Možná si na to vzpomínáte. Útok na Microsoft Exchange Server byl zřejmě iniciován už někdy koncem roku 2020. Ale než bylo v březnu 2021 napadení jednoho z nejrozšířenějších softwarových produktů odhaleno, hackerům se v tichosti podařilo kompromitovat infrastrukturu desetitisíců uživatelů po celém světě. Rozsáhlé útoky se nevyhnuly ani České republice a Slovensku.
PRODLEVA V ODHALENÍ ZRANITELNOSTI NAHRÁVÁ ÚTOČNÍKŮM
Každá prodleva v odhalení zranitelnosti představuje riziko, proto je důležité, aby byla co nejkratší. Většina firem však nedisponuje dostatkem specialistů na odhalování zranitelností, takže za přijatelný kompromis je považováno jejich automatické skenování. To probíhá v pravidelně nastaveném intervalu, typicky jednou za týden, v době, kdy systémy nejsou příliš zatíženy, ideálně v pozdních hodinách.
Díky tomuto skenování uživatel ví, že zranitelnost dříve nebo později odhalí. Problémem ovšem je, objeví-li se nová zranitelnost vzápětí po skenování. V takovém případě to může trvat celý další týden, než automatický skener zranitelnost detekuje. A bude-li závažná, komplexní, snadno zneužitelná, může daná firma přijít během těchto dnů o veškerá klíčová data.
Organizace přitom musí spoléhat i na to, že jejich nástroj má dostatečný detekční potenciál, díky němuž dokáže novou zranitelnost odhalit. Řada firem však – ač je to k nevíře – dosud žádným takovým nástrojem nedisponuje. Pak jim ovšem nezbývá než čerpat z otevřených zdrojů v podobě nejrůznějších webů, diskusních fór, případně čekat na oficiální aktualizace systémů od výrobce.
Běžnou praxí výrobců IT systémů je, že o zranitelnosti informují až ve chvíli, kdy už na ni mají zároveň připravenou i záplatu. Výhodou je, že v okamžiku, kdy organizace obdrží od výrobce informaci o zranitelnosti, získá od něj také příslušné řešení. Obvykle se jedná o doporučení k aktualizaci, k vypnutí určité služby, k ukončení daného procesu nebo omezení nějaké činnosti. Velkou nevýhodou je časová prodleva, která nahrává útočníkům.
VAROVÁNÍ PŘED ZRANITELNOSTMI JSOU NA DENNÍM POŘÁDKU
Cyber Defense Centrum (CDC) vstupuje se svým systémem včasného varování do hry ještě předtím, než je oznámení o zranitelnosti zveřejněno. Díky tomu získává zákazník rozhodující náskok. Mnohdy to nemusí znamenat nic zásadního, ale vzhledem k tomu, že varování před zranitelnostmi jsou dnes doslova na denním pořádku, dříve či později to může rozhodovat o bytí, či nebytí firmy.
Systém včasného varování CDC zákazníka okamžitě upozorní na to, že se objevila zranitelnost, která se týká jeho systémů a aplikací. Pokud je závažná, doporučí mu co nejdříve patřičným způsobem reagovat. Pokud zákazník neví jak, CDC mu je schopno obratem poskytnout optimální řešení. Nejenom tedy, že CDC s předstihem oznamuje problém, ale dokáže být i oporou.
„Naše služba vychází z mimořádných kompetencí centra a ze širokého záběru specialistů,“ upozorňuje Lubomír Almer, Head of Cyber Defense Center v Aricomě, a dodává: „Zároveň máme obrovskou sílu v tom, že naše oddělení technologií zahrnuje desítky partnerství s vendory s přístupem k jejich nálezům. To všechno představuje pro naše zákazníky obrovskou přidanou hodnotu a pro nás velkou konkurenční výhodu.“
Služba je podle jeho slov určena každému, komu záleží na bezpečnosti, ale rozhodně by se na ni měli zaměřit zákazníci, kteří mají svoji infrastrukturu otevřenou směrem do sítě. „Útočníci se do systému firmy dostávají přes internet. Veškeré zranitelnosti s vektorem zneužití network jsou z našeho pohledu hodnocené kritičtěji než ty, které mají potenciál lokálního zneužití,“ zdůrazňuje šéf CDC.
ZÁKAZNÍCI NEPOTŘEBUJÍ NOVÉ PRODUKTY, ALE SPRÁVNÁ ŘEŠENÍ
Srdcem systému včasného varování je volně dostupná databáze zranitelností – National Vulnerability Database (NVD). V rámci základní úrovně služby (Basic) poskytuje CDC včasnou prvotní informaci o zranitelnosti zpracovanou s ohledem na potřeby konkrétního zákazníka. V případě Business úrovně už má zákazník k dispozici hlášení zranitelností, jejich analýzu a vyhodnocení vůči seznamu aktiv, včetně doporučení reakčních kroků.
Nejvyšší úrovně služeb (Premium) zákazník využije, je-li zranitelnost natolik komplexní, že nestačí systém pouze aktualizovat. CDC je schopno svým klientům navrhnout, jak zranitelnost odhalit, sledovat, odstranit, ale i jak jí předejít. Zpravidla tak, že vytvoří detekční nebo korelační pravidla nad technologickými řešeními, která už zákazníci mají. „Důležité je, že my zákazníkům nenabízíme nové technologické produkty. My jim poskytujeme řešení,“ uzavírá Lubomír Almer.