Image
talos

Internetoví Bad Guys použijí k získání vašich dat cokoli!

Internetoví Bad Guys použijí k získání vašich dat cokoli!

Říká jim Bad Guys, v překladu zlí kluci, kteří se na internetu dokážou úspěšně vlomit do vašich citlivých osobních nebo firemních dat. Když uspějí, mohou s nimi nakládat dle libosti: zneužívat v byznysu, prodávat konkurenci, vydírat vás, paralyzovat vaše procesy. Thorsten Rosendahl, Technical Leader ve společnosti Talos, což je organizace Cisco pro výzkum hrozeb, by mohl o praktikách těchto internetových padouchů mluvit hodiny. Bohužel, na rozhovor s námi si vyhradil jen padesát minut. I přesto to bylo mimořádně zajímavé povídání a skvělý vhled pod pokličku dnešních kyberbezpečnostních hrozeb, o kterých máme tendenci neustále hovořit, ale ve skutečnosti často jejich praktická rizika až neuvěřitelným způsobem podceňujeme. Jak to vidí nejen v evropském, ale i globálním měřítku jeden z nejpovolanějších.

Začněme od začátku. Kdo nebo co je Talos?

Jsme specializovaný tým společnosti Cisco, který se zabývá zpravodajstvím o bezpečnostních hrozbách. Členy našeho týmu jsou výzkumníci, analytici, experti na incident response i klasičtí inženýři. Poskytujeme portfoliu společnosti Cisco komplexní ochranu a zároveň ‚zpravodajské‘ informace ze světa kyberbezpečnostních rizik. Pokrýváme každé zákaznické prostředí, všechny události, každý den, po celém světě. Snažíme se držet krok se současnými kybernetickými hrozbami a chránit zákazníky Cisco tím, že rozumíme světu hackerů a aktuální legislativě, tak jako málokdo.

Je to vůbec reálná ambice?

Je naší povinností se o to snažit. Děláme pro to dnes a denně maximum. Každý den ‚destilujeme‘ obrovské množství dat z telemetrie a ta měníme ve smysluplnou a ověřitelnou detekci, aktuální zpravodajství a nejlepší možnou reakci pro naše zákazníky.

Co jsou vůbec největší trendy, které v oblasti kyberbezpečnostních útoků právě ‚letí‘?

To je jedna ze základních chyb, kterých se mnozí dopouštějí. Bad Guys bohužel žádné trendy neřeší. Oni použijí cokoli myslitelného a účinného, aby se dostali k tomu, co potřebují. Často jde o kombinaci starých a nových metod, ale v tomto případě není dobrý nápad soustředit se jen na to nejnovější a nejlepší. Využijí jakoukoli zranitelnost ve vašem zabezpečení, v jakékoli z vašich bezpečnostních vrstev.

Jak s tím tedy v Talosu bojujete?

Snažíme se jít co nejhlouběji a z co největší perspektivy. Technicky vzato, předpokládejme, že přijdeme na samotný původ problému, třeba soubor na koncovém bodě. Vytváříme kontrolní mechanismus pro celý seznam IoC pro koncový bod. Tyto nálezy předáme do firewallu, webové brány, e-mailové proxy – prakticky jakémukoliv bezpečnostnímu nástroji, co máme k dispozici. Při analýze souboru identifikujeme příkazové a řídicí spojení. Navážeme spojení s uvedením adresy URL. I tu zablokujeme. A opět tyto informace předáme na všechny bezpečnostní řešení. To, že objevíme dílčí incident na jednom místě, vede k tomu, že se jej snažíme co nejrychleji detekovat všude. Napříč produktovými řadami a samozřejmě také v různých regionech a v různých zemích.

Přesto znovu ještě k otázce, co se třeba v bezpečnostních ohroženích děje právě nyní. A možná i to, odkud bezpečnost vůbec začít.

Útočníci se chtějí přihlásit, nestačí jim jen proniknout dovnitř. Největší vzestup vidíme ve snaze o získání přihlašovacích údajů. Přestože adopce MFA roste, stále jde o největší slabinu, jak je popsáno v našem bezpečnostním reportu, nadále ale i roste snaha obejít MFA, viz blog.

Čím složitější je téma kyberbezpečnosti uvnitř, tím obtížněji se vysvětluje všem, kteří do tavicího kotle nevidí tak zblízka. Co s tím?

Vnímáme, že osvěta je mimořádně důležitou částí naší práce. Proto každý týden vydáváme aktuální newsletter, který stojí za to odebírat. Už jsem zmínil blog, na kterém popisujeme jednotlivá rizika nebo případové studie srozumitelným jazykem. Vedle toho jsme aktivní na YouTube kanále, kde zveřejňujeme aktuální videa. Snažíme se také publikovat nejrůznější data a statistiky, abychom složitá témata trochu zpřístupnili širší veřejnosti. Je to mravenčí práce, ale dnes už i díky tomu máme kolem sebe vybudovanou velmi silnou komunitu, se kterou se snažíme neustále dál pracovat.

Talos je součástí takzvané CVE Numbering Authorities, která systematizuje označení zranitelnosti u jednotlivých bezpečnostních hrozeb napříč různými systémy a organizacemi. Neodkrýváte společným postupem své know-how ostatním včetně hackerských skupin?

Určitě ne, v Talosu dodržujeme zásady odpovědného zveřejňování. Je lepší, když najdeme zero day zranitelnosti dříve, než to udělají Bad Guys a všechny poznatky sdílíme s vendory. Naším úkolem je zkoumat produkty třetích stran, než dostanou šanci ti se zlými úmysly a sami odhalí nedostatky. Jsme hrdí na své členství v CVE Numbering Authorities, a máme dokonce svůj vlastní cíl – nahlásit během roku alespoň 200 zranitelností. To je vlastně jedna zranitelnost každý pracovní den.

Image
Vlevo Thorsten Rosendahl
Vlevo Thorsten Rosendahl

Jaké technologie a nástroje používáte k detekci a prevenci kybernetických útoků, pokud je tedy možné aspoň některé z nich představit?

Začínáme sběrem mnoha telemetrických dat nejen ze zařízení Cisco, ale také z takzvaných „honeypotů“, pomocí kterých se snažíme porozumět chování útočníků. To je samozřejmě práce velkých a výkonných strojů a strojového učení, protože jde o 800 miliard bezpečnostních událostí denně, které nemohou být zpracovány pouze lidmi. Ale jak bylo nastíněno dříve, máme výzkumníky a inženýry, kteří nalézají jehlu v hromádce sena.

Řešit 800 miliard útoků denně je neuvěřitelné. Zajímá mě také vaše osobní motivace. Proč jste si právě vy vybral tento obor?

Vždy mě bavilo věci rozbíjet a pak je zase skládat a dát jim nový život. Rád se dívám na systémy, jak fungují, ale také jak by mohly fungovat. Zároveň je pro mě důležité být na správné straně v takto v dnešní době zásadním boji, který se odehrává každý den na internetu i v reálném světě.

Mohl byste nám trochu představit, čím žije Talos tým uvnitř? Zdá se mi, že může být trochu složité uřídit špičkové odborníky, kteří rádi rozbíjejí věci a znovu je skládají. Jaká je kupříkladu firemní kultura?

Výhodou je, že je tu hodně seniorních lidí, kteří mají jasnou motivaci tu pracovat, proto manažeři nemusí řešit tolik detailů. Všichni jsou sami sobě soudcem. Samozřejmě máme klasické struktury, vlastní oddělení, cíle a povinnosti. Na druhou stranu fungujeme tak, že pokud někdo z nás něco identifikuje a začne hledat původ problému nebo v celé problematice více pátrat, nikdo mu nehází klacky pod nohy a dáváme každému prostor vše vyřešit. Je pro nás důležitější celková cesta Talosu a firemní motto ‚Naše práce je vaše obrana‘. Ve chvíli, pokud práce nakonec vede k obrannému mechanismu, smíte to dělat.

Můžete být konkrétnější?

V loňském roce jsem začal řešit bezpečnost IoT a snažil se u nich hledat stopy zranitelnosti. To není určitě nic, co mám v každodenním popisu práce. Ale našel jsem něco velmi zajímavého na chytrých hodinkách s mikrofonem. Můj manažer nečekal ani vteřinu, aby mě přiřadil k danému týmu a nechal mě na té věci pracovat, i když jsem běžně zodpovědný za něco jiného. Ale tady mě bezvýhradně podpořili. Řekli mi: „Zjistil jsi to, máš znalosti, pracuj s příslušným týmem.“ To se mi líbilo a je to vlastně charakteristický příběh pro všechny v Talosu.

Naznačte, kde vidíte klíčové linky vaší agendy.

Existuje ohromná spousta veřejných aplikací, které představují ohromné bezpečnostní riziko. To je velký dluh, který jsme si způsobili podceňováním kyberbezpečnostních rizik v nedávné minulosti. Teď už všichni vidíme, že kyberbezpečnost není něco, co se odehrává na internetu. Je to mocný nástroj geopolitického souboje, kde se každá chyba tvrdě trestá. Svět je složité místo, mnohem složitější, než se před takovými pěti lety zdálo.

Kdo je podle Talosu tím vůbec nejčastějším cílem pro útočníky?

Za poslední rok jsme u státních nebo příspěvkových organizací v rámci celé Evropy zažili opravdu mimořádné množství závažných útoků. Častým cílem byly ministerstva nebo univerzity – tedy instituce, které nedisponují dostatečnými rozpočty na kyberbezpečnost, a nemohou si dovolit najmout nejlepší odborníky. To je velký rozdíl oproti farmaceutickým společnostem nebo finančním organizacím, které bývají na rizika v security lépe připraveny.

Co je podle vás klíčovou konkurenční výhodou Talosu. Proč vybrat právě vás?

Máme naprosto špičkové odborníky. Ale co mám jako zaměstnanec Talosu také říct (usmívá se). Ale vážně, všechny bezpečnostní technologie jsou jen tak dobré, jak kvalitní je jejich threat intelligence. Navíc musí být strategie i neustále aktualizována. Pokud víte, co se dělo před pár měsíci, bude to už jiné, než co se děje dnes. Velká přidaná hodnota Talosu je v tom, že nevidíme produkty jako takové, ale pracujeme s artefakty (IP adresy, URL, soubory) a můžeme je navzájem kombinovat podle potřeby. Každý den tak vidíme 800 miliard bezpečnostních událostí, to každou hodinu vede k blokaci 9 milionů e-mailů, každou minutu analyzujeme 2 000 souborů, každou vteřinu blokujeme 2 000 domén. To už jsou data, která znamenají velkou relevanci.

V čem spatřujete největší přidanou hodnotu VAD distributorů jako například TD SYNNEX?

Distributoři fungují jako pojivo mezi zákazníkem, partnerem a výrobcem, máte největší znalost trhu a určitě jste nenahraditelným článkem v řetězci. Nejenže distribuujete řešení, ale i znalosti mezi partnery. Přitom právě ty bývají z pohledu kybernetické bezpečnosti nejdůležitější.

Před tím, než se rozloučíme, můžete nám prosím prozradit, jakým způsobem se zákazníci a partneři dostanou k vaší threat intelligence?

Veškerá naše poznatky jsou primárně určeny uživatelům Cisco produktů, například skrze updaty databází. Vedle toho se ale věnujeme i osvětě a publikujeme pravidelně mnoho příspěvků, které jsou k dispozici širší veřejnosti.

Co si přečíst i toto?

Jedna otřepaná teze ze sociálních sítí říká, že když do názvu konference přimícháte slovo umělá inteligence nebo zkratku AI, automaticky se zdvojnásobí počet lidí, kteří se na akci přihlásí. Česká pobočka Amazon Web Services (AWS) takovou věc dělat nemusela – svoji konferenci nazvala lakonicky AWS Cloud Day 2024. Přesto bylo ve středu 23. října O2 universum našlapané.

PanzerGlass jede bomby. I díky týmu v TD SYNNEX, který si před lety vzal tuto značku pod křídla. Nejen distribučně, ale také marketingově, protože se o rozvoj tohoto dánského brandu stará parta kolem Tomáše Hampla, Tomáše Vaníka nebo Honzy Dvořáka sama.

S Lucií Hlaváčovou by se dalo mluvit dlouhé hodiny. Její život je totiž pozoruhodný hned v několika ohledech. Mnoho let hrála na nejvyšší české úrovni pozemní hokej. Dnes společně s manželem, mimochodem profesionálním Lego modelářem, přemýšlí, jak u tohoto olympijského (ve světě oblíbeného, ale v Česku podceňovaného) sportu udržet generaci dnešních dorostenek.

blog
Know-how rozhoduje
Technologie. Distribuce. Spolupráce.

Jsme váš TD SYNNEX.