Počítačoví červi a krádeže hesel: Rizika pro podniky

Trefně pojmenovaný počítačový červ je jednou z nejagresivnějších a nejničivějších hrozeb, kterým může organizace čelit. Na rozdíl od mnoha útoků, které spoléhají na chybu uživatele, může červ nepozorovaně proklouznout do sítě a šířit se replikací napříč propojenými systémy. Z jednoho infikovaného počítače se mohou rychle stát desítky, protože se malware(nové okno) sám kopíruje a zkoumá nové cíle.

Toto seberozmnožovací chování je to, co učinilo epidemie jako nechvalně známý NotPetya tak ničivými. Virus se uvnitř podnikových prostředí rychle přesouval mezi systémy a způsobil provozní škody v celosvětovém měřítku dříve, než týmy kybernetické bezpečnosti stihly zareagovat.

Naneštěstí má mnoho organizací stále stejná slabá místa, která červi milují, včetně nezáplatovaných systémů, plochých sítí, účtů s nadměrnými oprávněními a nezabezpečených, nesledovatelných metod sdílení účtů. Útok počítačového červa vytváří neúměrně vysoké obchodní riziko, zejména když se aktivita červa stane odrazovým můstkem pro ransomware a zneužívání přihlašovacích údajů ve velkém měřítku.

V tomto článku vysvětlíme, kde leží skutečné ohrožení ve většině prostředí a která vrstvená kontrolní opatření v praxi skutečně zmenšují dosah výbuchu. Podíváme se také na to, jak posílení zabezpečení hesel pomocí bezpečného firemního správce hesel podporuje tuto obranu.

Co je to počítačový červ?

Jak se počítačoví červi šíří v podnikových sítích

Proč počítačoví červi představují vážná rizika pro podniky

Bezpečnostní postupy, které pomáhají předcházet epidemiím počítačových červů

Jak Proton Pass for Business podporuje podnikovou bezpečnost

Co je to počítačový červ?

Počítačový červ je forma sebereplikujícího se malwaru, který se šíří napříč sítěmi bez nutnosti interakce uživatele. Termín „worm virus“ se často používá, ale technicky vzato se jedná o dvě různé hrozby.

Rozdíl spočívá v úrovni autonomie a měřítku šíření. Počítačový virus se připojí k legitimnímu souboru nebo aplikaci a obvykle vyžaduje, aby někdo tento soubor spustil, a tím ho aktivoval a rozšířil. Naproti tomu červ je samostatný program navržený tak, aby se pohyboval sám, skenoval dosažitelné systémy a automaticky se množil, jakmile najde slabinu.

Jakmile se červi dostanou do podnikové sítě, snaží se množit. Šíří se využíváním existujících zdrojů, jako jsou síťová připojení, sdílené služby, otevřené porty a běžné konfigurace.

Někteří červi způsobují narušení už jen svým rozsahem, když generují takový síťový provoz a zatížení procesů, že dochází k degradaci výkonu nebo vynuceným obranným vypnutím. Novější kampaně využívající červy jdou často ještě dál a doručují sekundární užitečná zatížení, jako je ransomware, zadní vrátka pro vzdálený přístup, botnet agenti nebo komponenty kradoucí přihlašovací údaje.

Tato kombinace autonomního šíření a následných užitečných zatížení je důvodem, proč červi sehráli roli v několika velkých globálních incidentech, včetně rozsáhlých epidemií ransomwaru, destruktivních útoků typu wiper, masových infekcí botnetů a rychlých kompromitací interní sítě, které umožnily krádež dat a průniky napříč doménou.

Jak se počítačoví červi šíří v podnikových sítích

Podnikové sítě poskytují červům mnoho způsobů pohybu a ty nejúčinnější kmeny nespoléhají na jedinou techniku. Obvykle kombinují automatizované skenování, zneužívání zranitelností a zneužívání přihlašovacích údajů, aby se mohly nadále šířit i v případě, že je jedna cesta zablokována.

Je těžké přecenit, jak škodlivý může být červ, jakmile se dostane do podnikové sítě. Velká propojená prostředí vytvářejí přirozené cesty šíření, a když je viditelnost omezena, zadržování se stává mnohem obtížnějším.

Skenování a zneužívání známých zranitelností

Klasický vzorec červa začíná automatizovaným skenováním. Malware(nové okno) prozkoumává sítě a hledá zařízení, která mají zranitelnou službu (ať už směřující na internet nebo interní), a poté zneužije známou chybu k vzdálenému spuštění kódu.

WannaCry je jedním z nejznámějších příkladů epidemie způsobené červem. V roce 2017 se tento červ poprvé rozšířil zneužitím zranitelnosti protokolu Windows SMB spojené s exploitem EternalBlue a automaticky se množil mezi dosažitelnými systémy.

Organizace, které odložily nebo promeškaly příslušné bezpečnostní aktualizace, byly zasaženy nejhůře a v mnoha případech způsobilo interní šíření větší narušení než počáteční bod vstupu. Nemocnice, výrobní podniky a sítě veřejného sektoru zažily rozsáhlé výpadky, protože jakmile byl malware uvnitř, mohl se neustále pohybovat.

Epidemie WannaCry udělila obchodnímu světu drahou lekci. Instalace bezpečnostních záplat je mnohem víc než jen běžná údržba; je to primární opatření pro zamezení šíření. Když zůstanou kritické zranitelnosti otevřené, červi nepotřebují sofistikované techniky úniku. Potřebují pouze dostupné cíle a dostatek času na jejich skenování.

Stejná zranitelnost EternalBlue SMB byla využita i v dalších velkých kampaních, včetně NotPetya a několika rozsáhlých epidemií botnetů a těžby kryptoměn, což ukazuje, jak rychle může být jedna neopravená chyba znovu použita v mnoha útocích s velkým dopadem.

Pozemní (laterální) přesuny prostřednictvím sdílených služeb a správcovských nástrojů

Jakmile se malware podobný červovi dostane do sítě, pravidelně se snaží šířit laterálně zneužíváním stejných nástrojů, na které podniky spoléhají při správě a automatizaci. Namísto instalace zjevně škodlivých utilit používá mnoho kampaní vestavěné nástroje pro vzdálené spouštění a správcovská rozhraní systému Windows k přesunu ze systému na systém. Kvůli tomu je obtížnější odlišit aktivitu od legitimní práce správců a často to zpožďuje detekci.

NotPetya je jedním z nejzřetelnějších příkladů tohoto vzorce. Po počáteční fázi kompromitace se vnitřně množil pomocí několika technik laterálního pohybu, včetně shromažďování přihlašovacích údajů a vzdáleného spouštění prostřednictvím PsExec a Windows Management Instrumentation (WMI). Vzhledem k tomu, že se jedná o legitimní administrativní mechanismy široce používané v podnikových IT operacích, splynul tento škodlivý síťový provoz s normální aktivitou správy.

Výsledkem bylo rychlé rozšíření v rámci celé organizace napříč firemními sítěmi, což způsobilo rozsáhlé provozní odstávky v logistice, výrobě a globálních podnikových prostředích.

I jiné významné epidemie využily srovnatelné postupy. Například aktéři v kampaních ransomwaru Ryuk a Conti běžně kombinovali získávání přihlašovacích údajů s legitimními nástroji pro správu, aby po počátečním přístupu rozšířili svůj dosah. Infekce z rodin TrickBot a Emotet měly také moduly pro laterální přesuny, podobné červům, které zneužívaly odcizené přihlašovací údaje a nativní nástroje Windows k pohybu napříč interními sítěmi.

Společným rysem je operační maskování. Útočníci se pohybují důvěryhodnými kanály místo zjevně škodlivých, a právě v tom hraje centrální roli z hlediska dopadu krádež hesel a kompromitace přihlašovacích údajů.

Pokud malware dokáže získat přihlašovací údaje pro správce nebo služby, jeho šíření se stává rychlejším, nenápadnějším a spolehlivějším. Tato činnost se v logech může jevit jako legitimní, protože probíhá po ověření a s použitím schválených nástrojů. V praxi to znamená, že hygiena přihlašovacích údajů a řízení privilegovaných přístupů představují zásadní pojistky proti laterálním přesunům.

Hádání hesel, krádež přihlašovacích údajů a slabé ověřování

Někteří červi mají útoky na přihlašovací údaje zabudovány přímo ve své logice šíření. Místo toho, aby se spoléhali pouze na zranitelnosti softwaru, aktivně se snaží získat hesla z infikovaných systémů nebo je uhodnout prostřednictvím automatizovaných útoků hrubou silou. To jim umožňuje šířit se i poté, co je původní cesta zneužití uzavřena.

Conficker je dobře zdokumentovaným příkladem. Kromě zneužití zranitelnosti systému Windows se pokoušel šířit spouštěním slovníkových útoků na hesla administrátorů v celé síti. Systematicky zkoušel běžné a slabá hesla proti sdíleným prostředkům a účtům správců.

V prostředích, kde byla privilegovaná hesla krátká, opakovaně používaná nebo předvídatelná, se rychlost šíření ohromně zvýšila. Conficker rovněž extrahoval přihlašovací údaje z kompromitovaných počítačů a využil je k ověřování v jiných systémech, čímž propojil metodu šíření pomocí exploitů a přihlašovacích údajů.

Modernější kmeny a rodiny modulárního malwaru, jako je TrickBot a Emotet, implementovaly nástroje pro extrakci dat k vyzvednutí uložených hesel a hashů z paměti, a následně je aplikovaly pro laterální pohyb. Tato strategie umožňuje hackerům přesouvat se za pomoci platného ověřování a nikoli exploitů, což obvykle potlačuje bezpečnostní upozornění a prodlužuje čas, kdy jsou nepozorováni v systému.

Slabá hesla, absence dvoufázového ověření (MFA) a nadměrně privilegované účty činí vaši síť zranitelnou vůči útokům červů. I v situaci, kdy je prvotní bod vstupu čistě technologický, jsou to právě faktory jako složitost přihlašovacích údajů, jejich unikátnost a rozsah privilegií, které mnohdy předurčí, jak daleko bude útok sahat.

Právě tady získávají strukturovaná správa přihlašovacích údajů a kontrola hesel na významu jako praktický způsob, jak přibrzdit šíření a minimalizovat rozsah dopadů útoků založených na přihlašovacích údajích. Spolehliví firemní správci hesel jako Proton Pass nabízejí k tomuto účelu nástroje v podobě závazných zásad týmu, povinného 2FA a přísných regulací pro hesla.

Vyměnitelná média a cesty šíření offline

Šíření v podnikových prostředích neprobíhá vždy výhradně po síti. Někteří červi mají ve své výbavě více způsobů distribuce, díky nimž se zvládnou šířit i tam, kde jsou síťové cesty uzavřeny. Mimo to, že prohledávají sítě a spoléhají na vzdálené exploity, mohou zneužívat výměnná média, např. USB disky, připojené síťové jednotky nebo sdílené složky, aby přeskočili mezi zařízeními – a to i do oblastí, které nejsou napojeny rovnou na internet či jsou spojeny pouze volně.

Jednotlivé varianty červa Conficker se nesoustředily pouze na prolamování zranitelností operačního systému Windows či zkoušení lehkých hesel administrátorů; šířily se i pomocí odnímatelných disků, tak že vytvářely vlastní kopie a spoléhaly na tehdy běžné funkce autorun. Zásluhou tohoto multifaktorového návrhu se červ zvládl zachytit v organizacích a migrovat i do neúplně izolovaných segmentů, včetně zkušebních sítí a provozních částí, jež neměly přímou konektivitu do internetu.

Novodobé druhy malwaru s charakteristikou červů uplatňovaly obdobné krizové cesty, když instalovaly své duplikáty do sdílených adresářů, těžily z přihlašovacích skriptů nebo zanechávaly škodlivý obsah v běžně dostupných složkách souborů, aby došlo k jejich spuštění při interakci jiného uživatele.

Proč dokážou počítačoví červi být rychlejší než vaše reakce

Typickým prvkem červů je jejich svižnost, jíž je docíleno pomocí automatizace. Eliminují takřka beze zbytku vliv lidského chování na realizaci útoku. Nečekají, až někdo rozklikne odkaz pro phishing, nepotřebují rozevření nebezpečné přílohy ani zavinění ze strany uživatele. Je-li k dispozici připojení a existuje-li technická zranitelnost, červ operuje naprosto izolovaně.

Využívání stejných hesel pro více aplikací či služeb a celkově jejich slabá povaha dokáže celý průběh urychlit; samočinná replikace avšak k obrovskému incidentu mnohdy postačí i bez nich.

Tato automatizace podstatně krátí časový horizont potřebný k reakci na daný problém. U důkladně doložených epidemií to dospělo do stádia, kdy se organizace během několika málo hodin – místo dnů – přehouply z kompromitace jednoho koncového bodu do situace rozsáhlé vnitřní infekce. Než nástroje na sledování upozorní na nezvyklý síťový provoz nebo než systém začne kolabovat, malware už je nezřídka zahnízděn napříč řadou segmentů. Následkem toho je bezpečnostní tým nucen provést reaktivní zabezpečení situace, oddělit sítě, deaktivovat určité funkce a realizovat resetování hesel v nouzovém režimu, což převáží nad promyšleným řešením nápravy.

Z provozního hlediska nestojí připravenost na virové hrozby v podobě červů ani tak na bezchybné prevenci, jako na včasném zachycení a zpomalení šíření. Opatření odhalující nezvyklé interní prohledávání a potlačující laterální pohyb představují bonus pro časovou prodlevu nutnou k řešení, a proto zůstává zodpovědný přístup v oblasti hesel zcela zásadní z důvodu minimalizace poškození v období bezprostředně navazujícím na infiltraci – primárně v případech, kdy k posunu útočníci volí ukradená hesla. V situacích s červy tvoří časový rámec nejvíce rozhodující komoditu.

Proč počítačoví červi představují vážná rizika pro podniky

Infiltrace červa generuje značně odlišný profil ohrožení než celá řada dalších variant malwaru. Svým návrhem na spontánní šíření dokážou červi dovést menší kompromitovanou část k obrovské pohromě pokrývající podnikovou síť mnohem dříve, než sjednají nápravu mechanismy dohledu a revizní audity. Díky této akceleraci dochází k navýšení všech dopadů na provozní úrovni: přerušení provozu, riziko zveřejnění přihlašovacích údajů, splnění závazků vyplývajících z legislativy a neposledně i ekonomické výdaje spojené s nápravou.

Pro vrcholové manažery firem je klíčový rozdíl v rádiusu dopadu. Pokud izolujeme útok malwaru, ten mohl postihnout pouhý zlomek systémů. Avšak pandemie se znaky činnosti červa je s to najednou paralýzovat různá oddělení, pobočky, ale i celou sdílenou infrastrukturu. Proměňuje tak charakter průběhu situace, ovlivňuje celkovou dobu potřebnou pro nápravu a promítá se do množství ohrožení jak z hlediska samotného byznysu, tak s ohledem na případné následky spojené s regulatorními normami.

Rozsáhlé provozní výpadky

Pokud si malware nainstaluje sám uživatel, projevuje se výpadek zpočátku jen na samotné stanici, u sdíleného adresáře daného týmu nebo zasahuje pouze limitovaný okruh účtů. Červi takové meze ruší z toho důvodu, že se jejich šíření děje bez jakéhokoliv lidského faktoru a samotný výpadek stoupá s progresem nákazy.

Z tohoto faktu vyplývá nekonzistentnost nebo totální nefunkčnost sdílených služeb. Z toho důvodu je zapotřebí ze sítě odebrat jednotlivé koncové body s úmyslem zadržení nákazy a za žádoucím přerušením laterálního pohybu uvádět servery do stavu offline. Podniky jako jsou nemocnice, výrobní závody a přepravní korporace se musely při řadě nejdramatičtějších propuknutí virové události zapříčiněné právě aktivitou červů uchylovat z důvodu znovuuchopení dohledu a záchrany situace k dočasnému zastavení celého spektra provozu nebo částí, které byly zapojené do sítí.

Z ohledu samotného pokračování činnosti firmy to degraduje případ s narušením zabezpečení k rovině události charakterizované přerušením byznysu. Při vyrovnávání se s problémem dochází k posunu orientace z oprav na prioritní třídění poškozených prvků: které prostředky musí zůstat online, je nutno oddělit tyto, a co si žádá pozdější opravy.

S ohledem na to se vyžaduje, aby se do plánování pro reakci na incidenty s udržením chodu podniku explicitně formovaly situace pro případy enormně urychleného přenesení se vnitřního malwaru, nikoliv jen narušení obrany samotné sítě zvenčí.

Kompromitace přihlašovacích údajů a eskalace privilegií

Červi společně s operacemi připomínající toto napadnutí velmi často přistupují i k ohrožení v zabezpečení skrze přihlašovací údaje. Zatímco určité typy tato přístupová data střádají, stávají se k získání hesla ze sítě, či zachycených stop jako u hashů závislé na pomocných skupinách malwarů, u jiných variant obsažené mechanismy pro povýšení pověření probíhají automatizovaně.

Ať už se použije jakýkoliv způsob, tak platné přístupové údaje velkou měrou zkracují nutný čas a úspěšnost šíření. V obzvlášť nezáviděníhodném postavení shledávají samotné postižení ty varianty, ve kterých uživatelé na administrátorských místech využívají v celé síti sdílená hesla nebo do celkového nastavení instalují sjednocený trvalý oprávněný klíč k systémům.

Skrze to, že útočníci nabyli přístupové hesla se pro ně běžný úkol po průniku po laterální stránce redukuje z varianty „potenciálního“ řešení na standardní rutinu. Pomocí získání adresářů a zapojení mechanismů na ovládaní se bez problému spojí přes pověřené uživatelské struktury, tudíž bez obtíží pošlou další signály na vysoce strategické zástupce v sítích a budou k ním přistupovat.

Tohle vysvětluje to, proč jsou červi s nabouráním u krádeži pro zabezpečené systémy u hesel tak zásadně svázaní napříč incidenty ve skutečném používání. Zkompromitované heslo téměř nikdy neslouží v užívání pouze na jeden ojedinělý účet. K mnohým podnikovým platformám pro řízení u společností započíná vystupovat k užívání spíše pro adresář plný destinací k navýšení u rozsahu se vstupem, co ve zcela konkrétním smyslu se v zřeteli snížení s podloženým řešením nebezpečí proměňuje u procesu od kontrolovaného i pečlivého řízení.

Úniky dat a negativní dopady v rovině compliance se zvětšují s postupným šířením incidentu

V situacích, kdy pro prvořadé cíle hraje u útočníků při užití nasazování pro proces narušení na způsob malwarového formátu např. typu jako pro vydírání výkupné z ohledu červa narušení, pak sekundárně působící hrozbu pro útoky pro sdílenou dokumentaci ze stránek od interních portálů představují sdílené soubory. U odhalených systémů tvoří s narušením velkou pravděpodobností přistupovat ke s kompromitovaným k e-mailových uložištích ve vztazích nárůst úniků v objemech záznamů pro databáze po narůstající cestách ze stran pro ovládané účty. K situacím po a se s relací i při situacích bez možnosti pro přistupovat přes z cesty od z u z přístupů na přístup.

U regulovaných organizací a poskytovatelů s vysokou mírou důvěry takové zviditelnění rozšiřuje incident z bezpečnostního problému na problém týkající se dodržování předpisů a smluvních závazků. Povinnost informovat o úniku informací, doložky o hlášení zákazníkům, dotazy regulačních orgánů a audity třetích stran – to vše může být spuštěno na základě potenciálního přístupu, nikoli pouze potvrzené exfiltrace.

V praxi to znamená, že rozsah vyšetřování, kvalita logů a sledovatelnost přístupů přímo ovlivňují právní a finanční dopady.

Epidemie červů se na poli moderních kybernetických rizik pro podniky řadí po bok hrozeb jako ransomware, kompromitace sítě prostřednictvím phishingu nebo útoky na dodavatelské řetězce, ovšem s podstatným odlišením: časové okno zde představuje stěžejní kritérium. Razantní expanze zanechává mizivý prostor pro systematické ověřování a gradující zavedení defenzívy, v důsledku čehož rapidně narůstá pravděpodobnost, že dojde k pochybení ve sdělování, k opomenutí signálů i zjevným propadům ve správě ochrany systémů.

Chcete-li se seznámit s rozsáhlejším manažerským shrnutím týkajícím se propojení těchto bezpečnostních rizik, neváhejte se začíst do naší sekce ohledně detailního rozboru moderních hrozeb pro kybernetickou bezpečnost zaměřených na sektor podnikatelů.

Úbytek zdrojů a netušené následky oddalují chvíli uzdravení

Existují verze virových kmenů s vlastností natolik enormního šíření z místa na místo, které působí skutečné fyzické poškození systémů. Rutinní detekce přes skenování v sítích s procesem u zkoušení replikačních způsobů s postupy zahrnující dálkové spouštění operací se umí plnou vahou obout o stabilitu šířky pásma, s následkem k výpadku ze u koncových bodů, po zablokování zásadních aktivit u serverů. Od pádu účinnosti k od sítě v podobě ohrožených přístrojů k vývoji zhroucení. S tím i pro u s ze skupiny od přístrojů.

Postupy týkající se červů probíhají ve značně hlučném formátu, vlivem čehož forenzní postupy obdržely punc těžké orientace ve změti zanechaných odkazů a zjištění. Ukázat přesně na zásadní původ potíží může nabýt ohromně zapeklité podoby, poněvadž známky napadení propuknou napříč velkou základnou sdružených systémů zničehonic a najednou. Je to k zastižení situace ve fází dřívějším po nalezení k bodům nákazových pacientů se v podobě ohrožení cesty s zdržením po objevu od počátku z neřešené orientace ze s možných s rozhodnutí se obsahem po dočasném k procesní prodlevou z procesu od orientaci a zpomalením z v z procesu ze cesty po prvotní fáze s u objevům u nákazy u pacientů s nuly od po odložení z rozboru k úvah s uzavření k do do doby do pro z obdržení a vyhodnocení.

S podtržením závěrů pro ojedinělé typy úniků dat to funguje, z v podobě u z od na a do neobjevují po k v útokům na červy ve a v. Od v podstatě v na u události do od řetězcem na do od v ke od v se ke v z k z po se z u i u od i i k u v na s ve ke a k do v z k v u s s od. Formou po po u od u k v u ve ke v od u na u pro o se z pro od s s s z i do pro z a na u a na o po i o z pro a z pro v.

Způsoby a z postupy ze v od z do pro ve na na předcházet v u a ve z.

Ideální obranou proti červům je vrstvený přístup navržený tak, aby plnil dva úkoly: snížil šanci, že červ do systému vstoupí nebo se spustí, a omezil, jak daleko se může rozšířit, pokud už k tomu dojde. Níže uvádíme několik praktických opatření, na kterých v podnikových sítích záleží nejvíce.

1. Správa záplat, která k známým zranitelnostem přistupuje s nejvyšší naléhavostí

Vzhledem k tomu, že většina rozsáhlých epidemií červů je úspěšná díky zneužití zranitelností, pro které již existují opravy, technické řešení závisí na načasování a provedení instalace bezpečnostních záplat.

Zpoždění instalace záplat bývá často způsobeno problémy s řízením změn, obavami o dobu provozuschopnosti (uptime) nebo nejasnou zodpovědností. Avšak z hlediska řízení rizik by měly být kritické nezáplatované zranitelnosti považovány za bezprostřední hrozbu aktivního incidentu.

Červ WannaCry se celosvětově rozšířil v prostředích, kde sice byly záplaty k dispozici, ale nebyly plně implementovány, nebo kde zůstaly nezáplatované starší systémy (legacy systémy).

Jak to vypadá v praxi:

• Stanovte dohody o úrovni poskytovaných služeb (SLA) pro instalaci záplat na základě závažnosti a míry ohrožení, nikoliv podle pohodlí
  
• Zrychlete proces oprav zranitelností umožňujících vzdálené spuštění kódu a chyb v síťových službách
  
• Udržujte si neustále aktuální přehled o nepodporovaných systémech a těch s ukončenou životností
  
• Prezentujte nevyřízené záplaty (patch backlog) jako ukazatel rizika, nikoli jen jako ukazatel výkonnosti IT

2. Segmentace sítě pro zpomalení šíření

Červi se nejrychleji šíří v plochých sítích, kde může ve výchozím nastavení komunikovat většina systémů s většinou ostatních systémů. Segmentace přináší hranice a tyto hranice vytvářejí detekční a kontrolní body.

Cílem je udržet dosah pod kontrolou. Kompromitovaná pracovní stanice uživatele by neměla mít přímý přístup k serverům, správcovským rozhraním a infrastruktuře pro zálohování.

Praktické priority při segmentaci:

• Oddělit zóny uživatelů, serverů a správců
  
• Ve výchozím nastavení omezit laterální pohyb přes protokoly SMB a vzdálené protokoly pro správce
  
• Chránit systémy s vysokou hodnotou pomocí jump host serverů nebo zprostředkovatelů přístupu
  
• Zaznamenávat aktivity správců napříč segmenty pomocí logů a upozorňovat na ně

Segmentace sice nezastaví úplně každého červa, ale často dokáže zrychlenou epidemii transformovat do řešitelného úkolu zamezení šíření.

3. Důkladná kontrola přístupů a princip nejnižších privilegií

Dopad útoků červů prudce stoupá, jestliže získají k dispozici privilegované přihlašovací údaje. Pokud malware dosáhne správcovské úrovně, jeho šíření se stane jednodušším, méně nápadným a mnohem spolehlivějším. Omezení oprávnění je jedním z nejúčinnějších postupů, jak zmenšit plošný rozsah následků.

Zaměřte se nejen na zavádění dalších kontrolních mechanismů, ale především na to, abyste minimalizovali množství trvale přidělených práv.

Nejefektivnější opatření z praxe:

• Striktně oddělujte účty určené pro správce od těch pro běžné každodenní využití.
  
• Tam, kde to je možné, odeberte permanentní lokální práva pro správce.
  
• Aplikujte přístup k datům založený na přidělených rolích, který se odvíjí od konkrétních pracovních povinností.
  
• Zaveďte pravidlo prověřování přístupových oprávnění do privilegovaných skupin podle přesného harmonogramu.
  

Povolení k přístupu by se mělo odvíjet od reálné potřeby, mělo by mít stanovené časové ohraničení (pokud je to proveditelné) a mělo by procházet periodickou revizí – nemělo by se postupně nabalovat v čase a upadnout v zapomnění.

4. Zabezpečené řízení přihlašovacích údajů jako pojistka proti přesunům do stran založených na získání hesel

Jedná se o nejjasnější pojítko mezi rozmnožováním červů a zcizením hesel. Klaterálním přesunům podmíněným využitím cizích přihlašovacích údajů se mimořádně daří všude tam, kde panuje praxe užívat identická hesla napříč různými platformami, kde sdílená přihlášení komplikují změnu, citlivá data se ukládají v obyčejných dokumentech nebo v historii chatů a nikdo tak nemá přehled o tom, kdo a k čemu může přistupovat. V těchto systémech často jediné uloupené heslo představuje klíč do celé sady chodeb.

Správným cílem by měla být efektivní izolace hrozby přes pečlivě nadesignované řízení přihlašovacích údajů. Jestliže jsou hesla výhradní pro daný cíl, ukládají se v bezpečně střežených trezorech a ke sdílení dochází pouze prostřednictvím regulovaných kanálů namísto prostého kopírování, případná kompromitace jednoho údaje sotva spustí nekontrolovatelnou lavinu. Umožní to bezprostředně brzdit pohyb podporovaný červem a navazující fázi šíření přes sítě po propuknutí nákazy.

Pokud to převedeme do reality, jedná se o toto:

• Zamezte sdílení správcovských hesel přes servery či další služby.
• Přihlašovací údaje nesmí obsahovat tabulky, lístky (tickety) ani logy komunikačních aplikací.
• Přesuňte obsah do úložiště zajištěného trezorem doplněným o sdílení s udělením povolení.
• Spusťte svižnou celoplošnou úpravu kódů v případě ohrožení kompromitací.

Nanejvýš spolehlivý firemní správce hesel, jakým je Proton Pass, se pasuje do role dokonalé podpory zmíněného principu z toho důvodu, že jako standardní postup automaticky vytyčí tvorbu vysoce náročného hesla, neproniknutelné úložiště a garantované sdílení. U rizik týkajících se postupů při sdílení přihlašovacích údajů ve skutečných případových událostech stojí tyto aspekty v popředí při jejich potírání.

5. Povědomí pracovníků o dodržování pravidel zabezpečení v souvislosti s obvyklými procedurami na pracovišti

Faktem zůstává, že k šíření červů není vyžadována kooperace z řad uživatelů, navzdory tomu mají uživatelé přímou kontrolu nad vývojem rizika červů svými obvyklými rutinními úkony, ať už jde o zapojování netradičních zařízení do sítě, ignorování výzev k aktualizaci programů, souhlas k nesmyslným požadavkům přistupovat přes systém do dat nebo o doručování úvodního malwaru do sítě na základě odpovědi na phishingové e-maily.

Edukace týkající se informační bezpečnosti dosahuje optimálních výsledků v momentě, kdy si její osvojování osvojíme coby samozřejmou zvyklost na pracovišti podloženou jasnými zásadami a důsledným tréninkem. Pro firmy hledající směr jsme již připravili velmi praktického průvodce k budování kultury uvědomělé vůči rizikům přímo na pracovišti.

6. Postupy pro sledování a detekci, které zachytí nepatřičné rozrůstání problému

Z povahy samotného faktu, že červi uvádí do chodu celou řadu samovolných úkonů v oblasti síťové komunikace se velmi často postarají o vyvolání sledovatelných chování již v rané fázi, ale to jedině za předpokladu, že máte své sledování pod kontrolou. Efektivní sledování se z větší části odpoutává od jednotlivých hlášení a přechází mnohem podstatněji k rozpoznávání nadstandardních modelů vnitřního fungování ve velkém.

Cílem je rychlé rozpoznávání vzorců. Mezi signály, které s vysokou pravděpodobností ukazují na šíření infekce typu červ, patří:

• Náhlé nárůsty skenování interních portů nebo pokusů o připojení
• Neobvyklý síťový provoz týkající se SMB, RDP nebo vzdáleného provádění kódů mezi partnerskými systémy
• Sekvence selhání při ověření, které odpovídají technikám password spraying (útok hrubou silou používající jedno heslo na mnoho účtů)
• Nové nebo privilegované relace pocházející z neočekávaných hostitelů
• Souběžné změny konfigurace nebo služeb napříč mnoha koncovými body

Z operativního hlediska by tato odhalení měla spustit postupy k izolaci incidentu (playbooks). Jakmile je rozpoznán typ šíření charakteristický pro červy, reakce se přesune od snahy zabránit narušení celého podniku ke kontrolované izolaci, s cílem incident minimalizovat.

7. Zvládnutí incidentu, které počítá s rychlostí

Incidenty související s červy se rozvíjejí příliš rychle pro pomalé a na schvalování náročné modely reakce. Plány zadržení by měly počítat s rychlým šířením a upřednostňovat ráznou akci před získáním dokonalých informací. Prvořadým cílem je zpomalit šíření, i když to může znamenat dočasné přerušení provozu.

Klíčová opatření k zamezení šíření obvykle zahrnují:

• Izolaci postižených koncových bodů a segmentů sítě
• Blokování známých škodlivých vzorců síťového provozu a protokolů
• Deaktivaci nebo omezení kanálů pro laterální pohyb
• Odstranění mechanismů pro udržení přístupu (persistence) a naplánovaných úloh
• Vynucené resetování přihlašovacích údajů na místech s pravděpodobnou kompromitací

Reakce týkající se přihlašovacích údajů je hlavní součástí snahy o zamezení šíření. Incidenty podporované červy často zahrnují odhalení hesel, krádež tokenů nebo zneužití hashů, což znamená, že hromadné resetování hesel, odvolání přístupů a obměna klíčů by měly být předem schválenými kroky v krizových plánech a ne pouhými improvizovanými rozhodnutími.

Stejně důležité je to, že zadržení hrozby je proces organizační a zároveň i technický. Týmy potřebují mít předem definované pravomoci, komunikační cesty a prahové hodnoty pro zahájení akce. Když jsou role a krizové plány jasné, doba odezvy se zkracuje. U případů virové epidemie červů je právě rychlost koordinace často rozhodujícím faktorem v tom, jak daleko se škody rozšíří.

Jak Proton Pass for Business poskytuje podporu zabezpečení podniku

Útoky založené na červech a podobné hrozby jen málokdy dokážou uspět pouze díky zneužití zranitelnosti (exploitation). Jejich rozšiřování a postup se naopak opírají o přístupové údaje. Když mohou útočníci opětovně použít nebo shromažďovat hesla, stává se jejich další pohyb snadnějším, méně nápadným a rychlejším. Z tohoto důvodu představuje systém na správu přihlašovacích údajů praktický kontrolní nástroj, bez ohledu na to, že původní cesta do systému byla čistě technického rázu.

Proton Pass for Business je navržen tak, aby zmírňoval rizika spojená s užíváním přihlašovacích údajů. Poskytuje organizacím nástroje pro transformaci chaosu v oblasti hesel do podoby řízených, šifrovaných trezorů. V těchto trezorech mohou týmy vytvářet komplexní, unikátní přihlašovací údaje a zároveň si je do nich bezpečně uložit. Nezapomíná také na další opatření pro zajištění bezpečnosti – jmenovitě vymahatelné zásady a nutnost 2FA –, jejichž úkolem je integrovat spolehlivé mechanismy pro schvalování k přístupům do systémů a nastavit to jako standard v celé organizaci.

Například díky regulovanému a chráněnému předávání údajů mizí nutnost improvizovaného předávání hesel. Zásady pro správce spolu s logy o využívání zvyšují přehlednost ohledně osob, které mohly do systému přistupovat. Toto nemá za cíl nahradit aktualizace, rozčleňování sítě nebo systémy pro sledování. Smyslem je tyto mechanismy upevňovat. Samostatné přihlašovací údaje, kontrolované doručování a okamžitá změna přímo eliminují riziko, že se narušení pomocí přihlašovacích údajů rozšíří, a zároveň ulehčují řešení v momentě nutnosti změny.

Proton Pass se vyznačuje otevřeným zdrojovým kódem a prochází kontrolami provedenými třetími stranami. To funguje jako podpora organizacím trvajícím na nezávislém potvrzení jistoty zabezpečení informací potřebných k přistupování do systémů. V rámci ochrany s mnoha úrovněmi tvoří důkladná péče o přihlašovací údaje jednu z nejužitečnějších kontrol s ohledem na možná zlepšení realizovatelná s okamžitým efektem.

Při uplatnění modelu bezpečnosti s řadou úrovní napříč podniky se sice postupy s přihlašovacími hesly netěší statusu výlučného způsobu, nýbrž zaujímají jedno z čelních míst coby prvek z hlediska efektivity. Efektivně minimalizuje pravděpodobnost, že se izolované narušení jediného hesla změní na obtíž ohrožující napříč všemi sítěmi.

Sériově šířené nákazy za pomoci červů si berou rychlost jako jednoho z tahounů, čímž vyžadují, aby s vaším plánem na reakci proběhla odpověď za o to nižší časové dotace. Přečtěte si náš kyberbezpečnostní průvodce reakcí na incidenty a vytvořte si strategii, která vám pomůže zadržet hrozby, koordinovat postupy a obnovit provoz s minimálními dopady na chod společnosti.