EN

Bezpečnost v IT: Aneb milion a jeden problém

Autor: Michal Odcházel

Když se řekne bezpečnost, co si vybavíte? Může to být bezpečnost v autě nebo třeba ochrana zdraví. My se ale dnes zaměříme na bezpečnost v IT, a věřte, že tady je toho opravdu hodně k řešení.

Téma bezpečnosti je aktuální jako nikdy předtím - kybernetické útoky přibývají a stávají se sofistikovanějšími. Navíc Evropská unie, potažmo Česká republika zavádí nové směrnice, jako jsou NIS2 a DORA, které kladou na bezpečnost ještě vyšší nároky.

V oblasti IT sektoru bych to rozdělil na několik hlavních témat:

Než se pustíme do podrobností, je tu jedno pravidlo, které platí ve všech těchto oblastech: “Zero trust” - nevěřte nikomu a ničemu. Možných útoků je nespočet, a proto se zaměříme na ty klíčové hrozby, které byste rozhodně neměli podceňovat.

Bezpečnost kanceláří

Bezpečnost kanceláří a pracovních stanic

Máte kolem sebe kolegy, kteří zanedbávají aktualizace svých zařízení? Mohou se tak stát snadným cílem útoků, aniž by si toho byli vědomi. Není neobvyklé, že se na dark webu prodávají přístupy k napadeným počítačům, často za pouhých 20 dolarů. Dokonce i v jedné nejmenované nemocnici byly dostupné přístupy až k deseti pracovním stanicím, právě kvůli neaktualizovanému operačnímu systému a chybějícím bezpečnostním záplatám.

Možná znáte kolegy, kteří si nejsou jistí, zda mohou bezpečně kliknout na odkaz v e-mailu. Zatímco lidem z IT se to stává méně často, vaši příbuzní mohou být snadným terčem phishingu. Infikovaný počítač ve stejné domácí síti pak může ohrozit i vaše pracovní zařízení.

A co situace, kdy potřebujete něco rychle vyřešit a ta Free wifi zone je velkým lákadlem? Připojení k citlivým systémům přes nezabezpečenou wifi může být velmi rizikové. Počítače a servery v kanceláři by nikdy neměly být veřejně dostupné z internetu - vždy je zabezpečte VPN připojením.

Jak se chránit?

  • Osvěta je klíčová. Informujte nejen kolegy, ale i své blízké o důležitosti bezpečnostních záplat a pravidelných aktualizací.
  • Mějte přehled o zařízeních, jejich operačním systému, verzích prohlížeče a dalších kritických aplikacích.
  • Používejte VPN k ochraně přístupu k interním systémům, zvláště při připojení z veřejných sítí.

Bezpečnost infrastruktury

Bezpečnost infrastruktury

Narazili jste někdy na firmu, která měla problém kvůli špatně nakonfigurovaným serverům nebo síťovým prvkům? Není to neobvyklé. Stačí jeden otevřený port, veřejně přístupná databáze nebo chybně nastavený firewall a útočníci mohou snadno proniknout k citlivým datům. I velké organizace se potýkají s tím, že zapomenou zabezpečit přístupy, což vede k vážným bezpečnostním incidentům.

Další častou slabinou je nedostatečné logování a monitoring. Když dojde k útoku, často zjistíte, že klíčové události nebyly logovány nebo chybí metriky. Logování je však základním prvkem bezpečnosti, díky kterému se vůbec dozvíte, že k útoku došlo. Bez adekvátního logování a monitoringu může být firma pod útokem dlouhé týdny nebo dokonce měsíce, aniž by o tom měla tušení. Útočníci této slabiny rádi využívají, protože bez dostupných logů je obtížné zpětně zjistit, co se vlastně stalo, a provést adekvátní nápravu.

Mnoho firem podceňuje význam ochrany pomocí WAF (Web Application Firewall). Tento typ firewallu dokáže zachytit útoky ještě před tím, než se dostanou k vašim aplikacím, a tím výrazně snižuje riziko napadení.

A co DDoS útoky? Pokud si myslíte, že se vás to netýká, možná se mýlíte. Útočníci mohou během krátké chvíle zahltit vaše servery, což může vést k výpadku klíčových služeb a obrovským finančním ztrátám. Ochrana proti těmto útokům je dnes nezbytná.

Dále je důležité, aby kritické části infrastruktury byly umístěny pod VPN. To minimalizuje riziko neoprávněného přístupu z internetu a zvyšuje celkovou bezpečnost.

Mnoho firem také nemá definovaný Disaster Recovery Plan (DRP), tedy plán pro obnovu po incidentu. Bez něj se zvyšuje riziko dlouhých výpadků a ztráty dat, což může mít fatální důsledky.

Jak z toho ven?

  • Mějte dostupné metriky a logy, které vám pomohou sledovat a analyzovat události v reálném čase. Klíčovým prvkem je tzv. observability, která zahrnuje nejen logování a metriky, ale také další aspekty, jako je tracing (sledování transakcí napříč systémy). Observability umožňuje důkladně pochopit, co se v systémech děje, a identifikovat problémy rychleji než při použití jednotlivých nástrojů zvlášť. Bez kvalitního monitoringu a observability nebudete schopni reagovat na incidenty včas a efektivně je řešit.
  • Používejte WAF, aby se škodlivý provoz zastavil ještě předtím, než zasáhne vaše aplikace.
  • Umístěte kritické služby pod VPN, abyste omezili riziko útoků z internetu.
  • Mějte definovaný DRP (Disaster Recovery Plan), který zajistí rychlou obnovu služeb po incidentu.

Bezpečnost infrastruktury není jen o správném nastavení, ale o neustálém monitoringu, testování a připravenosti na incidenty.

Bezpečnost aplikací

Bezpečnost aplikací

Bezpečnost aplikací je klíčová součást celkového zabezpečení IT infrastruktury. Moderní aplikace jsou složité systémy, které využívají různé knihovny a komponenty, často z open-source zdrojů. To přináší výhody, ale také velká bezpečnostní rizika, pokud nejsou správně spravovány. Níže uvádíme hlavní hrozby a doporučení, jak se proti nim bránit.

Logování aplikací

Bez kvalitního logování nemůžete efektivně monitorovat činnost aplikace ani odhalit podezřelé aktivity. Logy jsou klíčové pro analýzu incidentů a hledání zranitelností.

Doporučení: Logujte všechny přístupy, chyby a neobvyklé události. Používejte centralizované logování (např. ELK stack) pro snadnou analýzu.

Kontinuální revize (CR) a analýza zranitelností

Pravidelné bezpečnostní kontroly jsou nutné k odhalení nových zranitelností, které mohou vzniknout změnou kódu nebo aktualizací knihoven.

Doporučení: Využívejte nástroje pro automatizovanou analýzu kódu a pravidelně provádějte penetrační testy.

Implementujte proces kontinuální revize (CR) jako součást vývoje.

SBOM (Software Bill of Materials) a sledování zranitelností Moderní aplikace využívají mnoho závislostí, které mohou obsahovat skryté zranitelnosti. Vytvořením SBOM získáte přehled o všech použitých knihovnách a jejich verzích.

Doporučení: Sbírejte SBOM pro každou aplikaci a pravidelně analyzujte závažnost zranitelností pomocí nástrojů jako Snyk nebo OWASP Dependency-Track.

Pravidelná analýza zranitelností (OWASP)

Aplikace mohou být zranitelné různými útoky, například injekčním útokům (SQL Injection) nebo Cross-Site Scriptingu (XSS). OWASP Top 10 seznam obsahuje nejčastější typy zranitelností, na které byste se měli zaměřit.

Doporučení: Implementujte pravidelné skenování zranitelností a používejte nástroje na analýzu bezpečnosti, například OWASP ZAP nebo Burp Suite.

Aktualizace jazyka a frameworku

Staré verze programovacích jazyků a frameworků často obsahují známé zranitelnosti, které mohou útočníci snadno zneužít.

Doporučení: Pravidelně aktualizujte používaný jazyk a framework na nejnovější stabilní verzi a sledujte vydané bezpečnostní záplaty.

Nejčastější hrozby v oblasti vývoje softwaru

1. Injekční útoky (SQL Injection, Command Injection)

Injekční útoky využívají špatně ošetřené vstupy. Útočník může vložit škodlivý kód, který se vykoná na serveru, což může vést k úniku dat nebo narušení systému.

Prevence: Používejte parametrizované dotazy, validujte vstupy a implementujte WAF (Web Application Firewall).

2. Cross-Site Scripting (XSS)

XSS umožňuje útočníkovi vložit škodlivý skript, který se spustí v prohlížeči uživatele, což může vést ke krádeži cookies nebo tokenů.

Prevence: Escapeujte výstupy a používejte Content Security Policy (CSP).

3. Zranitelnosti třetích stran

Knihovny a závislosti mohou obsahovat zranitelnosti, které jsou často snadno zneužitelné. Zde třeba najdete hezký příklad z praxe.

Prevence: Pravidelně aktualizujte závislosti, sledujte CVE a analyzujte rizika pomocí SBOM.

4. Úniky přihlašovacích údajů a API klíčů

Omylem nahrané klíče do veřejných repozitářů jsou častou chybou, kterou útočníci snadno zneužijí.

Prevence: Používejte nástroje jako GitGuardian a ukládejte klíče v bezpečnostních službách typu Vault.

Bezpečnost aplikací musí být součástí celého vývojového procesu. Nezapomeňte na pravidelné testování, průběžné aktualizace a školení týmu, abyste minimalizovali riziko bezpečnostních incidentů.

A teď ještě jednou: “Zero trust” nebo-li Nevěř nikomu, ani sobě!

Zero trust

Rady na závěr

Seznam aktiv a přístupů: Mějte detailně zpracovaný přehled všech aktiv (servery, aplikace, zařízení) a přiřaďte k nim zodpovědné osoby s jasně definovanými přístupy a oprávněními. Dvoufaktorová autentizace (2FA): Aktivujte dvoufaktorovou autentizaci všude tam, kde je to možné, aby se snížilo riziko neoprávněného přístupu. Incident plán: Mějte připravený plán pro řešení incidentů, kde bude jasně uvedeno, co dělat při narušení bezpečnosti a kdo je zodpovědný za jednotlivé kroky. Pravidelné revize oprávnění: Pravidelně kontrolujte a aktualizujte oprávnění uživatelů, aby nikdo neměl přístup, který již nepotřebuje. Analýza rizik: Vytvořte dokument s přehledem bezpečnostních rizik a pravidelně vyhodnocujte jejich závažnost, aby byla přijata adekvátní bezpečnostní opatření. Průběžná osvěta a školení: Nezapomeňte na pravidelné školení zaměstnanců v oblasti bezpečnosti. Informovanost a prevence jsou nejlepším způsobem, jak předcházet incidentům.

Bezpečnost v IT je dynamické a komplexní téma, které si žádá neustálou pozornost a zlepšování. Doufám, že vám tento článek poskytl užitečné tipy a vhled do hlavních hrozeb, kterým v dnešní době čelíme. Mějte na paměti, že kybernetické útoky se stále vyvíjejí, a proto musí být nastavena preventivní opatření a naše reakce rychlá, promyšlená.

Chcete se dozvědět víc? Sledujte naše novinky a přihlaste se k odběru, protože již brzy se podíváme na jednotlivé hrozby více do hloubky a také na to, co pro nás znamenalo získání certifikace ISO 27001. Buďte s námi na cestě k bezpečnějšímu IT světu!