Obránci i útočníci se spoléhají na služby, shrnuje Patrick Műller, regionální channel manažer pro východní Evropu ve společnosti Sophos.Jak se vyvíjelo prostředí kybernetické bezpečnosti v roce 2022 a co nás čeká letos?
Stejně jako v předchozích letech určuje trendy v oblasti kyberbezpečnosti situace na straně útočníků a hrozeb. Nově ale s jedním zásadním rozdílem – stále více společností se začíná spoléhat na kybernetické zabezpečení poskytované formou služby. Organizace se totiž potýkají se stále vážnějším nedostatkem kvalifikovaných pracovníků, takže naléhavě potřebné, vysoce odborné znalosti jsou jen stěží dostupné v rámci podnikového týmu. Během roku 2023 se proto v kyberbezpečnosti oddělí zrno od plev. Společnosti, které neudrží krok s riziky a nezbytným zabezpečením, budou pravděpodobně čelit ještě většímu riziku než dosud a ve velké míře pocítí dopady kybernetických útoků.
A co nás čeká ze strany kyberútočníků? Nová studie Sophos 2023 Threat Report popisuje mimo jiné i nový stupeň komercializace kybernetické kriminality. To znamená že jsou potenciálním útočníkům stále častěji k dispozici nástroje a služby, se kterými lze relativně snadno provést útok podle téměř jakéhokoli scénáře kyberkriminality. A rozvíjející se trh s kybernetickou kriminalitou formou služby uspokojuje kyberzločince od těch vysoce technicky zdatných až po naprosté začátečníky.
Výsledkem je, že šest z deseti IT profesionálů pracujících v malých a středně velkých organizacích zaznamenalo v posledním roce nárůst složitosti útoků. Zároveň 57 % z nich zaznamenalo nárůst množství útoků, protože protivníci využívají malware jako službu, umělou inteligenci a automatizaci. A téměř dvě třetiny z těchto organizací byly v loňském roce napadeny ransomwarem.
Jaký vliv bude mít geopolitická situace?
Celosvětový politický vývoj a související aktivity kyberzločineckých skupin budou mít na prostředí hrozeb silný vliv. Válka na Ukrajině vedla k restrukturalizaci zločineckých aliancí a k proměně prostředí ransomwarových skupin. Podle naší studie Sophos 2023 Threat Report jsou hrozby v rámci hranic Ukrajiny extrémní, zatímco ve zbytku západního světa způsobují méně zásadní, ale stále významná narušení. Potenciál pro další konflikty, dezinformace a útoky zůstává vysoký.
Začátek války upoutal pozornost komunity kyberzločinců, nicméně jejich skutečná role ve válce byla zanedbatelná. Nedošlo k zacílení na kritickou infrastrukturu a většina útoků byla náhodně distribuována proti ruským a ukrajinským doménám. Nebyly zaznamenány žádné významné akce komunit kyberzločinců a ti po několika týdnech zjevně ztratili zájem. To ale neznamená, že by tyto útoky nebyly důležité, nicméně šlo spíše o kulturní projev obou stran a součást probíhající informační války.
Je ale nepochybné, že by společnosti měly být vždy připraveny na obranu proti kybernetickým útokům, bez ohledu na geopolitické klima. Ostatně, průměrné náklady na obnovu po ransomwarovém útoku činí podle průzkumu Sophos State of Ransomware 1,4 milionu dolarů. To už je silná motivace.
Jak se vyvíjejí techniky a taktiky kyberútočníků?
V loňském roce kyberpodvodníci vyvinuli řadu nových způsobů a taktik, jak obejít klasické bezpečnostní nástroje. Z trendů v oblasti kybernetické kriminality, které jsme loni zaznamenali a které budou pravděpodobně pokračovat i letos, můžeme učinit tři závěry. Především – jednou z hlavních hrozeb, kterým podniky čelí, zůstává ransomware. Dále je důležité, že stále klesá vstupní bariéra pro potenciální kyberzločince. To usnadňuje vstup do hry i útočníkům bez technických znalostí. A konečně – téměř každý aspekt kyberútoků je dostupný formou služby. Nástroje a taktiky, které byly kdysi základem pokročilých hrozeb, se dnes staly snadno dostupným zbožím. Tento vývoj postihne mnoho společností, které se nespoléhají na nejnovější bezpečnostní opatření včetně důsledného zkoumání informací o hrozbách specialisty.
Patrick Műller, regionální channel manažer pro východní Evropu ve společnosti Sophos
Pokud jde o nové taktiky kyberútočníky, jak jim efektivně čelit?
Základem detekce a obrany proti moderním, stále záludnějším pokusům o útoky je technologie tzv. datových jezer (Data Lake). Datové jezero je plněno telemetrickými daty z desítek tisíc koncových bodů, které do něj předávají informace. S pomocí korelací a umělé inteligence lze pak rychle identifikovat potenciální hrozby a útoky. A právě informace o hrozbách, získané z datových jezer, budou v roce 2023 hrát rozhodující roli v tom, jak dobře lze firmy a organizace chránit před kybernetickými hrozbami. Výzkumníci, forenzní analytici a vývojáři ale musí z informací v datovém jezeře vyvozovat správné závěry. Například expertní tým Sophos X-Ops se stále více spoléhá na výrazný pokrok v oblasti umělé inteligence a modelů strojového učení, které lze využít k detekci anomálií.
Co mají pro lepší ochranu před kyberhrozbami zlepšit samotné organizace?
Prvním krokem je samotné vnímání kybernetických hrozeb. Na to je ale nutné navázat konkrétními opatřeními. Organizace musí také odhalit své slabé stránky a zavázat se ke zlepšení. To zahrnuje zavádění moderních technologií a vhodných kontrolních mechanismů. Nesmíme se ale spokojit jen s nezbytným minimem. Organizace musí svá bezpečnostní opatření průběžně vyhodnocovat a provádět korekce, aby stále odpovídala aktuálnímu prostředí hrozeb. Toho lze dosáhnout vytvořením a testováním plánů reakce na incidenty. Dnešní organizace si také musí osvojit důkladnou bezpečnostní kulturu, aby všichni ve firmě, od skladníků až po generálního ředitele, chápali, proč je bezpečnost pro firmu důležitá a jak bezpečnostní incidenty neprodleně hlásit IT oddělení.
Zmínil jste, že na trhu chybí specialisté na kyberbezpečnost. Jak mají podniky tento nedostatek řešit?
Z pohledu Sophosu, ale i mnoha dalších odborníků na kyberbezpečnost, se v budoucnu nebude možné obejít bez bezpečnostních služeb. Firmy totiž mohou jen těžko efektivně zabezpečit svou infrastrukturu pomocí klasických bezpečnostních řešení. Mnoho podniků sice hodlá v budoucnu rozšířit svoje kyberbezpečnostní týmy, ale vzhledem k zásadnímu nedostatku kvalifikovaných pracovníků je to až příliš ambiciózní plán.
Počet neobsazených pracovních míst v oblasti kyberbezpečnosti na celém světě vzrostl mezi lety 2013 a 2021 o 350 %. V USA podle magazínu Fortune pracuje v kyberbezpečnosti 1 milion lidí a dalších 750 000 míst je volných. A to už vůbec nemluvím o nákladech, kdy bezpečnostní analytici stojí 100 až 150 tisíc dolarů ročně a roční náklady na udržování vlastního bezpečnostního dohledového centra (SOC) jsou podle Ponemon Institute 2,86 milionu dolarů.
Proto vidíme silný trend spíše v oblasti bezpečnostních služeb, jako je řízená detekce hrozeb a reakce na ně (Managed Detection and Response, MDR), které kombinují technická řešení s expertními znalostmi. Pro většinu organizací je kybernetická bezpečnost už příliš složitá na to, aby ji mohli efektivně řídit, protože jednoduše nemají potřebné, nepřetržitě dostupné odborné znalosti. Podle IDC je pro organizace téměř nemožné předstihnout aktéry hrozeb a udržet sebe, své zákazníky a zaměstnance v bezpečí.
Jak tedy vypadá poskytování kyberbezpečnosti formou služby?
Řízená služba detekce hrozeb a reakce na ně, jako je Sophos MDR, poskytuje všem zákazníkům, bez ohledu na jejich velikost, služby elitního týmu pro monitorování hrozeb a reakci na ně, který pracuje v nepřetržitém režimu. To znamená, že bez zvýšení počtu zaměstnanců bude organizace schopná dosáhnout bezkonkurenčních výsledků v oblasti kybernetické bezpečnosti, dokonce s nižšími celkovými náklady na vlastnictví. Služby MDR poskytují organizacím jistotu a klid, protože se o kybernetickou ochranu starají vyškolení specialisté, kteří nepřetržitě vyhledávají a zastavují všechny typy sofistikovaných a cílených kybernetických útoků účelově vytvořených tak, aby se vyhnuly čistě technologické obraně. Služba Sophos MDR je navíc zhruba pětkrát levnější, okamžitě připravená a jednodušší na údržbu než postavení vlastního SOC.
Co znamená přechod na řízenou službu typu MDR pro stávající investice firem do kyberbezpečnosti?
Průměrná organizace má k dispozici nepřehledné množství monitorovacích nástrojů a současně čelí velké výzvě v podobě pracovního vytížení IT pracovníků. Manažeři IT uvádějí, že nemají dostatek lidí v týmu ani dostatek času, který by mohli věnovat řízení reakcí na hrozby a zároveň měli vše plně pod kontrolou. Zapojení do MDR ale neznamená nahrazení interního týmu IT, jde o to, umožnit mu soustředit se na činnosti, které pomohou dosáhnout cílů organizace. V ideálním případě si může organizace zvolit přístup, který jí bude nejlépe vyhovovat. Se službou Sophos MDR je možné používat nástroje od Sophosu, ale i jiná, stávající bezpečnostní řešení, která generují data pro detekci hrozeb – nebo dokonce kombinaci obou možností.
S řešením Sophos MDR mají organizace vždy možnost volby. Mohou si zřídit vlastní tým pro vyhledávání hrozeb a reakci na incidenty, spolehnout se na naše expertní týmy nebo kombinovat oba přístupy tak, že například tým expertů Sophosu převezme hlavní roli mimo standardní pracovní dobu organizace. Zároveň lze zvolit i úroveň zapojení našich expertů, tedy zda budeme pouze upozorňovat a radit nebo i v plné míře reagovat.
Jak se řízené služby MDR prodávají? Napřímo, nebo přes klasický obchodní kanál?
Sophos při poskytování služby Sophos MDR striktně postupuje jako u svých ostatních produktů, tedy formou prodeje prostřednictvím obchodních partnerů a distributorů. Klasický obchodní model přináší zásadní výhody prodejcům i koncovým zákazníkům a představuje obrovskou obchodní příležitost. Společnost Gartner předpovídá, že do roku 2025 bude řízené služby detekce a reakce využívat 50 % organizací. Sami vidíme, že našim partnerům prodávajícím službu Sophos MDR rostou tržby třikrát rychleji než ostatním.
Obecně jsou služby pro prodejní tým snáze formulovatelné a generují větší obrat i vyšší marži. Dobrou službu je navíc obtížnější nahradit než samotný produkt. Poskytováním služby MDR se prodejce stane důvěryhodným bezpečnostním poradcem pro své zákazníky, kteří naopak získávají lokální podporu a partnera se znalostí jeho prostředí.
–