Bezpečnost ve firmě očima útočníka

CISO (Chief Information Security Officer) a manažeři kybernetické bezpečnosti často vnímají své prostředí z makroperspektivy, kdy vidí jako objekt k ochraně celek, spíše než jednotlivé části, které jej tvoří.

U kyberútočníků to však neplatí. Každá síť, zařízení, systém nebo aplikace představuje samostatnou příležitost ke zneužití. A co víc, ve světě hluboce propojených technologií a obchodních partnerství, která přinášejí výraznou efektivitu v návratnosti investic, mohou nejslabší články tohoto výrobního řetězce snadno způsobit, že se obrazný „celek“ zhroutí zevnitř.

Vedení se tak ocitá v situaci, kdy musí sladit obchodní a technologické potřeby, a zároveň projevit dostatečnou opatrnost před tím, než se zaváže k jednotnému, univerzálnímu bezpečnostnímu přístupu. Místo toho by se mělo snažit vidět svou bezpečnost očima útočníka a zaujmout vůči vlastnímu prostředí ofenzivní postoj.

Vžít se do role útočníka

Termín offensive security (OffSec) není nový. Ofenzivní praktiky jako red teaming, penetrační testování a kontroly zranitelností jsou standardními přístupy, které by neměly být žádnému CISO cizí. Není to však přesně to, co má tento článek na mysli.

Zatímco ofenzivní přístup může bezpečně otestovat prostředí proti útokům z reálného světa, tento přístup nemusí zohlednit specifický pohled útočníka ani jeho skutečné TTPs. Je zřejmé, že interní bezpečnostní tým nebude mít k dispozici stejné nástroje ani zkušenosti.

Aby se tento rozdíl překlenul a aby bylo možné lépe porozumět tomu, v čem jsou hackeři nejlepší, musí manažeři kyberbezpečnosti přijmout myšlení svých protivníků.

Dívejte se jeho očima

Útočníci především milují, když se mohou co nejdéle vyhýbat detekci. Na začátku mohou skenovat otevřená místa v síti, nezabezpečenou VPN či SQL servery, nebo mohou jednoduše vytvořit cílený spear phishing, aby získali něčí přihlašovací údaje — a jsou uvnitř.

Ať už zvolí jakoukoli cestu, je jedno jasné: sází na to, že bezpečnostní týmy nezjistí počáteční kompromitaci, a útok přeroste ve skutečně vážný incident. Děje se to často proto, že interní SOC týmy jsou personálně poddimenzované, což může být příčinou toho, že útočník zůstáne ve vašem prostředí měsíce bez povšimnutí. Důvodem je ale možná i to, že SOC týmy nedostatečně analyzují detekci.

Někdy jde o problém dovedností. Jindy jde o rozsah, kdy firmy nemohou plně pokrýt celou svou síť (vlivem velkého technického dluhu). V každém případě je skutečným problémem viditelnost. Nemůžete chránit to, co nevidíte. Útočníci to vědí, a také proto mají tendenci útočit během nejrušnějších pracovních hodin (dle telemetrie ESET MDR).

Nezmeškejte nic důležitého

Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.

ODEBÍRAT NOVINKY

Útočníkova strategie

Kybernetičtí útočníci jsou navíc neustále v pohybu. Ransomware, jako například gang Warlock, může mít na svém kontě jen několik veřejných obětí, útočníci ale enormně pokročili ve svých technologiích a zavedli inovativní a nebezpečné techniky vyhýbání se detekci.

„Významným trendem, který s námi zůstane i v roce 2026, je rostoucí popularita takzvaných ‚EDR killers‘ – nástrojů určených k vypnutí bezpečnostních řešení pro detekci a reakci na koncových zařízeních uživatelů. To potvrzuje, že kvalitní ochrana je pro útočníky překážkou, kterou se snaží aktivně eliminovat,“ říká Jakub Souček z ESETu.

Přístup k bezpečnosti musí odrážet měnící se prostředí hrozeb. Jak? Přehodnoťte svůj současný postoj/strategii. Příliš vágní? Jděte hlouběji. Odráží vaše bezpečnostní platforma a její ochranné moduly potřeby vaší společnosti? Jsou detekční pravidla ve vašem řešení EDR/XDR aktuální? Dokážou detekovat techniky BYOVD (Bring Your Own Vulnerable Driver)? Firma může v následujících letech přežít jen díky tomu, že vedení zůstane dynamické.

Pohybujte se uvnitř sítě jako útočník

Rozdíl mezi kompromitací a prevencí může být pouhých šest minut. Pokud jste společnost působící ve vysoce rizikovém odvětví, například ve výrobě, pravděpodobně nechcete ochromit svou produkci na několik měsíců, což u některých doslova stojí miliardy dolarů. Útočníci také nechtějí, abyste to udělali. Naopak by raději zůstali v utajení, pohybovali se uvnitř sítě a vyčkávali na správnou příležitost.

Myslet je teorie. Pohyb je praxe. Pokud nedokážete činit rozhodnutí během minut — tedy spíše sekund — jste v tomto kyber boji na straně poražených. Také nechcete, aby mezi bezpečnostní konzolí, jejími moduly a dodatečným lidským vstupem docházelo ke tření. Útočníci se z velké části spoléhají na to, že malware udělá velkou část práce za ně.

Přizpůsobivost je proto pro obránce stejně zásadní jako pro útočníky.  A to včetně agilní reakce, která kombinuje automatizaci s lidským prvkem nutným k protiakci.

Otestujte svou připravenost

Je snadné usnout na vavřínech. Vedení možná stačí vidět několik zaškrtnutých políček s označením „kyber“, a možná to nechat být. Svět se ale změnil a takový přístup neuspokojí pojišťovny ani nepřesvědčí regulátory o vaší připravenosti. A také nezastaví pokročilé perzistentní hrozby, které si najdou svou cestu.

Přesto seznamy k odškrtnutí pomáhají — pokud je dokážete využít ve svůj prospěch. Když se pokoušíte profilovat sami sebe očima útočníka, dívejte se na položky seznamu jako na něco, čeho nechcete jen dosáhnout, ale také to otestovat. Buďte útočník, vydejte se na lov a zjistěte, jak obstojíte vůči vlastním předpokladům tím, že:

• Poznáte svého nepřítele: Jedna věc je používat určitou bezpečnostní platformu k obraně proti útokům, ale úplně jiná věc je rozumět nástrojům skutečných útočníků. Možná proti vám nebudou používat XDR, ale klidně mohou nasadit legitimní RMM nástroje nebo podepsané ovladače, aby unikli detekci, společně s jejich vlastním proprietárním nebo MaaS (Malware as a Service) škodlivým kódem.
  
  
• LARPujete jako útočník: Přijměte roli naplno a odrážejte skutečné útoky stejně jako při testování ve firmě. Ověřte, zda vaši zaměstnanci a systémy dokážou odolat pokročilým útokům pomocí scénářů uvedených ve znalostní bázi MITRE ATT&CK a pomocí externě získané, na míru šité threat intelligence proti vašim systémům. Pokud máte pocit, že na to interně nemusí být kapacita, zvažte profesionální externí posouzení.
  
  
• Poskytujete zpětnou vazbu: Přetavte ofenzivní zkušenost do skutečné zpětné vazby. Otestujte reakční dobu svého SOC oddělení a „úzká hrdla“ při řešení incidentů. Ověřte svou strategii kybernetické odolnosti tím, že záměrně zneužijete své slabé body. Obrovskou výhodou je, že takové simulace mohou zmapovat již neužitečné části vaší sítě, zefektivnit provoz a snížit zbytečné IT výdaje.

Všechno je to otázka pohledu

Tím, že se budete na své systémy dívat jako útočník, by získané poznatky měly pomoci transformovat pohled na kybernetickou bezpečnost ve firmě. Navíc také otestujete schopnost CISO či manažerů dynamicky upravovat nastavení prostředí v kontextu nejnovějších škodlivých bezpečnostních trendů.

Můžete se spolehnout jednoduše na svou zvolenou platformu a bezpečnostní analytiky, kteří ji používají, ukáže vám to ale jen jednu stranu příběhu. Bez kritického myšlení nelze vytvořit solidní názor, aniž by došlo k ověření obou stran příběhu.