Hlavní navigace

Patrick Müller, Sophos: Závodíme s kybernetickými zločinci, kdo bude lepší

16. 12. 2021
Doba čtení: 12 minut

Sdílet

 Autor: Sophos
S Patrickem Müllerem, regionálním manažerem společnosti Sophos pro východní Evropu, jsme probrali nedávná zjištění o ransomwaru, koncept ekosystému podnikového zabezpečení a přístup k partnerské síti.

Pokud jsem běžná organizace, jaký typ útoku mi dnes nejvíce hrozí?

Kybernetičtí zločinci používají širokou škálu nástrojů a typů útoků, nicméně nejčastější a nejrozšířenější hrozbou stále zůstává ransomware, tedy zašifrování dat a následné vymáhání výkupného za to, že útočník data opět zpřístupní. Dalším silným trendem, který s ransomwarem do jisté míry souvisí, je výhrůžka, že útočník ukradená data někomu prodá, případně je zveřejní. Pro řadu firem takový scénář představuje podstatně horší variantu, než kdyby o data „pouze“ přišly. Obecně pak platí, bez ohledu na typ útoku, že útočníci používají stále sofistikovanější technologie. V poslední době také zaznamenáváme výrazný narůst preciznějších, lidmi řízených útoků.

Pardon, ale běžné útoky neřídí lidé?

Kdepak, většina jich je automatizovaná. Na začátku je samozřejmě někdo musí naprogramovat, to ano, nicméně po spuštění útočné kampaně se vše zpravidla děje autonomně a útočník se, zjednodušeně řečeno, pouze dívá, jak mu přibývají bitcoiny v peněžence. Dnes nastává změna v tom, že se útočníkům vyplatí na některé útoky dohlédnout osobně, protože se tím výrazně zvyšuje pravděpodobnost úspěchu.

Hraje v tom roli rostoucí úroveň zabezpečení?

Jako zástupce bezpečnostního vendora musím doufat, že ano (směje se). Ale teď vážně, mezi útočníky a bezpečnostní komunitou odjakživa probíhá závod o to, kdo bude lepší – oni něco vymyslí, my najdeme způsob, jak se tomu ubránit, oni to zkusí jinak a důmyslněji a takhle to pokračuje pořád dokola. Jestliže narůstá sofistikovanost bezpečnostních řešení, útočníci logicky musejí hledat dokonalejší způsoby, jak je přelstít.

Vraťme se ještě na chvíli k ransomwaru. Existují statistiky, o jak rozšířený fenomén v dnešní době jde?

Existují, Sophos v první polovině letošního roku vydal studii The State of Ransomware 2021, která zkoumá přesně to, na co se ptáte, a bohužel to není moc hezké čtení. Konkrétně v České republice došlo k napadení 30 % oslovených organizací, přičemž více než polovina těchto útoků vedla k zašifrování dat.

Jen pro srovnání, v Polsku bylo za stejné časové období zasaženo 13 % organizací, zatímco v Německu to bylo 46 %, a v Rakousku dokonce 57 %. Zřejmě platí, že čím bohatší země, tím vyšší šance na dobré výkupné.

A co napadené firmy dělají? Platí?

Většina ne, nicméně podíl těch, které útočníkům peníze pošlou, výrazně narůstá – v roce 2020 to bylo 26 %, letos už je to 32 %.

Na kolik je to vyjde?

Standardní výkupné je 10 000 dolarů, čemuž v přepočtu odpovídá i 200 tisíc korun, které útočníkům v průměru platí české organizace. Výkupné ale občas může být mnohem vyšší. Rekordní suma, na kterou jsme v rámci studie narazili, byla 3,2 milionu dolarů a celkem deset respondentů zaplatilo milion dolarů nebo více. Teď ovšem nemluvím pouze o firmách z České republiky, ale globálně.

Vyplatí se vlastně posílat útočníkům peníze?

Ukázalo se, že pouze 8 % firem, které zaplatí, dostane zpět všechna ukradená data, zatímco zbývajícím 92 % se vrátí jen část, případně vůbec nic. Útočník vám sice po zaplacení výkupného zpravidla pošle dešifrovací klíč, ale nikde není záruka, že bude fungovat, a hackerské skupiny zpravidla nemají reklamační oddělení (usmívá se). Platit výkupné se tedy většinou nevyplácí, a to nemluvím o tom, že tato částka představuje jen zlomek celkových škod po napadení.

Jak velký zlomek?

Když zůstaneme u českých firem, průměrné výkupné činí 200 tisíc korun, ale průměrná výše celkové škody je 8,25 milionu korun, a to ještě musím zdůraznit, že jsme na tom zdaleka nejlépe ze všech sledovaných zemí – globální průměr je v přepočtu 41,1 milionu korun. Mimochodem, v roce 2020 to bylo „pouze“ 16,9 milionu, ani ne polovina.

Co se do těchto škod počítá? Jsou to výpadky provozu a podobně?

Přesně tak, je to součet přímých nákladů na obnovu dat a dalších dopadů na byznys dané organizace, ať už jde o odstávky systémů, nevyřízené objednávky a mnoho dalšího. Bohužel musíme očekávat, že s tím, jak se svět digitalizuje a jak se stále více spoléháme na IT systémy a data jako na kritickou součást byznysových procesů, budou výpadky po útocích pro firmy čím dál bolestivější.

A předpokládám, že náklady na bezpečnostní řešení, která by těmto výpadkům mohla zabránit…

Jsou řádově nižší, ano (usmívá se).

Jaká forma zabezpečení podnikových dat by podle vás měla být v dnešní době standardem?

Kdybych měl odpovědět realisticky, tak alespoň nějaká. Řada podniků, týká se to zejména malých firem, bohužel bezpečnost dlouhodobě podceňuje a namísto proaktivního přístupu doufají, že budou mít štěstí a útočníci se jim vyhnou. Vzhledem k číslům, o kterých jsme mluvili před chvílí, je ale tento způsob uvažování velmi riskantní.

Pokud budeme mluvit o opačném konci spektra, tedy o takové formě zabezpečení, po jejímž nasazení může firma oprávněně říct „udělali jsme vše, co jsme mohli“, dostáváme se ke komplexním ekosystémům, které zahrnují vzájemně propojená ochranná řešení pro sítě, koncové body a cloudová prostředí, analytické a monitorovací nástroje, umělou inteligenci, kvalifikovanou lidskou obsluhu a samozřejmě obrovské množství dat z celého světa. V Sophosu tomuto konceptu říkáme Adaptive Cybersecurity Ecosystem.

O sběr a zpracování těchto dat se stará samotný Sophos? Chápu to správně?

Přesně tak, máme vytvořenou globální síť, která sbírá threat intelligence, jinými slovy analytická data, z řešení nasazených v prostředích tisíců našich zákazníků po celém světě. Všechna tato data tečou k nám, vytvářejí obrovský data lake, my je centrálně analyzujeme v našich laboratořích a v reálném čase v nich pátráme po podezřelých signálech, které naznačují hrozící útoky.

Adaptive Cybersecurity Ecosystem obecně stojí na pěti pilířích, kterými jsou threat intelligence, next-gen technologie, data lake, otevřené API a centralizovaná správa. Díky tomu, jak je celý ekosystém nastaven, je velmi přizpůsobivý a využívá získané informace k tomu, aby se neustále učil a zlepšoval. Zároveň je velmi flexibilní a nabízí zákazníkům řadu různých prvků, které si mohou poskládat do řešení, jež vyhovuje jejich potřebám.

Dobrá, ale kdybych byl malá firma, tak bych řekl, že to, co popisujete, je moc hezké, ale já si to v životě nebudu moct dovolit. Už jen pozice specialisty na IT security bývá pro mnoho podniků spíše sci-fi...

Samozřejmě máte pravdu, ale tohle je přesně ten důvod, proč jsme za poslední rok zaznamenali 67% nárůst v oblasti MSP, tedy poskytovatelů řízených služeb. Drtivá většina organizací si skutečně nemůže dovolit zajistit si špičkové zabezpečení vlastními silami, protože to vyžaduje velké investice do technologií i zaměstnanců.

Dobrá zpráva ovšem je, že na trhu působí mnoho partnerů, kteří se na tuto oblast specializují, provozují vlastní SoC, zaměstnávají špičkové experty a jsou schopní nabídnout své kapacity zákazníkům formou služby.

V Sophosu se držíme zásady, že žádný zákazník není příliš malý, a snažíme se nastavit naši nabídku bezpečnostních nástrojů tak, aby byla přístupná skutečně komukoliv bez ohledu na velikost a zaměření. Segment menších zákazníků považujeme za jednu z našich priorit, a není proto úplná náhodoua, že Sophos získal ocenění 2021 ChannelPro SMB All-Star právě za pozitivní vliv na oblast SMB.

Vstříc potřebám firem, které nedisponují potřebnými zdroji, vycházíme kromě jiného prostřednictvím Sophos Managed Threat Response, což jsou schopnosti moderního SoC, poskytované formou plně spravované služby, nebo Sophos Rapid Response, což je služba, v rámci níž bezpečnostní experti eliminují právě probíhající útok a následujících 45 dní pak monitorují síť zákazníka a přijímají adekvátní opatření pro minimalizaci dopadů.

Dostali jsme se k důležitému tématu partnerů. Popsal byste prosím přístup Sophosu k jeho partnerské síti?

Sophos dlouhodobě funguje na principu „channel first“ a veškeré aktivity a investice směřujeme k tomu, aby naši partneři měli ideální zázemí pro rozvoj svého byznysu. Základem je samozřejmě poskytování obchodní, marketingové i technické podpory, ať už přímo, nebo prostřednictvím našich VAD distributorů, ale také zajištění možností vzdělávat se a budovat si nové dovednosti a poskytování potřebných informací.

Co se týče posledního bodu, letos jsme spustili portál Sophos Trust Center, který nabízí užitečné materiály od obecných doporučení až po plány reakcí na incidenty, zásad životního cyklu bezpečného vývoje, návody na odpovědné zveřejňování informací a mnoho dalšího. Tyto informace mohou posloužit nejen k edukaci partnerů, ale také zákazníků i širší veřejnosti.

Dále bych rád dodal, že podobně jako pro nás není příliš malý zákazník, není pro nás příliš malý partner. V našem ekosystému je místo jak pro skutečně velké a zkušené hráče, kteří znají naše technologie podobně dobře jako naši vlastní inženýři, tak pro drobné lokální partnery, jejichž hlavním přínosem je znalost místního prostředí, zákazníků a jejich problémů.

Zároveň platí, že investujeme čas a prostředky do toho, aby se zejména tito menší partneři mohli vzdělávat, získávat certifikace a rozvíjet své znalosti. Vzdělaný partnerský kanál musí být pro bezpečnostního vendora jasnou prioritou.

Za velkou přidanou hodnotu pak považuji, že nabízíme nejen velmi široké portfolio bezpečnostních produktů, mezi kterými si partner může vybírat, ale také efektivní nástroje pro jejich správu. V tomto ohledu bych vyzdvihl zejména platformu Sophos Central, která partnerům umožňuje centrálně řídit produkty nasazené u jejich zákazníků přes jednotnou cloudovou konzoli, svými funkcemi přispívá ke zvýšení retence a přináší nové příležitosti pro up-sell a cross-sell. Nabízíme její vyzkoušení zdarma, stačí si založit účet na https://central.sophos.com/.

Jak se obecně daří Sophosu ve světě a u nás?

Naše globální pozice je dlouhodobě silná. Pravidelně se umiísťujeme mezi lídry v Magic Quadrantu společnosti Gartner pro oblast ochrany koncových bodů a mezi vizionáři v oblasti síťových firewallů a čerstvě jsme se stali i bezpečnostním vendorem roku v rámci European IT & Software Excellence Awards 2021.

Máme za sebou také dvě čerstvé akvizice. Letos v červenci Sophos převzal společnost Capsule8, která vyvinula zajímavou technologii pro zabezpečení linuxových serverů a cloudových kontejnerů, a o měsíc později koupil firmu Refactr a její platformu pro automatizaci DevSocOps. Od obou dohod očekáváme další posílení našeho ekosystému.

Co se týče přímo českého trhu, hlavní novinkou z poslední doby je příchod nového kolegy Ondřeje Hubálka na pozici senior sales inženýra. Ondřej má na starosti předprodejní podporu distributorů, partnerů a jejich zákazníků, předprodejní analýzy potřeb zákazníků a navrhování řešení. Přijali jsme ho především v reakci na obrovský nárůst obchodních příležitostí, čímž vlastně odpovídám na otázku, jak se nám daří v Česku a na Slovensku (usmívá se).

Co očekáváte od následujících let?

Channelworld_ozveny

Předesílám, že bohužel nemám křišťálovou kouli, nicméně očekávám pokračování trendu, o kterém jsme hovořili na začátku, tedy rostoucí sofistikovanosti nástrojů jak pro vedení útoků, tak pro obranu před nimi. Je pravděpodobné, že vlivem toho bude nutné navázat ještě užší spolupráci a sdílení informací mezi námi, partnery a zákazníky, aby celý ten řetězec zůstal silný. Zásadní prioritou bude, aby zákazník nezůstal stranou. Pokud nebude mít své místo u stolu a nebude s ním probíhat dialog, výrazně se tím sníží šance na to, aby byl spolehlivě ochráněn.

Zdroj: ChannelWorld

Byl pro vás článek přínosný?

Čtěte dále

Reportáž: Dusíková show a spousta novinek na eD Expo 2024
Reportáž: Dusíková show a spousta novinek na eD Expo 2024
IDC: Dodávky nositelné elektroniky by příští rok mohly růst dvouciferně
IDC: Dodávky nositelné elektroniky by příští rok mohly růst dvouciferně
TD Synnex bude i nadále distributorem VMware by Broadcom v České republice
TD Synnex bude i nadále distributorem VMware by Broadcom v České republice
GFI Software: Úspěšnost útoků zvyšuje podceňování hrozeb i neopatrnost uživatelů
GFI Software: Úspěšnost útoků zvyšuje podceňování hrozeb i neopatrnost uživatelů
Fortinet se připojuje k iniciativě EK ohledně vzdělávání v kyberbezpečnosti
Fortinet se připojuje k iniciativě EK ohledně vzdělávání v kyberbezpečnosti
N-able: K přechodu na MSP služby motivují hlavně výpadky IT
N-able: K přechodu na MSP služby motivují hlavně výpadky IT