Rozšířený prostor pro útoky: proč musí podniky přehodnotit kybernetickou bezpečnost v novém prostředí hrozeb

Autor: Mark Harrison, ředitel kybernetické bezpečnosti, Ricoh Europe

Pondělí, 13. března, 2023 – Pro mnohé je celotýdenní práce v kanceláři vzdálenou vzpomínkou. Ve skutečnosti náš nedávný průzkum zjistil, že 44 % zaměstnanců v Evropě dělí svůj čas mezi kancelář a domov. Je to způsob práce, který tu zůstane. 

Přechod na hybridní práci však s sebou přináší potřebu složitějších požadavků na IT a kybernetickou bezpečnost. Pokud je nyní práce vykonávána v kombinaci domácí a firemní sítě, stejně jako ve veřejných sítích poskytovaných na letišti, ve vlacích, kavárnách a dalších podobných zařízeních, musíme to při posuzování rizik kybernetické bezpečnosti vzít v úvahu. Nejzřetelnější hrozbou je dnes umožnění rozsáhlého přístupu ze zařízení a koncových bodů umístěných kdekoli na světě. To klade obrovskou důvěru na uživatele, který tvrdí, že je legitimním zaměstnancem a že jeho zařízení je plně zabezpečeno.

Z technického hlediska je prostor útoku souhrnem všech možných bodů vstupu do firmy nebo bodů, ze kterých lze přistupovat k datům - může to být cloud, datové centrum, kancelář nebo domácnost. Čím menší je prostor útoku, tím snadněji se chrání. Společnost Gartner označila rozšiřování prostoru pro útoky za bezpečnostní riziko číslo jedna pro rok 2022, které rozebereme níže.

Pochopení nové hrozby

Společnost Ricoh jako globální poskytovatel kybernetické bezpečnosti denně hovoří se zákazníky o jejich potřebách v oblasti kybernetické bezpečnosti. Drtivá většina společností se stále spoléhá na předpandemické hodnocení rizik a databáze hrozeb. Ve skutečnosti plně nechápou, jaký dopad mohou mít změny v chování zaměstnanců na jejich technické možnosti při zavádění hybridního přístupu k práci.

Položte si otázku: Má každý zaměstnanec, který sedí doma nebo pracuje na cestách, plně monitorovanou a chráněnou síť, e-mail a koncové zařízení? Dále si položte otázku: Je chráněna i jejich identita - tedy zda osoba, která se přihlašuje svými přihlašovacími údaji, je skutečně legitimním zaměstnancem?

Změna přístupu 

V minulosti spočívala obrana proti kybernetickým útokům v uzamčení všech dat a zařízení v rámci kontrolovaného perimetru - nasazení firewallů, antivirových programů, filtrování pošty a webu - a zároveň zajištění, aby všichni zaměstnanci zůstávali převážně v kanceláři a aby byl veškerý software aktualizován a chráněn. To se stalo základním profilem řízení rizik ve většině společností, přičemž rozpočty a velikost IT týmů jsou nastaveny v souladu s tímto profilem. S rostoucím počtem útoků se rozšířil phishing. To znamenalo, že základním prvkem plánu kybernetické bezpečnosti se stalo školení uživatelů o povědomí, často zadávané automatizovaným řešením.

Následoval cloud a dalším aktuálním tématem byly bezpečnostní zprostředkovatelé přístupu ke cloudu (CASB), kteří se zabývají zabezpečením přístupu k aplikacím SaaS a problematikou stínového IT. Následně se z toho vyvinuly Cloud Security Posture Management a Cloud Workload Protection pro zabezpečení toho, co máte ve vlastním veřejném nebo soukromém cloudu.

Problémem je, že tyto ochrany vycházejí z předpokladu, že většina zaměstnanců pracuje v kanceláři (nebo ve VPN) a používá koncové body a zařízení ve vlastnictví společnosti. Přesuňme se rychle do roku 2022 - všichni zaměstnanci nyní mohou být teoreticky kdekoli na světě a mohou být připojeni nebo nepřipojeni k firemní síti VPN. Protože mohou potenciálně používat své přihlašovací údaje na svých osobních zařízeních, otázka zní: jsou všechny dříve uvedené ochrany stále stejně účinné? 

Pro většinu společností je odpověď přibližně takováto: "No, v minulosti fungovaly a zatím jsme neměli žádný kybernetický útok." To je pravda. 

Problém spočívá v tom, že prostor pro útok již není omezen na to, co se rozhodnete povolit přes firewall permitter a co používáte v cloudu. Nyní se rozšířil na každé jednotlivé firemní zařízení v domácnostech zaměstnanců a na každé nefiremní zařízení, ze kterého se zaměstnanec rozhodne přihlásit, a následně na každé uživatelské jméno a heslo (nebo identitu) používané v celé vaší společnosti. To je navíc ke všem nástrojům, které se již používají v rámci cloudu, datových center a všech webových aplikací připojených k internetu - a v poslední době také ke všem trasám dodavatelského řetězce.

S ohledem na tyto skutečnosti se často stává významnou výzvou už jen samotné pochopení prostoru pro útoky - a to ještě před určením způsobu jeho zmírnění a zabezpečení.

Omezení prostoru pro útoky

Klíčem k omezení prostoru pro útoky je nejprve zjistit, jaká zařízení se používají a kde se nacházejí. Jakmile toto pochopíme, další prioritou se stane nalezení případných zranitelností na těchto zařízeních a následná náprava zranitelností (spolu s redukcí prostředků) přispěje k omezení prostoru pro útoky.

Všechny tři činnosti je možné provést následujícím způsobem:

- Nepřetržitým (neustálým) skenováním zranitelností (které zahrnuje identifikaci a klasifikaci aktiv).

- konzole pro nápravu, která seskupuje aktiva a zobrazuje všechny zranitelnosti, včetně:

• vyhledávání nových zranitelností v reálném čase
• přiřazování nápravných akcí jednotlivým osobám
• stanovení priorit nápravy na základě největšího rizika
• sledování úspěšnosti nápravy

- opakované testování/ověřování nápravných opatření v reálném čase 

- analýza trendů, kde se objevuje nejvíce zranitelností a jaké jsou jejich hlavní příčiny.

Poslední bod je nejdůležitější. Bez pochopení hlavní příčiny zranitelnosti není možné zabránit jejímu opakování - to vede k nekonečné smyčce hledání problému a jeho odstraňování. Je nezbytné analyzovat trendy zranitelností, aby bylo možné řešit hlavní příčinu. Může to být nedostatek dovedností v týmu IT, nedopatření v centrálním řešení záplatování nebo třeba jen určitý dodavatel vyrábějící velmi nekvalitní software. Ať už je to cokoli, bez řešení hlavní příčiny se prostor pro útoky ve skutečnosti nezmenší, ale dočasně se zpevní, dokud nebude objevena jiná zranitelnost.

Jakmile jsou všechny zdroje zranitelností identifikovány a pochopeny, lze přijmout opatření k jejich zmírnění. To zahrnuje konsolidaci technologií, odstranění nepotřebného softwaru a služeb, aktualizaci softwaru a operačních systémů a průběžnou identifikaci a správu zranitelností. Na těchto informacích závisí vše: rozsah příštího penetračního testu, rozsah příštího auditu ISO, co je třeba zahrnout do řešení bezpečnostních záplat, jaké technologie je třeba nahradit a kdo potřebuje další školení - seznam je dlouhý.

V konečném důsledku, pokud chtějí společnosti udržet náskok před útočníky, musí být schopny přesně monitorovat svůj prostor pro útoky, udržovat plně aktualizovanou evidenci aktiv a skutečně vyhodnotit, které zranitelnosti je třeba opravit, aby se riziko co nejvíce snížilo. Řešení, jako je Ricoh Remediation, dokáže splnit tyto a mnohé další požadavky, aby zásadně zajistilo přesné porozumění a co nejvíce minimalizovalo prostor pro útoky.

Přehodnocení kybernetické bezpečnosti 

Není pochyb o tom, že přechod na hybridní práci přináší firmám značné výhody. Společnosti si však musí být vědomy měnících se požadavků na kybernetickou bezpečnost, které jdou ruku v ruce s rozšiřováním pracovních míst. 

Aby se společnosti mohly adekvátně bránit nákladným kybernetickým útokům, musí vzít v úvahu, že potenciální místa útoku jsou stejně proměnlivá jako nespočet pracovních míst, která jejich zaměstnanci využívají. Zavedení správných bezpečnostních zásad a technologií, které pokryjí oblasti, kde není možné omezit prostor pro útok, je nezbytné. V sázce je příliš mnoho na to, aby se nejednalo - zejména pokud jsou v sázce data, pověst a postavení na trhu.

Zdroj: Mark Harrison, ředitel pro kybernetickou bezpečnost, web Ricoh Europe