O víkendu došlo k masivnímu útoku na mnoho organizací po celém světě, který je připisován skupině REvil, známá svými aktivitami v oblasti Ransomware-as-a-service s napojením na Rusko. Hackeři zaútočili podobným způsobem, jako v nedávné kauze SolarWinds, využili k průniku do sítí mnoha firem modifikovaný update softwaru Kaseya’s VSA, což je nástroj na monitoring a vzdálenou správu počítačů.
Tento nežádoucí update se útočníkům podařilo během pátku rozšířit na servery systému VSA. Tento softwarový nástroj, který zejména v USA využívají firmy poskytující vzdálenou správu počítačů byl pak zneužit k rozšíření ransomware, který zasáhl následně více jak milion stanic nejen v USA, ale i jinde ve světě. Obětí se stal například obchodní řetězec COOP ve Švédsku a další organizace. Útočníci následně zašifrovali počítače a servery a požadují výkupné.
Je to již několikátý útok v tomto roce, který využívá takzvaných „0day“ zranitelností různých softwarových platforem, které jsou součástí nějaké dodávky služeb. Jde o stále populárnější taktiku útočníků, kteří se snaží hledat slabá místa v dodavatelském řetězci.
Stará dobrá bezpečností poučka říká, že každá organizace, každý systém je tak bezpečný a odolný proti útoků, jako jeho nejslabší článek. Této taktiky hackeři úspěšně využívají.
Nejde přitom o útoky, které by nešlo zastavit. I když dojde k průniku do sítě, takto zákeřným a nečekaným způsobem, je možné útok zastavit. Je nutné opravdu vidět, co se ve vaší síti a na vašich počítačích či serverech opravdu děje, je nutné vidět do obsahu komunikace v potřebném detailu a umět tato zjištění rychle propojit mezi sebou do patřičných souvislostí. Částečně se to dá řešit technologiemi, ale naprosto nezbytná je kompetence bezpečnostního týmu tyto problémy proaktivně řešit. Pokud mají firmy svoje zkušené bezpečnostní týmy a potřebné technologie, tak dokáží útok zastavit již v prvopočátku s minimálními nebo žádnými škodami.
Masivní rozšíření tohoto ransomwarového útoku na miliony počítačů však ukazuje pravý opak. Je zde vidět nepřipravenost firem a státních organizací tyto problémy proaktivně řešit. Důvodem je určitě nekompetentnost či úplná absence odborníků na kybernetickou bezpečnost a dále se často firmy spoléhají pouze na nákup technologií, které ale sami bez správné konfigurace a asistence vyškolených odborníků příliš dobře nefungují a jsou tím pádem málo účinné.
Velmi podceňovaná je schopnost bezpečnostních systémů a odborných týmů rychle detekovat, kde hrozí největší ztráty a soustředit se na na obranu těchto systémů. To ovšem předpokládá dobrou připravenost firem a organizací na možný kybernetický útok a je potřeba začít analýzou rizik, aby bylo jasné co a proč je potřeba chránit, nastavit si priority a podle toho definovat bezpečnostní pravidla a politiky. Každá organizace se pak neobejde bez průběžného tréninku, kde cvičí, jak reagovat, jak efektivně využívat svoje bezpečnostní nástroje a jak komunikovat s mezi sebou, ale i s managementem firmy či zákazníky během útoku.
Pokud firmy nemají odborníky či nechtějí investovat nemalé peníze do vybudování těchto kompetencí, tak je nejlepší využít služeb Security as a Service nějakého spolehlivého poskytovatele. Dohled nad kybernetickou bezpečnostní je pak výrazně levnější a účinnější než si tyto kompetence budovat, pokud nevíte jak. Poskytovatel navíc dokáže reagovat proaktivně a v rámci prevence sdílí know-how o možných útocích napříč zákazníky, kterým tyto služby poskytuje.
Je potřeba nezapomenout na koncové uživatele a jejich pravidelné vzdělávání. Kde opět platí, že nejslabší článek zabezpečení organizace je ten nejméně proškolený uživatel, který může vytvořit velký bezpečnostní problém.
Kybernetická bezpečnost je velmi komplexní disciplína, která zahrnuje nejen technologie, procesy a vzdělané odborníky, ale i sociální inženýrství a psychologii. Pokud se na to necítíte, přenechte správu bezpečnosti raději odborníkům. Ušetříte si nejen peníze, ale do budoucna i spoustu starostí.