Autor: Jan Strnad, System Engineer, McAfee

Kybernetická kriminalita a její další vývoj

Bezpečnost IT se mění, vyvíjí a doprovází ji řada proměn s ohledem na vývoj bezpečnostních hrozeb. Od jednotlivých útočníků se postupně vyvinula v organizovaný zločin, který proniká i do politické sféry a tajných služeb. Politicky motivované útoky jsou na vzestupu na celém světě. Mohou se zaměřovat na sociální sítě, jak ukázal např. nedávný útok skupiny Iranian Cyber Army proti systému Twitter. USA nejsou zdaleka jediným cílem ani Čína jediným původcem těchto útoků; v poslední době došlo např. k napadení webu polské vlády, serverů kodaňské konference o klimatických změnách nebo webu lotyšského Dne nezávislosti. Dalším rostoucím problémem firma se zvláště v době ekonomické krize jeví také ochrana citlivých dat.

Shrnutí loňského roku

Obecné trendy počítačové bezpečnosti shrnuje studie 2010 Threat Predictions (Předpovědi hrozeb pro rok 2010) společnosti McAfee. Studie dokládá nárůst politicky motivovaných útoků takzvaných „hactivism“, k nimž došlo

v Polsku, Lotyšsku, Dánsku a Švýcarsku. V roce 2009 bylo za den v průměru odesláno 135,5 miliard spamů. Objem nevyžádané pošty ale ve 4. čtvrtletí 2009 oproti předcházejícímu kvartálu poklesl o 24 %. V loňském roce se spammeři pokoušeli zneužít především havárii letadla Air France a smrti Michaela Jacksona. Byl zaznamenám také velký počet phishingových podvodů spojených s mistrovstvím světa ve fotbale v roce 2010, podvody s trojským koněm Zeus maskované jako zprávy týkající se programů očkování proti prasečí chřipce nebo podvody vztažené k informacím o vzrůstu nezaměstnanosti v USA.

V loňském roce také narostlo množství malwaru, ať už jde o falešné antiviry, útoky vedené s použitím sociálních sítí nebo infekce šířené přes média USB/flash, které zneužívají funkce Autorun (Automatické spuštění). Útoky využívající technologie Web 2.0 nebo hrozby šířící se přes přenosná úložná zařízení ukazují, jak se počítačové hrozby vyvíjejí a reagují na proměny technologií. Počítačoví zločinci se snaží nalézt další oběti v sociálních sítích – ve druhé polovině roku 2009 výrazně vzrostla aktivita červa Koobface. Tento malware je nyní hostován na serverech ve 46 zemích, v čele tohoto žebříčku jsou USA, Německo a Dánsko. 1 % webů hostujících červa Koobface se nachází i v ČR.

Další vývoj

Odborníci očekávají další nárůst útoků na sociální sítě jako jsou Facebook, Twitter, Chrome OS a produkty Adobe. V prostředí sociálních sítí jsou uživatelé důvěřivější a ochotní klikat i na odkazy, které by jinak vzbudily jejich podezření.

Očekává se i další nárůst malwaru, který bude kopírovat vývoj webových technologií. Nový operační systém Google Chrome, v němž se bude používat HTML verze 5, povede k dalšími přesunu aplikací z desktopu na Internet a možnosti vytvářet „bohaté“ aplikace přímo v HTML. Útočníci samozřejmě budou tento trend sledovat a pokusí se napadat uživatele Google Chrome i webových prohlížečů s podporou HTML 5. Zatímco v minulosti se útočníci pokoušeli zneužívat především zranitelnosti v operačním systému Windows, webových prohlížečích a aplikacích sady Microsoft Office, nyní se jejich zájmu stále více těší aplikace Adobe: Reader/Acrobat a přehrávač Flash.

Další očekávanou skutečností je posunutí infrastruktury botnetů od centralizovaného řízení k řízení přes peer-to-peer systémy. Distribuované řízení botnetů bude sice pro útočníky náročnější, ale vzhledem k výdělkům z botnetů (rozesílání spamu, krádeže identity...) se jim tento přechod vyplatí. Decentralizovaně řízené botnety půjdou obtížněji vystopovat i vyřadit z provozu. 

V USA mezi 3. a 4. čtvrtletím loňského roku tempo růstu botnetů výrazně pokleslo. Ve 3. čtvrtletí se z nových zombií nacházelo v USA 13,1 %, ve 4. kvartále 9,5 %. Do čela tohoto žebříčku se tak dostala Čína s 12% podílem, na dalších místech pak jsou Brazílie, Rusko a Německo. Čína je dnes také zemí, odkud vychází nejvíce útoků SQL injection (vsunutí SQL, pokus o průnik do systému webového serveru prostřednictvím manipulace s databázovým dotazem). USA ale zůstávají největším producentem spamu, poté se umisťuje Brazílie a Indie. Mezi 10 největších producentů spamu se v roce 2009 poprvé zařadily Ukrajina a Německo. Ve 2. čtvrtletí roku 2009 bylo značné množství spamu odesláno i z ČR – 1,9 %. Ve 4. čtvrtletí loňského roku ale oproti předcházejícímu kvartálu celkové množství spamu pokleslo.

Kritická infrastruktura v ohrožení

Počítačové útoky proti kritické infrastruktuře mohou způsobit extrémně vysoké škody. Kritickou infrastrukturou se v tomto kontextu myslí např. elektrorozvodné sítě, dopravní a telekomunikační infrastruktury nebo výroba a zpracování ropy a zemního plynu. Řada firem a organizací postupně adoptuje srovnatelné metriky měřící úroveň zabezpečení. Dle studie In the Crossfire: Critical Infrastructure in the Age of Cyberwar (V křížové palbě: Kritická infrastruktura v období kybernetické války), kterou vypracovala nezisková organizace CSIS (Center for Strategic and International Studies) pro firmu McAfee, vyplývá zvýšená potřeba koordinace. Vlády se ovšem v tuto chvíli vesměs nemají k tomu, aby starost o kritickou infrastrukturu zařadily mezi své priority.

Po loňské ekonomické krizi je zatím oživení křehké a nejisté, takže prioritou vlád je stále ekonomická situace. Hlavní odpovědnost proto leží v tuto chvíli na vlastnících. Manažeři firem, které kritickou infrastrukturu spravují, vesměs uváděli, že mají dostatečný rozpočet na zabezpečení IT. Organizace dávají zabezpečení IT vysokou prioritu: 92 % respondentů průzkumu uvedlo, že zabezpečení je u nich v rámci priorit stále „klíčové“ nebo „velmi důležité“.

Snížení rozpočtu o /procenta/ (Zdroj: Studie In The Crossfire, McAfee)

Důvěra v to, že bankovní/finanční služby by mohly vydržet rozsáhlý kybernetický útok (Zdroj: Studie In The Crossfire, McAfee)

Ochrana citlivých dat

Když si odmyslíme možné útoky na kritickou infrastrukturu, zbývá nám stále aktuální a vzrůstající problém většiny firem, a to jak ochránit firemní nebo i soukromá citlivá data. Únik dat prostřednictvím e-mailu, tisku a přenosných zařízení je problém, který může pro firmy znamenat nejen fyzické ztráty, ale i ztráty duševního vlastnictví, snížení důvěryhodnosti, oslabení značky apod. Ztráty dat k nimž v současné době dochází, lze přímo přepočítat na pokles příjmů postižené společnosti, na snížení ceny jejích akcií či tržní kapitalizace. Únik dat může způsobit krach i velkých firem.

Podle spotřebitelské neziskové organizace Privacy Rights Clearinghouse si od února roku 2005 více než 100 milionů dokumentů obyvatel USA nedokázalo udržet důvěrný charakter.

Úniky dat obsahujících osobní informace vyjdou firmy v průměru na 268 tisíc dolarů na jeden incident. Podniky jsou za těchto podmínek každopádně nuceny přehodnotit svůj přístup k otázkám zabezpečení. Dokud řízení přístupu neomezí možnost uživatelů přenášet data mimo prostředí firmy, organizace nezískají potřebný přehled o svých datech a nebudou je moci preventivně chránit před možnou ztrátou. Analytická společnost IDC uvádí, že trh s řešeními pro řízení datově orientovaného obsahu vzroste z hodnoty 194 milionů na 434,4 milionů v roce 2009.

Produkty pro ochranu dat

Jedním z řešení, jak ochránit citlivá data je například McAfee® Data Loss Prevention (DLP) Host, které poskytuje komplexní ochranu před ztrátou důvěrných dat, ať už by k ní došlo v důsledku zlého úmyslu nebo neúmyslně. Řešení McAfee® Data Loss Prevention vyhovuje interním požadavkům firem i jejich partnerům, auditorům, dozorčím radám či akcionářům. Dává organizacím kompletní přehled a možnost řídit pohyb dat, monitorovat či blokovat jejich přenos, šifrovat citlivá data nebo je zcela izolovat od prostředí mimo jejich bezprostředního použití.

Řešení McAfee DLP nabízí organizacím plnou kontrolu a přehled o datech, která opouštějí „koncové body“ firmy přes e-mail, systémy instant messaging, jako vytištěné dokumenty, na médiích USB nebo CD-ROM apod. McAfee DLP Host obsahuje funkce, k nimž patří ochrana definovaná podle obsahu i kontextu. Tato ochrana brání přenosu citlivých dat dokonce i v případě, že tato data jsou dále zpracována, zkopírována, vložena do jiných dokumentů, zkomprimována nebo zašifrována. Poskytuje také celkovou ochranu před ztrátou dat v průběhu celého pracovního procesu, včetně ochrany dat vzdálených uživatelů (pracovníci přistupující z domova či pracující v terénu), a to dokonce i v době, kdy jsou přenosné počítače těchto uživatelů odpojeny od firemní sítě.

McAfee DLP Host se skládá z agentského softwaru a protokolovacího a správcovského serveru. Pomocí tohoto serveru mohou správci zabezpečení uplatňovat pro koncové body firemní sítě centrálně řízenou politiku, v reálném čase monitorovat probíhající události a vytvářet hlášení o těchto aktivitách. Při nasazení tohoto řešení jsou koncové body monitorovány a použití dat a jejich přenosy podléhají omezením založeným na uplatňované bezpečnostní politice.

Bezagentová zařízení

Další úrovní ochrany je řešení Data Loss Prevention Gateway, které doplňuje portfolio McAfee Data Loss Prevention Host. Komplexní řešení zabezpečení chrání před únikem dat na úrovni pracovní plochy i brány. Nabízí ochranu před únikem dat z notebooků zaměstnanců v terénu i dalších uživatelů přenosných počítačů, z počítačů využívajících jiné systémy než OS Windows (například MacOS a Linux), ze serverů, mobilních zařízení a jiných bezagentových zařízení. Řešení v tomto případě funguje tak, že brání přenosu informací označených jako důvěrné přes příslušnou bránu.

Řešení ochrany na úrovni bezagentových zařízení získává na významu, protože společnosti čím dál častěji využívají mobilní zařízení a přenosné počítače pro přístup k citlivým informacím v podnikových sítích. Na těchto zařízeních nemusí být nainstalován speciální klientský software zajišťující zabezpečení, a proto je třeba řídit pohyby citlivých dat i na úrovni brány.