sú dnes najzávažnejšie a prečo?
Je to jednoznačne ransomware. Ten je pre kyberzločincov zlatou žilou a zatiaľ sa intenzita ransomwarových útokov vôbec neznižuje. Ransomware bol predtým považovaný za typ malwaru, ale teraz ide o obchodný model, ktorý využíva akýkoľvek malware nevyhnutný na dosiahnutie výsledku, ktorým je vydieranie. Organizácie v regióne EMEA by mali definovať a neustále zdokonaľovať svoju obranu proti ransomwaru, narušeniu dát a ďalším útokom, ktoré majú vplyv na ich každodenné fungovanie.
Ako sa hrozby, ako je spomenutý ransomware, vyvíjajú a ako ovplyvňujú podniky dlho pred a po skutočnom útoku ransomwaru. A čo s tým robiť?
Útoky ransomwaru môžu vyzerať ako náhodné akoby práve bez varovania spadli z neba. Ale v skutočnosti sa útočníci ransomwaru často vyzradia dopredu. Ak teda viete, čo vlastne máte hľadať. Klasifikácia ransomwaru ako náhodné epizódy svedčí o tom, že sa tieto varovné signály proaktívne nehľadajú, alebo sa jednoducho vôbec nevie, čo by sa malo hľadať.
Primárnym zameraním pre IT organizácie počas akejkoľvek narušujúcej udalosti je bezpečným a zabezpečeným spôsobom zabezpečiť kontinuitu podnikania. Preto je prioritou vytvoriť a otestovať plán zabezpečenia kontinuity ešte pred tým, než dôjde k pohrome. Bezpečnosť zamestnancov môže zahŕňať zatváranie kancelárií, ako to vidíme počas pandémie. Vzhľadom na to, koľko ľudí teraz pracuje z domu, znamená zabezpečenie vášho podnikania implementáciu pevného základu nevyhnutného zabezpečenia. Udržujte si prehľad o všetkých vašich aktivitách a zaistite, aby systémy správy záplat a zraniteľnosti fungovali podľa očakávania. Zvážte zapnutie automatického záplatovania pre toľko systémov, koľko je len vo vašom podniku možné. Povoľte a doslova vynúťte multifaktorové overovanie pre cloudové služby a vzdialený prístup k interným systémom. Poskytnite spoľahlivých klientov pre vzdialený prístup, nástroje pre spoluprácu a aplikácie na virtuálne schôdzky, aby používatelia tieto nástroje nehľadali sami. Urobte zo zálohovania prioritu, robte ho často a pravidelne testujte funkčnosť záloh. Nakoniec zaistite, aby vaši používatelia vedeli, ako hlásiť bezpečnostné incidenty a uľahčite im to.
Aké sú problémy s VPN pripojením a ako pripravované Sophos ZTNA pomôže organizáciám poskytnúť bezpečný vzdialený prístup do ich prostredia?
Ešte pred pandémiou dochádzalo k posunu v oblasti sietí, pretože rastúci podiel pracovnej sily začal pracovať z domova. Tento trend sa za posledný rok dramaticky zrýchlil, pričom veľká väčšina organizácií svojim zamestnancom prácu z domova buď nariaďuje alebo ju podporuje. Mnoho organizácií to takmer cez noc premenilo na vysoko distribuovaný model so stovkami ak nie tisíckami pobočiek s jediným zamestnancom. Pre mnoho organizácií sa pobočka jediného zamestnanca stal novým štandardom. Tento masívny posun vytvoril obdobne veľkú výzvu pre mnoho IT organizácií v podobe pripojenia vzdialených pracovníkov cez VPN.
Uvediem príklad. Využitie nášho klienta Sophos Connect VPN pre XG Firewall sa v posledných mesiacoch zvýšilo viac ako 10-krát na viac ako 1,4 milióna aktívnych klientov.
A aj keď bola technológia VPN naším záchrancom a dobre nám poslúžila, v skutočnosti nikdy nebola navrhnutá pre tento nový normál. U VPN môže byť ťažké nasadiť a pripojiť nových zamestnancov, pre koncových používateľov môže byť náročné ju používať. Vytvára zbytočné trecie plochy a neposkytuje ten druh granulárneho zabezpečenia, ktorý väčšina organizácií vyžaduje. Aktívne pracujeme na tom, aby sme Sophos ZTNA, teda prístup k sieti s nulovou dôverou, poskytli čo najrýchlejšie. Sophos ZTNA je úplne nový, cez cloud poskytovaný a riadený produkt na jednoduché a transparentné zabezpečenie podnikových aplikácií s detailným nastavením. Tým pomôžeme prekonať niektoré z problémov, ktorým organizácia u vzdialených pracovníkov čelí. Poskytneme jednoduchšie, lepšie a bezpečnejšie riešenie na pripojenie používateľov k dôležitým aplikáciám a dátam.
Ako to bude s rozširovaním rýchleho mobilného pripojenia cez 5G siete v takých zariadeniach, ako sú smartfóny a notebooky?
Sophos oznámil svoje plány na poskytovanie ochrany koncových bodov Sophos Intercept X pre 5G počítače s výpočtovými platformami Qualcomm Snapdragon. Kombinácia Sophos Intercept X s výpočtovými platformami Snapdragon poskytne používateľom novú generáciu zabezpečenia v rámci prostredí nepretržite bežiacich a neustále pripojených počítačov.
Platforma Snapdragon pritom umožňuje rýchle 5G pripojenie pre smartfóny a tenké a ľahké notebooky bez ventilátorov. Sophos Intercept X je navrhnutý tak, aby chránil pokročilé výpočtové systémy a koncové body a zastavil sofistikované kybernetické bezpečnostné hrozby vďaka schopnostiam hlbokého učenia umelej inteligencie a ochrany pred ransomware. Intercept X pre výpočtové platformy Snapdragon bude k dispozícii v druhej polovici roka 2021.
Ako je to s využitím umelej inteligencie v oblasti bezpečnosti?
Sophos v tejto oblasti oznámil štyri nové otvorené iniciatívy v oblasti umelej inteligencie vrátane dátových sád, nástrojov a metodík. Cieľom Sophosu je rozšíriť a zostriť oblasť ochrany proti kybernetickým útokom.
Aj keď je bežnou praxou zdieľať metodiky a poznatky v oblasti AI v rámci viacerých priemyselných odvetví, kybernetická bezpečnosť v tomto úsilí zaostala a vytvorila ťažko pochopiteľný obraz toho, ako AI naozaj poskytuje ochranu pred kybernetickými hrozbami. Spoločnosť Sophos a jej tím dátových vedcov SophosAI inicializujú zmenu smerom k otvorenosti. Takže IT manažéri, bezpečnostní analytici, finanční aj generálni riaditelia, ktorí rozhodujú o nákupe alebo riadení zabezpečenia, môžu diskutovať a hodnotiť výhody AI na profesionálnej úrovni.
Vráťme sa ešte k ransomwaru. Je to jednoznačne najsilnejšia téma súčasnosti v oblasti bezpečnosti. Aké sú očakávanie pre ďalšiu časť roka 2021?
PM: Sophos v tejto súvislosti vydal štúdiu Sophos 2021 Threat Report, ktorá popisuje, ako bude ransomware a rýchlo sa meniace správanie útočníkov formovať prostredie hrozieb a IT bezpečnosti v roku 2021. Štúdia poskytuje trojrozmernú perspektívu bezpečnostných hrozieb a trendov od ich vzniku až po dopady v reálnom svete.
Podľa našej štúdie sa rozdiel medzi ransomwarovými útočníkmi na rôznych koncoch spektra zručností a zdrojov ešte zväčší. Na špičkovej úrovni budú rodiny ransomwaru útočiace na najhodnotnejšie ciele a aj naďalej budú zdokonaľovať a meniť svoje taktiky, techniky a postupy. Cieliť budú na väčšie organizácie a požadovať mnohomiliónové výkupné. Na druhej strane očakáva Sophos zvýšenie počtu začínajúcich útočníkov, ktorí hľadajú ransomware na prenájom ovládaný prostredníctvom ponúk, ako je napr. Dharma, ktoré im umožnia zacieliť na veľké množstvo menších koristí.
Ďalším trendom ransomwaru bude „sekundárne vydieranie“, kedy okrem zašifrovania dát útočníci ukradnú dôverné informácie a pohrozia ich zverejnením, ak nebudú splnené ich požiadavky. V roku 2020 informoval Sophos o ransomware Maze, RagnerLocker, Netwalker, Revil a ďalších, ktoré tento prístup využívali.
Všetky typy protivníkov budú stále viac zneužívať legitímne nástroje, dobre známe utility a bežné sieťové destinácie, aby sa vyhli detekčným a bezpečnostným opatreniam a zmarili analýzu a identifikáciu. Zneužitie legitímnych nástrojov umožňuje protivníkom vyhnúť sa detekcii, zatiaľ čo sa pohybujú po sieti, kým nie sú pripravení začať hlavnú časť útoku, napríklad spustiť ransomware.
Ďakujem pekne za rozhovor!
Za TOUCHIT sa rozprával Ondrej Macko
