Obsah článku:
- Co je kybernetický útok
- Typy a příklady kybernetických útoků
- Následky kybernetických útoků
- Prevence proti kybernetickým útokům
Co je kybernetický útok
Kybernetický útok je pokus o anonymní nabourání a neoprávněný přístup k počítači, výpočetnímu systému, počítačové síti nebo jiné počítačové technologii s úmyslem způsobit škodu, např. deaktivovat počítač, odcizit nebo zničit data a informace, použít prolomený počítačový nebo informační systém ke spuštění dalších útoků, ovládnout výpočetní prostředí nebo infrastrukturu apod.
Kybernetický útok může způsobit jednotlivec nebo celá organizace tzv. hackerů nebo hacktivistů. Útoky mohou být součástí politicky motivované kybernetické války ze strany států nebo kyberterorismu ze strany různých nestátních aktérů a teroristů. Cílem hackerů je ve většině případů pokus o vydírání a zaplacení výkupného, ideálně v podobě kryptoměny, aby útočník zůstal stále v anonymitě.
V posledních letech se kybernetické útoky staly sofistikovanějšími a představují stále větší riziko pro národní bezpečnost. Za útoky je mnoho motivů, od sabotáže a špionáže po krádeže, podvody, hacktivismus a další.
Kyberútoky mají obecně tři základní formy:
- Útoky na důvěrnost, jejichž cílem je získat přístup k omezeným informacím.
- Útoky na integritu, které mění, manipulují nebo kompromitují data a počítačové systémy.
- Útoky na dostupnost, které odmítají nebo omezují oprávněným vlastníkům přístup k jejich datům.
Typy a příklady kybernetických útoků
Existuje celá řada typů kybernetických útoků či zločinů a jejich propracovanost se velmi liší a neustále vyvíjí. Mezi nejčastější kyberútoky aktuálně patří zejména phishing, malware, ransomware, spyware, trojské koně, viry a DDoS.
Phishing (získání citlivých informací)
Phishing je metoda podvodného pokusu o získání citlivých informací, jako jsou uživatelská jména, hesla a údaje o kreditních kartách. Jde v podstatě o akt přimět někoho, aby klikl na odkaz, který umožní útočníkovi buď získat přístup k osobním informacím, nebo stáhne malware (škodlivý software) do zařízení uživatele. Phishingové útoky často fungují tak, že se tváří jako pocházející od důvěryhodného subjektu, jako je banka, pojišťovna nebo třeba mobilní operátor. Jedná se však o maskované krytí, které uživatel často nepozná.
Malware (škodlivý software)
Malware je univerzální termín pro software, který umožňuje útočníkovi zneužít, zničit nebo kompromitovat jeden nebo více počítačů nebo počítačových sítí. Formy malwaru zahrnují ransomware, spyware, trojské koně, viry a DDoS útoky (kompromitace jiných počítačů pro realizaci DDoS útoku). Přestože malware nemůže poškodit fyzický hardware systémů ani síťová zařízení (s výjimkou Google Android), může ukrást, zašifrovat nebo smazat vaše data, změnit základní funkce počítače a špehovat aktivitu vašeho počítače. Vše bez vědomí nebo svolení uživatele.
Ransomware (vydírání)
Ransomware drží počítače nebo soubory jako rukojmí šifrováním dat a zadržováním přístupových údajů legitimnímu uživateli. Za obnovení postižených souborů nebo systémů je obvykle požadováno výkupné. Během pandemie COVID-19 se jednalo o jeden z nejplodnějších typů kybernetických útoků.
Spyware (špionáž)
Spyware je nevyžádaný software, který umožňuje uživateli sledovat aktivity někoho jiného na počítačích nebo mobilních telefonech a dalších zařízeních skrytým přenosem dat ze zařízení oběti zpět do kontroléru malwaru. Spyware může také odkazovat na legitimní software, který monitoruje vaše data pro komerční účely, jako je reklama. Škodlivý spyware se však výslovně používá k zisku z ukradených dat. Bez ohledu na to, zda je spyware legitimní nebo je založen na podvodu, jeho sledovací činnost může způsobit narušení a zneužití vašich soukromých dat. Spyware také ovlivňuje výkon sítě a zařízení a zpomaluje každodenní činnosti uživatelů.
Trojský kůň (skrytý škodlivý kód)
Trojský kůň předstírá, že je legitimní software, ale ve skutečnosti skrytě provádí škodlivé útoky. Jakmile je trojan nainstalován do počítače, může zahájit instalaci dalších typů malwaru. Metoda útoku obvykle spočívá v tom, že útočník používá sociální inženýrství ke skrytí škodlivého kódu v legitimním softwaru, aby se pokusil získat přístup uživatelů k systému pomocí svého softwaru. Jedná se tak o typ malwaru, který se obvykle skryje jako příloha v e-mailu nebo v souboru zdarma ke stažení a poté se přenese do zařízení uživatele. Po stažení škodlivý kód provede úlohu, pro kterou jej útočník navrhl, jako je získání zadních vrátek k podnikovým systémům, špehování online aktivit uživatelů nebo krádež citlivých dat. Mezi náznaky aktivního trojského koně na zařízení patří neobvyklá aktivita, jako je neočekávaná změna nastavení počítače.
Viry (nemoc počítačů)
Viry se mohou šířit mezi soubory v počítači a mají schopnost se samy replikovat. Mohou zobrazovat otravné zprávy, odcizovat data nebo poskytnout hackerům kontrolu nad počítačem. Mohou být připojeny k jiným programům nebo skryty v kódu, který se automaticky spouští při otevření určitých typů souborů, například v e-mailech typu phishing.
DDoS (odepření služby)
DDoS (Distributed Denial of Service) je útok, při kterém více kompromitovaných počítačových systémů útočí na cíl, například server, webovou stránku nebo jiný síťový zdroj s cílem narušit tok provozu a způsobit tzv. odmítnutí služby uživatelům cíleného zdroje.
Tento typ útoku využívá specifických kapacitních limitů, které platí pro všechny síťové zdroje, jako je infrastruktura, která umožňuje provozovat firemní web. Útok DDoS odešle na napadený webový zdroj více požadavků s cílem překročit kapacitu webu pro zpracování více požadavků a zabránit správnému fungování webu. Web napadený DDoS útokem zkolabuje a přestane fungovat. Mezi typické cíle útoků DDoS patří zejména internetové nákupní stránky, online kasina nebo jakékoliv firmy či organizace, jejichž činnost závisí na poskytování online služeb.
Další typy kyberútoků
Mezi další známé a časté kyberútoky patří také:
- SQL injection,
- Spear phishing,
- APT útok,
- DNS útok,
- Emotet,
- Zero day,
- Drive-by download,
- Man-in-the-middle (MitM),
- Cross-site scripting (XSS),
- Fileless Attacks.
Následky kybernetických útoků
Kybernetické útoky jsou nejnebezpečnější, když ohrožují kritickou národní infrastrukturu, např. dodávky energie a vody, dopravní sítě a poskytování zdravotní péče. Velká část jejich hrozeb existuje kvůli rostoucí digitalizaci těchto služeb, měnící se povaze technologií, složitosti dodavatelských řetězců a špatnému povědomí o kybernetické bezpečnosti.
Kritické systémy mohou obsahovat zranitelné slabiny, o kterých vývojáři a uživatelé nevědí a které využívají hackeři k zabudování tzv. zadních vrátek do systémů, které jim umožňují privilegovaný a nelegální přístup.
Jedním z nejobtížnějších aspektů ochrany před kybernetickými útoky jsou hranice mezi korporacemi a vládou. Globální technologické společnosti, jako je např. Microsoft, vyrábí software, který provozuje kritické prvky národní infrastruktury v mnoha zemích po celém světě, takže jediná slabina operačního systému může mít dalekosáhlé důsledky.
Kybernetická kriminalita představuje obrovskou hrozbu pro finance a osobní údaje jednotlivců a pro jejich soukromí a občanské svobody. Má také obrovský dopad na globální ekonomiku. Jedním z nejvíce alarmujících aspektů je způsob, jakým se vlády, hackeři a korporace protínají ve vývoji a používání technologií proti jednotlivcům. Např. Pegasus, vysoce sofistikovaný spyware, byl původně vyvinut izraelskou firmou, která vytváří technologii pro prevenci a vyšetřování terorismu a zločinu. Vyšetřování vedené deníky Washington Post, Le Monde, Guardian a organizací Amnesty International však odhalilo, že Pegasus byl využíván také některými vládami ke sledování domácích odpůrců, kteří nemají nic společného s terorismem nebo zločinem, včetně politiků, novinářů a aktivistů.
Kybernetické útoky jsou skutečnou hrozbou nejen pro kritickou infrastrukturu, ale také pro podniky. Kybernetický útok na firmu, který odcizí osobní nebo důvěrná data, může mít několik nepříjemných důsledků, např.:
- finanční ztrátu z odcizených finančních prostředků nebo ztrátu příjmu z neschopnosti provozovat svou činnost jako obvykle,
- nároky vznesené zákazníky, například pokud jste nedodrželi své zásady ochrany osobních údajů,
- nároky na porušení smlouvy, pokud neplníte své smluvní povinnosti dodržovat právní předpisy o ochraně údajů,
- regulační pokuty za nedodržení GDPR,
- poškození pověsti, protože spotřebitelé ztratí důvěru ve vaši schopnost bezpečně zpracovávat jejich data.
Extrémně zranitelné jsou nejen organizace se zastaralou ICT infrastrukturou, ale také nové a malé firmy. Ty jsou častým cílem kybernetických zločinců, protože jim chybí IT zdroje a právní know-how větších podniků. Máte-li jakékoli dotazy nebo obavy, naši právní zástupci a specialisté na kybernetickou bezpečnost a bezpečnost informací vám mohou pomoci řídit rizika kybernetických útoků.
Prevence proti kybernetickým útokům
Nejlepším způsobem, jak předcházet kybernetickým útokům, je, aby vlády, podniky a jednotlivci pochopili svou sdílenou odpovědnost při uplatňování dobré kybernetické bezpečnosti. Na národní úrovni musí mít vlády jasnou odpovědnost a zavedené struktury vedení pro kybernetickou obranu.
Kybernetické hrozby jsou svou povahou mezinárodní a nerespektují hranice. Útoky často přicházejí jménem jedné země z mnoha dalších území a mohou ovlivnit systémy po celém světě. Mezinárodní spolupráce je důležitá nejen z hlediska identifikace, zatýkání a stíhání pachatelů, ale také při vytváření globální regulace, která může zajistit odolnější kybernetickou infrastrukturu.
Níže uvádíme několik bezpečnostních nástrojů, které organizace běžně používají k prevenci kybernetických útoků. Jedná se zejména o:
- Web Application Firewall (WAF)
- Ochrana DDoS
- Ochrana proti botům
- Cloud Security
- Zabezpečení databáze
- Zabezpečení API
- Threat Intelligence
Ke 100% prevenci útoků samozřejmě tyto nástroje nestačí, protože každá organizace používá jiné informační nebo počítačové systémy. Navíc firma potřebuje vyškolený IT personál nebo externího bezpečnostního IT specialistu, aby nástroje spravoval a efektivně používal ke zmírnění hrozeb. Důležitým faktorem prevence je pak také školení informační a kybernetické bezpečnosti zaměstnanců, které je naučí základní bezpečnostní pravidla při práci na počítači.
Web Application Firewall (WAF)
WAF je firewall, který chrání webové aplikace analýzou požadavků HTTP a detekcí podezřelého škodlivého provozu. Může se jednat o příchozí provoz, jako v případě uživatele se zlými úmysly pokoušejícího se o útok vložením kódu, nebo o odchozí provoz, jako v případě malwaru nasazeného na místním serveru komunikujícím s centrem příkazů a řízení.
WAF může zablokovat škodlivý provoz dříve, než se dostane do webové aplikace, a může zabránit útočníkům ve zneužití mnoha běžných zranitelností, i když zranitelnosti nebyly v základní aplikaci opraveny. Doplňuje tradiční firewally a systémy detekce narušení (IDS), které chrání útoky prováděné útočníky na aplikační vrstvě.
Ochrana DDoS
Řešení ochrany DDoS může chránit síť nebo server před útoky typu Denial of Service. Dělá to pomocí vyhrazeného síťového vybavení nasazeného lokálně organizací nebo jako cloudová služba. Pouze cloudové služby jsou schopny odvrátit rozsáhlé DDoS útoky, které zahrnují miliony robotů.
Systém nebo služba ochrany DDoS monitoruje provoz, aby zjistil vzor útoku DDoS a odlišil legitimní provoz od škodlivého. Když detekuje útok, provede „scrubbing“, zkontroluje pakety provozu a zahodí ty, které jsou považovány za škodlivé, čímž jim zabrání v dosažení cílového serveru nebo sítě. Zároveň směruje legitimní provoz do cílového systému, aby zajistil, že nedojde k přerušení služby.
Ochrana proti botům
Boti (internetoví roboti) tvoří velké procento internetového provozu. Velmi zatěžují webové stránky a zabírají systémové prostředky. Zatímco někteří roboti jsou užiteční (například roboti, kteří indexují webové stránky pro vyhledávače), jiní mohou provádět škodlivé činnosti. Boty lze použít pro DDoS útok, poškození obsahu webových stránek, automatické provádění útoků na webové aplikace, šíření spamu, malwaru a další.
Systém ochrany proti botům detekuje a blokuje rizikové roboty a zároveň umožňuje legitimním robotům provádět činnosti, jako je indexování vyhledávání, testování a sledování výkonu. Dělá to udržováním velké databáze známých zdrojů botů a zjišťováním vzorců chování, které by mohly naznačovat, že se jedná o škodlivého bota.
Ochrana Cloudu
Téměř všechny organizace dnes spravují infrastrukturu, aplikace a data v cloudu. Cloudové systémy jsou obzvláště zranitelné vůči kybernetickým hrozbám, protože jsou běžně vystaveny veřejným sítím a často trpí nízkou úrovní viditelnosti, protože jsou vysoce dynamické a běží mimo podnikovou síť.
Poskytovatelé cloudu přebírají odpovědnost za zabezpečení své infrastruktury a nabízejí vestavěné nástroje zabezpečení, které mohou uživatelům cloudu pomoci zabezpečit jejich data a pracovní zátěž. Cloudové bezpečnostní nástroje první strany jsou však omezené a neexistuje žádná záruka, že jsou používány správně a že všechny cloudové zdroje jsou skutečně zabezpečeny. Mnoho organizací používá vyhrazená řešení cloudového zabezpečení, aby zajistily, že všechna citlivá aktiva nasazená v cloudu budou řádně chráněna.
Zabezpečení databáze
Databáze obvykle obsahují citlivé, kritické informace a jsou hlavním cílem útočníků. Zabezpečení databází zahrnuje posílení databázových serverů, správnou konfiguraci databází umožňující řízení přístupu, šifrování a sledování škodlivých aktivit.
Řešení zabezpečení databází mohou pomoci zajistit konzistentní úroveň zabezpečení v celé organizaci. Mohou pomoci předcházet problémům, jako jsou nadměrná oprávnění, neopravená zranitelnost v databázových strojích, nechráněná citlivá data a vkládání informací do databáze.
Zabezpečení API
Moderní aplikace využívají aplikační programovací rozhraní (API) ke komunikaci s jinými aplikacemi, k získávání dat nebo služeb. API se používají k integraci systémů uvnitř organizace a stále častěji se používají ke kontaktování a přijímání dat ze systémů provozovaných třetími stranami.
Všechna rozhraní API, zejména veřejná rozhraní API, ke kterým se přistupuje přes internet, jsou citlivá na kyberútoky. Protože jsou API vysoce strukturovaná a zdokumentovaná, útočníci se tím snadno učí a manipulují s nimi. Mnoho rozhraní API není řádně zabezpečeno, může být slabě ověřeno nebo vystaveno zranitelnostem, jako je Cross site scripting (XSS), SQL injection a útoky typu Man-in-the-Middle (MitM).
Zabezpečení rozhraní API vyžaduje řadu opatření, včetně silné vícefaktorové autentizace (MFA), bezpečného používání ověřovacích tokenů, šifrování dat při přenosu a dezinfekce uživatelských vstupů, aby se zabránilo injekčním útokům. Řešení API mohou pomoci vynutit tyto bezpečnostní kontroly pro rozhraní centralizovaným způsobem.
Threat Intelligence
Threat Intelligence funguje na pozadí a podporuje mnoho moderních bezpečnostních nástrojů. Používají jej také přímo bezpečnostní týmy při vyšetřování incidentů. Databáze informací o hrozbách obsahují strukturované informace shromážděné z různých zdrojů o aktérech hrozeb, taktice útoku, technikách a postupech a známých zranitelnostech počítačových systémů.
Řešení Threat Intelligence shromažďují data z velkého množství informačních zdrojů a umožňují organizaci používat rychlé indikátory kompromisu k identifikaci útoků, pochopení motivace a způsobu fungování aktéra hrozby a navržení vhodné odezvy.
Další způsoby ochrany před kyberútoky
- Používejte vícefaktorovou autentizaci
- Vytvořte robustní vnitřní kontroly
- Spravujte zabezpečení třetích stran
- Vzdělávejte zaměstnance
- Vytvářejte zálohy dat
- Pravidelně aktualizujte systémy
- Používejte antivirový software a firewall