Malware v CCleaneru cílil na velké technologické společnosti

Díky aktuálnímu výzkumu bylo zjištěno, že hackeři, kteří ukryli malware v nástroji CCleaner cílili na velké technologické firmy, konkrétně: Cisco, Samsung, Sony, Intel, Microsoft či VMware. Podle bezpečnostního týmu Cisco Talos, který na incident upozornil, by to naznačovalo, že jde o precizně cílený útok zaměřený na získání cenného intelektuálního vlastnictví těchto společností.

Zjištění vyplývá z analýzy kódu, který malware dostával ze vzdáleného command and control serveru. Vzdálené ovládání malwaru umožňuje útočníkům zajistit, aby se napadené počítače chovali specifickým způsobem, pokud se nacházejí v síti výše uvedených firem.

Komentář: Nejlepší bezpečnost home office je žádná

Dovolte mi se dnes opřít do nepopulárního tématu, a tím je kombinace selského rozumu a bezpečnosti. V komentáři se snažíme na věc podívat z pohledu opravdového, líného člověka. Ten totiž bude ve vaší firmě o bezpečnosti opravdu rozhodovat, a na to je dobré nezapomínat.

 

Poslední dobou se hodně hovoří o zabezpečení vzdálených pracovišť, a to zejména s rozvíjejícím se trendem takzvaného home office ve firmách. Firmy na jedné straně moc netuší, jak se k tomuto fenoménu technicky postavit stran bezpečnosti a na druhé straně se samozřejmě vyrojila spousta různě kvalitních  dodavatelů, kteří nabízejí zaručeně to nejlepší bezpečnostní řešení, se kterým mohou být všichni v klidu. Ale je to vůbec pravda? Má cenu trávit bezesné noci bezpečností v místech, jejichž fungování stejně nemůžeme prakticky nijak ovlivnit? A pro samou bezpečnost nerezignujeme na obyčejný lidský selský rozum?

Předně je třeba si říct, že žádné řešení není dostatečně bezpečné. Ať už vymyslíte jakákoliv bezpečnostní pravidla a nasadíte jakékoliv technické řešení, stejně zůstane nejslabší článek. Tím je pochopitelně vždycky uživatel. Zejména bezpečnostní firmy tohle nerady přiznávají, ale faktem je, že čím složitější bezpečnostní řešení, tím méně je ve skutečnosti opravdu efektivní. Neznamená to sice, že bychom na bezpečnost zejména v podnikovém prostředí měli úplně rezignovat, ale zase bychom se kvůli bezpečnosti neměli zbláznit. Stejně nám ve výsledku nezbyde nic jiného, než to nechat na klasickém selském rozumu našich uživatelů, tedy vlastně zaměstnanců, či partnerů nebo externistů. Jenom oni sami svým chováním opravdu rozhodnou o tom, jak bezpečné bude naše firemní prostředí a naše firemní data.

Nasadit softwarové bezpečnostní řešení je sice rozumná politika, ale není to samospasitelné. Řada firem, které bezpečnosti nerozumí a do jisté míry ani nechce rozumět, se spoléhá právě jenom na dodané bezpečnostní softwarové řešení a zapomíná na to, že s ním bude pracovat člověk. Člověku je třeba nastavit takové podmínky pro práci, aby sice pracoval v bezpečném prostředí, ale aby pro něj byla práce v tomto prostředí pohodlná a efektivní. Jinak na to tenhle člověk, který je vlastně od přírody líný tvor, bude prostě kašlat. A s tím žádný softwarový architekt prostě nic neudělá.

Musíme se víc soustředit na člověka a na jeho přístup k práci. Hledat taková pravidla a taková řešení, díky kterým by se cítil dobře a nevadilo by mu dodržovat bezpečnostní pravidla. Jestliže do firmy nasadíme drahé softwarové řešení za několik milionů korun a výsledkem bude to, že uživatel pracující z domova se bude muset nejprve deset minut přepínat do nějakého virtuálního prostředí, tam se čtyřmi různými  způsoby přihlašovat, pak toto přihlášení ještě ověřit mobilem, který pochopitelně zrovna nemůže najít, a to celé bude muset stihnout během 5 min., tak to prostě nebude dělat.

Chvilku se bude alespoň naoko snažit být "hodným a poslušným pracovníkem" a dělat, že to dodržuje, ale ve skutečnosti to stejně bude dělat jinak. Typickým příkladem je situace, kdy člověk pro vytváření firemních dokumentů stejně využívá svůj vlastní domácí textový editor ve svém vlastním domácím nezabezpečeném prostředí, a teprve výslednou práci pak prostřednictvím známých zkratek CTRL+C (Cizí) a CTRL+V (Vlastní) nakopíruje do nějakého zabezpečeného firemního office nástroje. S firemními daty, které považuje vedení společnosti za rodinné stříbro, bude zacházet tak že je vyexportuje, otevře si je v Excelu na počítači svého pubertálního syna, ten mu ostatně se zpracováním tabulky pomůže, potom je nějakým způsobem dostane zpátky do firemního prostředí. Dělají to skoro všichni a skoro denně, jen to nikdo z obavy nepřizná.

Otázkou tedy zůstává, čemu se opravdu věnovat. Jestli má vůbec smysl investovat do drahých bezpečnostních řešení, která stejně z principu věci musí umožňovat jejich obejití. Bude totiž existovat řada situací, kdy budete po svém podřízeném potřebovat, aby prostě něco udělal v neděli večer, když je zrovna na chatě. Tam samozřejmě nemá váš firemní notebook a není připojen do vaší VPN sítě. Co tedy uděláte je, že pochopitelně jako první věc zapomenete na veškeré firemní předpisy a poučky o bezpečnosti a podkladové informace mu  pošlete na jeho soukromý email na Seznamu. Za dvě nebo tři hodiny se vám hotová práce vrátí na váš soukromý email a vy si to pak prostě  přepošlete do práce. V lepším případě máte soukromý i pracovní email nastavený na mobilním zařízení, takže to uděláte rovnou přímo ve své dlani. No a v pondělí ráno v kanceláři nebo na firemním notebooku prostě jen otevřete příslušná data a vložíte je do firemního zabezpečeného informačního systému. Nepřipomíná vám to něco? Neděláte to taky tak? Pokud tvrdíte, že ne, tak prostě lžete. Nebojte, my to na vás nepráskneme.

Omlouvám se všem dodavatelům skvělých nablýskaných a zaručeně fungujících softwarových řešení, ale zejména poslední dobou to na mě působí tak, že zapomínáme především na stanovení rozumných pravidel, která bychom všichni měli dodržovat. S opravdového faktického a objektivního bezpečnostního hlediska je totiž úplně jedno, jestli člověk vytváří pro firmu klíčovou práci v zabezpečeném firemním prostředí, nebo to vytváří na svém disku Google, a pak to někomu pošle mailem. Pokud se nesplete, a omylem to nepošle také celé konkurenci, nebo na adresu všech zaměstnanců firmy, je to z bezpečnostního hlediska vlastně jedno. Ale naopak se vám velice snadno může stát, že pokud ho budete nutit využívat striktně firemní prostředí a všechno dělat za nějakým pomyslným - byť v cloudové době de facto nesmyslným a nefunkčním - vnitřním perimetrem firmy, akorát ho rozčílíte a donutíte ho jinak rozumná pravidla obcházet. Naoko se sice bude tvářit, že pracuje u vás, ale ve skutečnosti jen bude rezignovat i na ty poslední zbytky bezpečnosti, které by jinak na svém počítači a ve svém prostředí  běžně dodržoval.

Pro toho člověka je totiž stejně důležité mít zabezpečena svá soukromá data, jako jsou dopisy milenkám, soukromé fotky manželky, když se ještě nechala fotit v choulostivých pozicích, nebo např. korespondenci se všemi firmami, kterým dluží, jako jsou vaše pracovní data jako zaměstnavatele. On prostě nežije, nebo jinak,  jeho prostě nedonutíte žít v přesvědčení, že vaše dokumenty jsou daleko důležitější než jeho život a jeho aspekty. A je vlastně velice hloupý nápad to po něm vůbec chtít.

Pokud tedy chcete zachovávat ve vaší firmě bezpečí, soustřeďte se především na lehce použitelná a jen praktická pravidla pro vaše pracovníky. Nemá smysl připravovat stostránkový předpis o bezpečnosti ve vaší firmě, on ho stejně nikdo číst nebude. Zkuste místo toho vymyslet pár základních pravidel, která by ale byla lehce pochopitelná.

A jeden příklad na závěr: Pamatuji si na příběh, v němž důvěrná data o návrhu žaloby pro neplnění smlouvy, která si daná firma střežila jako oko v hlavě, se dostala ke konkurenci. Nebylo to kvůli narušené bezpečnosti, ani je konkurence nezískala špionáží. Omylem byly odeslány právní kanceláří, kde pracovala sice možná hezká, ale úplně blbá asistentka, která nepochopí rozdíl mezi "odpovědět", "odpovědět všem" a "přeposlat". A jsme zase u toho. Vymýšlejte rozumná pravidla, a hlavně si ověřte, jestli je vaši lidé pochopili a jestli s nimi souhlasí. A ptejte se na jejich názor, protože cokoliv složitého a nepohodlného prostě nikdo dělat nebude, a tečka.

 

Autor: Michal Rada

Hype křivka cloudové bezpečnosti pro rok 2017

Téma cloudové bezpečnosti budou analytici detailně probírat na plánovaných konferencích Gartner Security & Risk Management Summit v Londýně a Dubaji.

S tím, jak roste míra využívání cloudových služeb, roste i zájem o zabezpečení dat, aplikací a aktivit v cloudovém prostředí. Analytici Gartneru proto sestavili hype křivku cloudové bezpečnosti, s jejíž pomocí mohou bezpečnostní experti a CIO lépe porozumět, které z technologií jsou již zralé pro běžné nasazení a kterým bude ještě několik let trvat, než budou dostatečně vyspělé pro použití ve většině organizací.

Bezpečnost je i nadále jedním z nejčastěji uváděných důvodů, proč se organizace vyhýbají využívání veřejného cloudu. Přesto ty společnosti, které veřejný cloud používají, paradoxně považují bezpečnost za jeden z hlavních přínosů,“ říká Jay Heiser, viceprezident výzkumu ve společnosti Gartner.

Heiser ale zároveň upozorňuje, že na bezpečnost cloudových služeb lze pohlížet z několika úhlů pohledu. Dvěma hlavními jsou odolnost služeb samotných (například proti útokům) a schopnost uživatelů používat je bezpečně. Hype křivka přitom podle Heisera může organizacím pomoci zorientovat se v technologiích určených právě pro řízené a efektivní používání služeb veřejného cloudu v souladu s interními i legislativními předpisy.

Na samotném počátku křivky – tedy ještě před „hype“ fází přehnaných očekávání – se nacházejí technologie zabezpečení kontejnerů nebo zálohování do cloudu a nepřerušitelná infrastruktura pro oblast bezpečnosti (immutable infrastructure), tedy nahrazení aplikací novými běžícími instancemi namísto odstavení a následného spuštění.

Na vrcholu hype křivky se momentálně nacházejí například SDP (softwarově definovaný perimetr), KMaaS (správa klíčů jako služba), nebo mobilní DLP (prevence či ochrana před ztrátou dat na mobilních zařízeních.) Naopak poblíž nejnižšího bodu „propadu do deziluze“ je například privátní cloud, jenž by ale měl „vyspět“ do fáze produktivity během méně než dvou let, a CSB (brokerství cloudových služeb), kterému cesta k „dospělosti“ potrvá 2–5 let.

Těsně před fází produktivity jsou například zálohování a obnova virtuálních strojů nebo DR jako služba (DRaaS), fáze produktivity pak dosáhly například tokenizace, aplikační bezpečnost jako služba, vysoce dostupné a zabezpečené hypervizory nebo služby pro správu identit a profilů.

Autor: Petr Smolník, šéfredaktor