Karel Šimek bol jedným z prvých zamestnancov českého startupu Cognitive Security, ktorý v roku 2013 prevzala spoločnosť Cisco.
Dnes pôsobí ako Technical Marketing Engineer vo výskumnom a vývojovom centre pre kybernetickú bezpečnosť Cisco v Prahe. Tunajší bezpečnostný tím sa zaoberá detegovaním hrozieb na základe sofistikovaných algoritmov, ktoré dokážu objaviť podozrivé správanie v sieti v reálnom čase.
S Karelom sme sa rozprávali na konferencii Cisco SEC v Bratislave.
TI: Aké sú hlavné hrozby, ktorým čelia dnešné firmy? Či už z hľadiska toho, ako sa škodlivý kód dostane do počítača alebo čo potom môže spôsobiť
K.Š.: Primárnym problémom v dnešnej dobe je email. Cezeň ide najväčšie množstvo útokov. Malvér môže byť súčasťou emailu ako príloha, alebo elektronická pošta obsahuje podvodný link na webovú stránku. Je totiž veľmi časté, že útočníci kompromitujú nejaký server a následne naň odkazujú v emailovej komunikácii.
Samotný útok je zvyčajne rozdelený do niekoľkých častí a postupne eskaluje. Najbežnejšie a často prvé k čomu dochádza je, že útočníci napr. aktivujú automatizované klikanie na rôzne reklamné bannery. Takto dokážu vygenerovať niekoľko dolárov za deň, ale treba si uvedomiť, že často majú k dispozícii niekoľko tisíc napadnutých počítačov. Samozrejme, infikovaný počítač môže poskytnúť oveľa viac, napr. heslá a prístupy, ktoré potom môžu viesť aj k inej forme monetizácie. Ak počítač nevyčistíte, môže sa doň neskôr dostať ďalší malvér a ten sťahuje heslá a certifikáty.
Princíp väčšiny cielených útokov spočíva v tom, že sa malvér dostane do počítača, vytiahne z neho heslá a kľúče a pri ďalších útokoch už vie, čo sa v danom počítači nachádza. A keď už útočníci nevedia, ako ďalej vyťažiť počítač, nainštalujú doň napr. ransomware, ktorý je už viditeľný aj pre koncového používateľa. To už je však tá posledná fáza a firmy si ju všímajú, pretože ransomware, ktorý zašifruje disk počítača, sa prezentuje navonok.
TI: Ak tomu správne chápem, útočníci často neútočia s primárnym cieľom ukradnúť dáta, ale kvôli tomu, aby získali výpočtový výkon a počítače a tie následne mohli zneužiť?
K.Š.: Treba si uvedomiť, že sa nejedná o jedného útočníka, ale celú sériu útočníkov. Niektorí sa špecializujú na vytváranie exploitov a vytvárajú možnosti, ako sa dostať do počítača. Potom sú ľudia, ktorí sa špecializujú na spravovanie botnetov, kontrolujú, či sú dostatočne veľké a kupujú exploity. Ďalšia skupina útočníkov infikované stroje „najíma“ a využívajú ich pre rôzne účely. Práve preto sa dostane viac malvéru do počítača, ktorý je dlhú dobu infikovaný. Infikované počítače sa predávajú komukoľvek, kto za to zaplatí. Treba pochopiť, že útoky majú obvykle na starosti špecializované skupiny ľudí. Získate potom lepší prehľad o tom, ako funguje biznis s malvérom.
TI: Spomínali ste, že najzraniteľnejší spôsob je email. Často sa spomínajú aj útoky prostredníctvom USB kľúčov. Vo všetkých prípadoch teda zlyháva ľudský faktor.
K.Š.: Ľudský faktor zlyháva aj medzi ľuďmi, pre ktorých nie je bezpečnosť cudzia. Ak je kampaň útoku spracovaná naozaj kvalitne, email je dobre cielený a prepracovaný, tak naň percento alebo niekoľko percent ľudí naletí. Väčšinou ide o masovo distribuované emaily, pri ktorých je zabezpečené, že stačí, aby naň kliklo 0,1% ľudí a výsledkom bude veľké množstvo počítačov, ktoré je možné ovládať.
V prípade priamo kompromitovaných stránok môžu byť problémom aj reklamné servery, ktoré často cez ďalších sprostredkovateľov dodávajú reklamu na nami bežne navštevované weby. Preto sa môže stať, že sa reklama so škodlivým kódom dostane aj na legitímnu stránku, ako je napr. oficiálny web nejakej televízie.
TI: Z pohľadu spoločnosti Cisco, čo je vašou úlohou v tomto kolobehu škodlivého kódu?
K.Š.: Ja pracujem s celým portfóliom, ktoré je zamerané na riešenie problémov detekcie a odstraňovanie škodlivého kódu z infikovaných počítačov. Tento problém je komplexný a to už z hľadiska detekcie, ktorá je základom. Bez toho, aby ste sa dozvedeli, že počítač je infikovaný, nemôžete robiť nič ďalej. Vo chvíli, keď to už viete, máte pred sebou dosť práce. Musíte zistiť, čo malvér robí, aké predstavuje riziko, pretože takýchto infekcií máte pravdepodobne viac. Musíte teda zistiť aj to, aké je riziko, že malvér extrahuje dáta z vašej firmy a kam až môže útok eskalovať. Treba to stihnúť čo najrýchlejšie, pretože štatistiky ukazujú, že väčšina infikovaných strojov začne posielať dáta na internet už v priebehu niekoľkých hodín. Našim cieľom je mať architektúru natoľko kvalitnú a komplexnú, aby sme boli schopní rýchlo reagovať na infekciu. Nielen nájsť ju a zistiť čo robí, ale aj automatizovane blokovať súbory, ktoré sú zodpovedné za komunikáciu s útočníkmi. Toto je iba prvá fáza, nakoniec budete musieť infikovaný počítač naformátovať a premazať. Tomu všetkému naše portfólio pomáha – od fáze detekcie až po fázu automatického čistenia.
TI: Spýtam sa laicky, zmýšľam ako bežný používateľ. Mám antivírusový systém a firewall, som presvedčený, že ma to všetko chráni a stačí mi to. Prečo potrebujem riešenie od Cisca?
K.Š.: Antivírusový systém je v dnešnej dobe absolútny základ a netvrdím, že Advanced Malware Protection (AMP) od Cisca ho nahradí. V prípade malvéru, ktorý je už známy a dostatočne rozšírený, je veľmi dobrá šanca, že antivírus zabráni jeho prieniku. To je tá najlepšia varianta, lebo sa nemusíte zaoberať jeho hľadaním, čistením a blokovaním. Naozaj dobrý antivírak vám pomôže nájsť 99% malvéru.
Nepomôže však v prípade, ak je malvér polymorfný a rýchlo sa mení. Alebo ak je útok úplne nového typu alebo je cielený. Treba si totiž uvedomiť aj to, že útočníci testujú malvér proti bežným antivírusovým riešeniam a vedia teda, či je ich škodlivý kód detekovateľný alebo nie. Pokiaľ sa pozrieme na analytické nástroje, ako je Cisco Cognitive Threat Analytics a Cisco OpenDNS, pre útočníkov je to o poznanie náročnejšia situácia. V týchto prípadoch nevedia jasne povedať, či váš systém ich malvér nájde. V prípade antivírusu to vedia zistiť, lebo ten sa rovnako správa na ich počítači a na všetkých ostatných počítačoch. Pri analytických nástrojoch to takto nefunguje.
TI: Vývoj bezpečnostných riešení a malvéru je ako naháňačka mačky s myšou. Je to nekonečný kolobeh. Čo sa v tomto segmente udialo za posledných pár rokov z hľadiska technológií?
K.Š.: Firiem, ktoré sa snažia presadzovať vlastné riešenie z hľadiska analytických riešení, je obrovské množstvo. Analytika je tak dobrá, aké dobré sú dáta a preto je potrebné mať k dispozícii veľké množstvo dát, aby sa dobre vytrénovala. Cisco má v tomto smere strategickú výhodu a výhodu investícií viac ako 10 rokov vývoja a výskumu do analytických technológii. To je niečo, čo mladé firmy len tak nedobehnú.
Čo sa počas posledných rokov zmenilo… na trhu je dnes viacero nástrojov a vzniklo aj nové odvetvie, tzv. User Behavior Analytics. Je to ďalšia predzvesť toho, že sa bude čoskoro aplikovať analýza aj na konkrétnych používateľov. Bezpečnostné riešenie bude analyzovať váš profil, na aké systémy a s akou frekvenciou pristupujete, kam sa logujete a na základe toho vyhodnotí, či napr. chce niekto vyniesť dáta z firmy.
V analytike je posun veľký, dochádza aj k integrácii telemetrie a väčšina výrobcov bezpečnostných riešení sa snaží budovať aliancie, aby medzi sebou zdieľali informácie a dokázali zabezpečiť lepšie pokrytie pred novými útokmi. Je to primárne dané tým, že nové útoky je ťažké detekovať. Útočníci sú vždy na krok vpredu.
TI: Je zrejmé, že firmy, ale aj bežní používatelia, by nemali podceňovať bezpečnosť. Čo by ste im odporučili?
K.Š.: Myslím, že väčšina firiem z vlastnej skúsenosti vie, že z času na čas sa v ich počítačoch objaví napr. ransomware. Ja by som iba apeloval, že ransomware je iba dôkazom toho, že v sieti existujú stroje, ktoré sú dlhodobo kompromitované. Ransomware je skutočne tou poslednou fázou. V daných firmách sa taktiež pravdepodobne vyskytuje aj kradnutie dát a môže to smerovať k ich zneužitiu pre potreby cielených útokov. Primárna obrana proti ransomware je zálohovanie, to je najefektívnejšie.
Ide o zložitý problém, ktorý ťažko v obmedzenom čase popísať. Ale posun bezpečnosti na pomyselnom rebríčku priorít je za posledné roky naozaj veľký a to nielen v západnej Európe a Škandinávii, ale aj u nás. Firmy vnímajú, že útoky sa im už nevyhýbajú. Nie vždy si ale uvedomujú obmedzenia prevencie a blokovania. Ak prijmeme občasné infekcie strojov ako nevyhnutné, budeme omnoho presnejšie rozumieť rizikám, ktoré nám hrozia a tiež architektúre, ktorú Cisco na riešenie tohto problému vytvorilo.
Ďakujeme za rozhovor.
Prečítajte si aj:
Cisco v Bratislave ukázalo, ako sa brániť pred kyberzločinom
