Jaké jsou podle vás nejvýznamnější aktuální hrozby, pokud jde o oblast podnikové kybernetické bezpečnosti?

V současnosti způsobuje 88 procent útoků ransomware a také to, co nazýváme pokročilým malwarem. Je alarmující, že v roce 2017 zasáhl ransomware 54 procent společností, v průměru dokonce dvakrát. A to už opravdu nemůžeme brát na lehkou váhu.

Pokročilý malware zahrnuje tzv. vícestupňové zero day útoky, jejichž četnost za poslední rok prudce vzrostla. Příkladem pokročilého malwaru jsou i WannaCry a Petya. Jedním ze stále "oblíbenějších" útoků je využívání tzv. exploitů, tedy posloupnosti instrukcí nebo dat, která mohou v důsledku programátorské chyby způsobit neočekávané chování aplikace i hardwarového zařízení. Využívání zranitelných míst v systému či aplikaci je jednou z nejrychleji se rozvíjejících taktik mezi kybernetickými zločiny.

Až osm procent veškerých kybernetických hrozeb pak tvoří těžba kryptoměn. Když "crypto miner" získá neoprávněný přístup do vašeho systému, začne spotřebovávat energii a výkon CPU vašeho počítače k těžbě kryptoměny, což je samozřejmě nežádoucí. Vzhledem k nárůstu počtu těchto operací již tyto aplikace nepovažujeme za potenciálně nechtěné (PUA), ale nyní je kategorizujeme jako škodlivý software. Na vzestupu je i tzv. elevace práv (privilege escalation), kdy se stále více hackerů pokouší ukrást přihlašovací údaje, aby získali oprávněný přístup do cizích systémů.

Vaše globální průzkumy uvádí, že více než polovina organizací například nemá technologii pro ochranu zneužívání zmíněných zranitelností. Investují podle vás u nás firmy dostatečně do IT bezpečnosti, do odborníků?

Na IT se firmy snaží spíše šetřit. IT bezpečnost je brána jako nutné zlo, a proto je vždy těžké prosadit investice nad rámec toho, co už bylo schváleno. Firmy často spoléhají na to, že "nám se to stát nemůže" a že jim bude stávající zabezpečení stačit. Opak je pravdou. Z našich průzkumů například vyplývá, že společnosti do 500 uživatelů nemají buď žádného, nebo maximálně jednoho odborníka na IT bezpečnost a chybí zde i odbornost. Proto je tak důležité pro výrobce bezpečnostních technologií, aby vytvářeli řešení, která jsou jednoduchá a uchopitelná pro "běžné" administrátory, kteří nejsou primárně zaměření na IT bezpečnost.

Jeden z vašich nových produktů, Intercept X, míří právě do boje se zmiňovaným ransomwarem. Pro jeho detekci na úrovni koncových bodů přitom využívá neuronové sítě s technologií hlubokého učení... Jak toto funguje? Hluboké učení je pokročilou formu strojového učení, která se původně inspirovala funkcemi mozku. Nedávné pokroky v této oblasti umožňují rozpoznávání obličeje a hlasu, překlad jazyků i samořízení.

Sophos používá hluboké učení v oblasti cybersecurity za účelem zjištění, zda je soubor dobrý (benignware) nebo špatný (malware), i když jsme ho ještě neviděli. To znamená, že vůbec nepoužíváme signatury, místo toho extrahujeme miliony atributů souboru, spustíme je přes náš hluboký model učení a zjistíme, zda je soubor dobrý nebo špatný.

Model hlubokého učení, který obsahuje produkt Intercept X, je sestaven tak, aby analyzoval přenosné spustitelné soubory. Nicméně detekuje nejen malware, ale také určuje, zda je soubor potenciálně nežádoucím programem (PUA). PUA lze také označit jako "šedý" a jedná se o soubor, který technicky vzato není malware, ale je to pravděpodobně něco, co nechcete, aby bylo spuštěno na podnikovém koncovém bodě. Běžným příkladem PUA je adware.

Samozřejmostí je, že náš model chrání uživatele i v off-line režimu. Model nevyžaduje cloudové připojení, protože je součástí agenta, takže je uživatel chráněn i v případě, kdy je například v letadle.

Změnila se v souvislosti s vývojem kyberzločinu v posledních letech struktura bezpečnostních řešení nasazených firmami? Jak dnes vypadají základní stavební kameny podnikové síťové bezpečnosti?

Spolu s posledním vývojem dochází k většímu zájmu zákazníků především o komplexní zajištění bezpečnosti. Již zdaleka nestačí mít "pouze" firewall nebo "pouze" antivir, jak tomu bývalo dříve. Zákazníci poptávají ucelená řešení, která pokryjí všechny cesty útočníků i formy útoků.

Mezi základní stavební kameny síťové bezpečnosti tak dnes můžeme řadit kromě firewallů též endpointová řešení, neboť firewall samotný již dnes nemusí uchránit před všemi hrozbami, jak ukázalo například WannaCry.

Trh bezpečnostního hardwaru roste díky UTM a firewallům, to vyplývá ze zpráv analytiků společnosti IDC. Jaké inovace jste si v této oblasti připravili pro své zákazníky?

Výhodou řešení UTM je, že v jednom zařízení běží více bezpečnostních technologií najednou a snadno se spravují. Primárním cílem je zastavit hrozby, které se snaží dostat do podnikové sítě pomocí e-mailové nebo webové komunikace, takže filtrování těchto komunikačních protokolů je nutností.

My dále nabízíme i cloudový sandboxing, kde prověřujeme data přicházející z internetu z pohledu jejich potenciální škodlivosti. Tato funkcionalita pomáhá detekovat především kryptoviry.

Patrick Müller (43)

V oblasti IT a technologií působí Patrick více než 20 let. Do Sophosu nastoupil v roce 2015 na pozici channel account executive a jeho hlavní pracovní náplní je budování prodejní sítě v Česku a na Slovensku. Předtím pracoval 12 let ve společnosti Symantec na různých obchodních pozicích. Patrick vystudoval soukromou akademii pro media design a IT v Mnichově. Mezi jeho koníčky patří golf, cestování a rybaření.

Před nedávnem jsme představili i novou verzi mimořádně výkonného a spolehlivého hardwaru. Běžný firewall umí rozpoznat určité množství aplikací, které běží v síti pomocí signatur, ale naše inovace spočívá v tom, že signatury už nepotřebujeme, protože naše endpoint řešení umí detekovat libovolnou aplikaci. Tato nová funkce se nazývá synchronized app control a výrazně pomáhá administrátorům v jejich práci s neznámými aplikacemi.

Mohou si takto sofistikovaná řešení dovolit i menší firmy? S naším produktovým portfoliem cílíme na zákazníky od 5 až po 5000+ uživatelů. Všechny naše firewally mají stejné administrativní rozhraní a je jedno, jak výkonný hardware zákazník používá.

Takto máme možnost nabídnout i těm nejmenším zákazníkům stejnou míru bezpečnosti jako největším společnostem, a to za zlomek ceny. Jinými slovy - můžeme nabízet enterprise řešení za neenterprise ceny. V případě firmy s 10 uživateli vychází naše UTM řešení na 13 000 korun na rok s plnou licenční výbavou včetně sandboxingu. Společnost s 80 uživateli by zaplatila zhruba 90 000 korun ročně.

Posledních pár let rozvíjíte cloudovou správcovskou konzoli, která dokáže do jedné aplikace synchronizovat všechny produkty vaší značky. Jaké novinky jste do této platformy zapracovali v poslední době?

Platforma Sophos Central, do které hodně investujeme, usnadňuje život zejména administrátorům. Rozšířili jsme ji například o Sophos Phish Threat, nástroj na testování uživatelů z hlediska odolnosti proti phishingovým útokům, a díky cloudové platformě přidáváme vylepšení průběžně každý měsíc.

Sophos Central nabízí možnost spravovat Sophos produkty, jako jsou endpoint řešení nebo ochrana mobilních zařízení, přičemž wi-fi sítě, šifrování či firewally máte v jedné konzoli.

Jak velké procento zákazníků využívá zmíněnou správcovskou aplikaci ve variantě v cloudu?

V současné době se jedná přibližně o polovinu zákazníků, kteří preferují cloud nebo on-premise řešení.

Vidíme však postupný příklon ke cloudovému řešení, kdy zákazníci oceňují jednoduchost a rychlost nasazení i správy.

Českem momentálně rezonuje zavádění GDPR. Nabízíte mimo jiné řešení pro šifrování dat. Zaznamenali jste zvýšenou poptávku po těchto produktech?

Ano, jednoznačně. Dnes patří šifrování mezi klíčové technologie na ochranu dat jako takových, pouze malé procento firem však tuto technologii používá. Častým důvodem je složitá implementace i náročná administrace.

Náš přístup je jiný. Produkty vyvíjíme tak, aby je i méně zkušený administrátor mohl snadno ovládat. Nabízíme celý management klíčů a zároveň provozujeme tzv. user self service portal, kde si uživatelé mohou zapomenuté heslo sami jednoduše obnovit, což je velmi oblíbená funkce. Doporučujeme zákazníkům, aby zálohovali všechno, čímž odpadá otázka, jaká data šifrovat a jaká ne. Nabízíme full disk encryption - řešení zamezující přečtení dat nepovolanou osobou, které uživatel ocení například při ztrátě notebooku, anebo file and folder encryption pro vynucené šifrování při ukládání dat například v cloudových úložištích.

Mnoho firem má v této oblasti co dohánět a právě pro ně platí můj závěrečný vzkaz: obraťte se na nás, rádi vám pomůžeme.

 

Rozhovor byl publikován v březnovém čísle magazínu ICT revue.

Související