Může být vaše firma v bezpečí díky hackerům? Ano, díky těm s bílým kloboukem

Petra Javornická

Petra Javornická
21. 06. 2024

Může být vaše firma v bezpečí díky hackerům? Ano, díky těm s bílým kloboukem

Narůstající počty i sofistikovanost kybernetických útoků nám připomínají, že kyberbezpečnost by měla být prioritou každé firmy. Se zvyšováním odolnosti pomáhají i etičtí hackeři, kteří jsou vybavení stejnými taktikami a dovednostmi jako skuteční útočníci.

Každý den se ve světě odehrávají tisíce kybernetických útoků. Podle odhadů náklady menších a středních firem na zotavení se z kyberútoku mohou snadno překročit milion korun. K obranyschopnosti firem přispívají hackeři, kteří nenosí černý klobouk, ale ten bílý. Říká se jim etičtí hackeři, pentesteři nebo bounty hunteři. Jejich cílem není snaha se nelegálně obohatit, ale naopak přispět k větší bezpečnosti kybernetického prostoru.

Kdo jsou etičtí hackeři?

Firmy si čím dál častěji najímají etické hackery, aby našli zranitelná místa v jejich systémech, opravili chybný a neaktualizovaný software nebo zvýšili rezistenci zaměstnanců ještě předtím, než stejné manipulativní techniky využijí kyberútočníci. Jejich záměrem je tak zajistit bezpečnost stejných cílů, které jsou zajímavé i pro black hat hackery. Ať už to jsou identitní nebo účetní systémy, servery, které obsahují citlivé údaje (třeba o uživatelích či jejich platebních kartách), nebo data v cloudu.

Kromě hledání samotných zranitelností v systémech etičtí hackeři také zjišťují, jak rychle firmy kybernetický útok detekují a jak efektivně jsou na něj schopné reagovat.

Služby etických hackerů se liší podle komplexnosti testování. Nejméně časově i finančně náročnou metodou je testování zranitelností, které umožňuje identifikovat a řešit slabá místa v informačních systémech ještě předtím, než je zneužijí hackeři.

Analýza a aktualizace služeb

Testování zranitelností je proces, který se zaměřuje na automatické skenování a identifikaci známých zranitelností v systémech, aplikacích nebo sítích. Cílem je najít slabá místa, která by mohli potenciálně využít útočníci.

Při testu zranitelnosti se často využívá skenovací software, který provádí kontrolu firemních systémů na několika úrovních: detekuje otevřené porty, které by se mohly stát branou pro neautorizovaný přístup k firemním datům. Dále analyzuje služby běžící na serverech tak, aby bylo zajištěné, že jsou používané aplikace a služby aktualizované a zabezpečené proti známým hrozbám.

Firemní služby se také testují proti známým zranitelnostem (například databáze Common Vulnerabilities and Exposures). To umožňuje etickým hackerům zjistit, zda jsou vaše informační systémy vystavené veřejně známým rizikům, která by mohla být snadno zneužitá.

Pentesteři také kontrolují, jestli nemáte informační systémy chráněné slabými hesly nebo výchozími konfiguracemi, které otevírají hackerům dveře do interních systémů. Zkoumá se i nedostatečné šifrování dat.

Celý proces je zakončený zpracováním reportu, který podrobně popisuje všechny nalezené zranitelnosti, jejich potenciální dopad na vaši organizaci a nabízí doporučení pro jejich odstranění. Takový report slouží jako základ pro vytvoření a implementaci efektivních bezpečnostních opatření, která zajistí, že zůstanete o krok napřed před kyberútočníky.

Testovací phishingové kampaně

Zdaleka nejspolehlivějším způsobem, jak proniknout do firmy, je skrz zaměstnance (podle dat společnosti Verizon má lidský faktor podíl na 68 % všech narušení kyberbezpečnosti). Podvodníci čím dál častěji využívají techniky sociálního inženýrství za účelem získání přístupů k firemním systémům nebo k vylákání financí ze společnosti. Se znalostí lidské psychologie útočí prostřednictvím phishingových e-mailů, podvodných telefonátů, podvržených SMS zpráv nebo deepfakes. I v této oblasti mohou odolnost vaší firmy zvýšit etičtí hackeři.

Ti jsou schopní otestovat, jak moc jsou vaši zaměstnanci náchylní na to, otevřít falešný e-mail, kliknout na infikovaný odkaz, nebo dokonce útočníkům předat přihlašovací údaje do firemních systémů.

Z našich statistik vyplývá, že kolem 50–60 % lidí otevře podvodný e-mail, 30–40 % se proklikne na podvodnou stránku, a dokonce 20 % lidí odevzdá svoje přihlašovací údaje.

Pavel Matějíček Pavel Matějíček
Evangelista IT bezpečnosti a etický hacker

Testovací phishingové kampaně zahrnují vytváření falešných e-mailů. Jejich součástí jsou odkazy na webové stránky, které napodobují legitimní komunikaci, ale jsou nepravé. Mohou obsahovat ale i falešné faktury s podvrženým QR kódem.

Efektivní testovací phishingová kampaň vám poskytne cenná data o tom, jak zaměstnanci reagují na různé typy útoků. Cílem je ale také identifikovat potřebná zlepšení ve vzdělávání a osvětě zaměstnanců nebo bezpečnostních politikách firmy.

Penetrační testování

Penetrační testování jde v prověření firem ještě dál a v podstatě simuluje hackerský útok na konkrétní systém nebo aplikaci za účelem identifikace zranitelností a ověření jejich praktického zneužití. To zároveň přináší i větší časovou i finanční náročnost.

Penetrační testy tedy nejenže identifikují zranitelnosti firemního IT, ale také demonstrují, jak by mohly být zneužity v praxi. Zahrnují tak pokusy o získání přístupu k systémům společnosti, eskalaci práv nebo exfiltraci dat.

Cílem penetračního testování je posoudit reálné bezpečnostní riziko a dopad potenciálního útoku. Penetrační testy obvykle provádí odborníci manuálně a využívají nástroje a techniky používané skutečnými útočníky.

Red Teaming

Nejsofistikovanější (a také finančně nejnáročnější) metodou, jak otestujete odolnost firmy proti kybernetickým útokům, je bezesporu read teaming. Ten spočívá v tom, že tým složený z expertů s nejrůznějšími znalostmi a schopnostmi simuluje realistické, synchronizované a různorodé strategie hackerů s cílem otestovat a zlepšit obranné mechanismy organizací.

Experti tak využívají kombinaci kybernetických útoků, sociálního inženýrství i fyzických průniků. Útoky jsou provedeny bez předchozího varování, aby se simulovaly reálné podmínky a společnost tak získala pravdivé hodnocení vlastní připravenosti.

Tento způsob simulovaného útoku se většinou provádí na firmy s dobrou úrovní kybernetické bezpečnosti, například na banky. Při snaze o fyzický průnik není výjimkou, že si pentesteři sídlo společnosti obletí dronem, zkoumají, jak se dají zfalšovat přístupové karty nebo jak by se daly obejít turnikety. A využívají dokonce i převleků (třeba za opraváře s žebříkem nebo falešného kurýra). Někdy se i nechají v testované firmě zaměstnat, aby měli fyzický přístup k zařízením firmy.

Ve chvíli, kdy takto fyzicky proniknou do společnosti, instalují do počítačů keyloggery (které zaznamenávají to, co uživatel píše na klávesnici) nebo umisťují USB disky s malwarem do firemních zařízení tak, aby je následně mohli ovládat na dálku.

Po dokončení útoků red team analyzuje úspěchy a selhání operace a poskytuje důkladnou zpětnou vazbu s podrobnými informacemi o slabých místech a účinnosti stávajících bezpečnostních opatření. Tato zpětná vazba je klíčová, neboť na jejím základě by organizace měly implementovat doporučení pro zlepšení svých bezpečnostních protokolů a praxí. Takový proces umožňuje organizacím proaktivně posílit své obranné strategie a zlepšit schopnost čelit pokročilým a cíleným útokům.

Nejzávažnější bezpečnostní rizika a jak je řešit

Pentesteři během své práce často narážejí na různé typy chyb, které mohou vést k závažným bezpečnostním incidentům. Jedním z nejčastějších problémů jsou podle Daniela Hejdy ze Cyber Rangers miskonfigurace, tedy chyby v nastavení a konfiguraci softwaru, hardwaru, aplikací nebo síťových systémů způsobené samotnými IT správci. Tyto chyby mohou otevřít brány útočníkům a umožnit jim snadný přístup do interních systémů.

Dalším běžným problémem jsou podle něj špatné implementace technologií, které jsou zranitelné již od svého nasazení. Tyto technické nedostatky mohou zahrnovat zranitelnosti typu cross-site scripting ve webových aplikacích.

Podle dalšího experta na kybernetické testování firem Pavla Matějíčka ze společnosti BOIT Cyber Security si zejména menší firmy často neuvědomují rizika, která s sebou přináší jejich online přítomnost. Podle něj mnohé z těchto společností mají pocit, že jako malé společnosti vytvářející „jen obyčejný produkt“ nejsou pro útočníky atraktivním cílem. To je ale omyl, protože útočníci často automaticky skenují internet za účelem hledání jakýchkoli zranitelností, a to bez ohledu na velikost nebo povahu firmy.

Práce etických hackerů je pro firmy prospěšná, protože nejen odhaluje potenciální hrozby, ale také poskytuje analýzu a vyhodnocení rizik spojených s těmito hrozbami. Důležitou součástí jejich práce je návrh konkrétních opatření, která mají za cíl tyto hrozby eliminovat nebo minimalizovat. Kromě technických řešení pentesteři často provedou po testování i školení zaměstnanců, které má za cíl zvýšit jejich povědomí o kybernetické bezpečnosti a naučit je, jak rozpoznat potenciální hrozby a reagovat na ně.

Tímto způsobem pentesteři pomáhají firmám aktivně zlepšovat jejich kybernetickou odolnost. To firmám poskytuje obrovskou výhodu, protože včasné odhalení a řešení bezpečnostních slabostí může zabránit vážným následkům, včetně finančních ztrát a poškození reputace.

Odborné znalosti a služby pentesterů nejenže pomáhají chránit citlivá data a zachovat provozní kontinuitu, ale také podporují důvěru klientů v digitální bezpečnost značky. V konečném důsledku, když jde o obranu proti hrozbám v kyberprostoru, vám etičtí hackeři mohou prokázat neocenitelnou službu.

Co si z článku odnést?

  • Služby etických hackerů se mohou stát efektivní součástí kyberbezpečnostních opatření firmy, pomáhají identifikovat zranitelná místa dříve, než to udělají útočníci. Tím zvyšují obranyschopnost proti potenciálním hrozbám.
  • Hledání zranitelností pomocí skenovacího softwaru je účinným způsobem, jak odhalit a opravit bezpečnostní mezery v IT infrastruktuře firmy, a tím předejít nákladným bezpečnostním incidentům.
  • Testovací phishingové kampaně, které simulují útoky sociálního inženýrství, jsou vhodným nástrojem pro zvýšení povědomí zaměstnanců o tom, jak rozpoznat podvodné pokusy a reagovat na ně.
  • Etičtí hackeři přispívají k vytváření ucelené strategie pro kybernetickou bezpečnost, a to nejen prostřednictvím identifikace technických zranitelností, ale také školení zaměstnanců a vytváření účinných bezpečnostních politik.




Petra Javornická Petra Javornická
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?

Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?

Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?
Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu
V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?
Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?
Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data
Jak vytvořit účinný Incident Response Plan v souladu s NIS2?

Jak vytvořit účinný Incident Response Plan v souladu s NIS2?

Jak vytvořit účinný Incident Response Plan v souladu s NIS2?
Získali jsme specializaci Fortinet Security Operations

Získali jsme specializaci Fortinet Security Operations

Získali jsme specializaci Fortinet Security Operations
AI v kybernetické bezpečnosti, 1. díl: od Turinga po deep learning

AI v kybernetické bezpečnosti, 1. díl: od Turinga po deep learning

AI v kybernetické bezpečnosti, 1. díl: od Turinga po deep learning
asd