Objavte, čo v praxi znamená nepretržitá ochrana – James Rodewald vysvetľuje, prečo je ESET MDR službou, ktorú sa oplatí mať.
Podujatie ESET World 2025 spojilo špičkových odborníkov na kybernetickú bezpečnosť z rôznych oblastí, a ako sa dalo čakať, prinieslo aj konkrétne príklady toho, čo firmám skutočne pomáha zostať v bezpečí. Jedným z nich bola aj prezentácia Jamesa Rodewalda, analytika bezpečnostného monitoringu v spoločnosti ESET.
Vo svojej prednáške s názvom „Zostaňte v bezpečí so službou ESET MDR“ sa zameral na najväčšie výzvy, ktorým čelia IT správcovia, a ukázal, ako im služba riadenej detekcie a reakcie (MDR) šetrí čas a zvyšuje efektivitu. Nechýbal ani príbeh o kompromitovanej sieti VPN.
Jeden deň v živote IT správcu
IT správcovia musia denne balansovať medzi množstvom úloh. Kybernetická bezpečnosť je často len jednou z mnohých položiek na zozname, ktorej sa nie vždy dostáva toľko pozornosti, koľko by si zaslúžila.
Jednou z hlavných výziev v oblasti firemnej bezpečnosti je rozpočet. Vybudovanie plnohodnotného bezpečnostného operačného centra (SOC) môže byť finančne náročné, najmä ak má pokrývať stovky zariadení, čo si vyžaduje čas a množstvo úsilia. Niektoré firmy sa domnievajú, že dvaja zamestnanci zvládnu prevádzku celého SOC, no Rodewald s týmto prístupom rozhodne nesúhlasí: „Nemohli by systémy monitorovať nepretržite. […] Ak sa niečo stane v noci alebo počas ich dovolenky, môže to mať vážne následky.“
Rodewald nechce IT profesionálov odradiť, no upozorňuje, že existujú oblasti, kde je nevyhnutná pomoc odborníkov na bezpečnosť: „IT správcovia sú šikovní. Vedia, čo robia. Budujú skvelé systémy, ktoré spolu komunikujú – a to je úžasné. Ale nie vždy dokážu rozpoznať, keď niekto zámerne manipuluje s ich sieťou. A práve tam vzniká riziko.“
ESET MDR prichádza na pomoc
Služba ESET MDR poskytuje IT správcom dodatočnú podporu v boji proti hrozbám, a to aj vtedy, keď sú zaneprázdnení každodennými úlohami. Je obzvlášť prínosná pre menšie firmy, ktoré nemajú v rámci svojich IT oddelení vlastný bezpečnostný tím, pretože im umožňuje rýchlo posilniť úroveň ochrany. Rodewald opísal službu takto: „Je to ako nastaviť a zabudnúť. […] Zákazníci chcú, aby niekto monitoroval ich systémy, upozornil ich, ak sa niečo stane, povedal, čo sme urobili na nápravu a či je potrebné prijať nejaké opatrenia.“
ESET MDR je nepretržitá služba správy hrozieb pre menšie firmy, ktorá kombinuje umelú inteligenciu s odbornými znalosťami na zaistenie prvotriednej ochrany bez potreby interných bezpečnostných špecialistov. Zatiaľ čo vy sa venujete svojim hlavným povinnostiam, ESET dokáže do 20 minút zablokovať, zastaviť a neutralizovať škodlivé aktivity.
Aj základná verzia služby MDR ponúka zabezpečenie na úrovni veľkých firiem, a to vďaka odborníkom vyškoleným na zastavenie bezpečnostných incidentov, ktorí pracujú s najnovšími informáciami o hrozbách. V prípade komplexnejších IT prostredí s väčším rozsahom je však potrebné zájsť ešte ďalej. Takéto prostredia si vyžadujú špecifický prístup, ktorý sa prirodzene začlení do existujúcej bezpečnostnej infraštruktúry väčšej organizácie.
Ako uviedol Rodewald, služba ESET MDR Ultimate je určená „pre zákazníkov, ktorí chcú byť s nami v priamom spojení počas monitorovania ich prostredia v reálnom čase. […] Výhody tejto služby siahajú od tvorby vlastných pravidiel a upozornení [cez] optimalizáciu bezpečnostného prostredia… až po odhaľovanie nezabezpečených zariadení. V rámci týchto aktivít pomáhame zvyšovať úroveň procesov aj prevádzky, riešime nápravu incidentov a dokonca upozorňujeme na nezabezpečené zariadenia, ktoré sú, žiaľ, častou vstupnou bránou pre hrozby.“
ESET MDR Ultimate dokonale spája technológiu ESET s odbornými znalosťami z oblasti digitálnej bezpečnosti s cieľom efektívne a proaktívne odhaľovať a riešiť akékoľvek hrozby. Ide o službu šitú na mieru, ktorá funguje ako bezpečnostný dáždnik na úrovni SOC – schopný chrániť aj komplexné IT prostredia so špecializovanými bezpečnostnými tímami.
Rodewald zároveň vyzdvihol reporty, ktoré ESET MDR Ultimate generuje, a vysvetlil, že ide o ľudský prístup založený na spolupráci odborníkov z oboch strán, ktorí spoločne pracujú na tvorbe efektívnejších pravidiel a ochranných mechanizmov. Práve táto spolupráca prináša zákazníkom výraznú pridanú hodnotu.
Detekcia do 20 minút
Služba ESET MDR si u všetkých zákazníkov udržiava čas detekcie do 20 minút. Reakcia na incident trvá v súčasnosti 1 minútu a jeho vyriešenie približne 5 minút. Tento výkon je možný vďaka nepretržitému monitorovaniu v štýle SOC a neustálemu zlepšovaniu rozhodovacích procesov tímov MDR s každou novou detekciou.
Rodewald vysvetľuje, že za touto rýchlosťou detekcie a reakcie služby ESET MDR stojí aj tréningový režim: „Pri každom tréningu si kladieme otázku, či sme si to mohli všimnúť aj skôr. Ak áno, chceme sa zlepšiť. A tiež sa pýtame, či by ste vedeli túto [hrozbu] identifikovať, keby ste ju videli v reálnom prostredí.“ Príslušné tímy zároveň sledujú výskum v oblasti kybernetických hrozieb, aby dokázali rozpoznať aj také, s ktorými sa ešte nestretli.
Vďaka tomu dokážu tímy MDR spoločnosti ESET spoľahlivo odlíšiť falošné poplachy od skutočných detekcií, flexibilne aplikovať nové reakčné scenáre a prostredníctvom školení udržiavať znalosti analytikov neustále aktuálne. Pre interné tímy (najmä tam, kde IT špecialisti riešia všetko) môže byť takýto prístup náročný. Práve preto sú tu analytici spoločnosti ESET vyškolení na zvládanie tohto začarovaného kruhu.
Príbeh z praxe
Rodewald sa podelil o skutočný prípad, ktorý ukazuje silu služby ESET MDR v praxi – skupine FIN7 sa podarilo preniknúť do firemnej siete cez škodlivú VPN. Napadnutá firma mala rozsiahlu globálnu infraštruktúru s viacerými pobočkami a útok sa odohral ešte dva až tri mesiace predtým, než začala využívať služby ESET. Hoci mala nasadené riešenie XDR, nikto ho aktívne nesledoval, čo sa ukázalo ako recept na katastrofu.
Tesne pred búrkou
Na začiatku útoku niekto pomocou PowerShellu vytvoril externé sieťové pripojenie, čo následne viedlo k inštalácii premenovaného nástroja na vzdialené monitorovanie a správu (RMM) – LiteManager. Zaujímavý bol aj skript PowerShell s názvom PowerTrash, ktorý mal viac než 6 000 riadkov.
Následne tento nástroj RMM, premenovaný na romfusclient.exe, spustil ďalší reťazec príkazov, ktorého cieľom bolo nainštalovať backdoor pre OpenSSH. „Tento backdoor by komunikoval so vzdialeným riadiacim (C&C) serverom a umožnil by útočníkovi vytvoriť tunel cez napadnuté zariadenie a ďalej útočiť na ostatné zariadenia v sieti,“ vysvetlil Rodewald.
Ako služba ESET MDR Ultimate zasiahla v pravý čas
Krátko po nasadení služby ESET MDR Ultimate zachytili analytici laterálny pohyb v sieti cez vzdialene naplánované úlohy. Opäť sa spustil skript PowerTrash. „Jeho cieľom bolo získať prihlasovacie údaje a načítať do pamäte malvér Spy.Sekur. V tom momente sme vedeli, že ide o skupinu FIN7 – Spy.Sekur používajú len oni a PowerTrash je podľa všetkého tiež ich výtvor,“ uviedol Rodewald. Tentoraz mal skript 41 000 riadkov kódu, čo je výrazne viac než v predchádzajúcom prípade.
„Ako sme začali vytvárať vlastné pravidlá na blokovanie podozrivých aktivít, objavovali sa ďalšie pokusy o laterálny pohyb. […] Začali sme si ich všímať cez vzdialené úlohy aj WinRM. Tentoraz sa útočníci pokúsili spustiť dávkový súbor, ktorého cieľom bolo aktivovať premenovaný nástroj RClone.exe určený na zálohovanie zdieľaných súborov v sieti. Tie plánovali následne skomprimovať pomocou premenovanej verzie nástroja 7‑Zip a exfiltrovať mimo organizácie,“ pokračoval Rodewald.
Zastaviť a zablokovať
Tím MDR okamžite začal tieto procesy ukončovať a blokovať, pričom zároveň vytváral vlastné pravidlá na ich trvalú deaktiváciu. Problém bol však v tom, že útok prebiehal na viacerých zariadeniach súčasne, a to rôznymi formami laterálneho pohybu.
Vďaka analýze zdrojových IP adries týchto pohybov bolo jasné, že v prostredí zákazníka sa nachádzajú nezabezpečené zariadenia, ktoré sa nezobrazovali v nástrojoch ESET PROTECT ani ESET Inspect ako spravované. „Takže si voláme a ja sa cez vzdialený prístup pripájam priamo na tieto zariadenia, aby som zistil, čo sa deje. Na viacerých z nich sme našli backdoor pre OpenSSH – bolo potrebné ich buď okamžite odpojiť od siete, alebo som ich musel manuálne vyčistiť,“ opísal Rodewald.
Útočník sa však nevzdal. Pravdepodobne v panike, že stráca prístup do siete, nasadil nový nástroj. „Išlo o doteraz nevídané podvrhnutie knižnice DLL (tzv. DLL side-loading)!“ zvolal Rodewald. Hoci sa súbor .exe mohol v reálnom prostredí vyskytnúť už skôr, v tomto prípade obsahoval škodlivú knižnicu DLL.
„Snažili sa udržať v sieti. […] Ale my sme to zachytili za menej ako 30 sekúnd,“ dodal Rodewald s úsmevom. Tím MDR následne zablokoval nielen legitímny súbor .exe, ale aj škodlivú knižnicu DLL a odstránil ich z ďalších šiestich alebo siedmich zariadení – všetko naraz.
Návrat na začiatok
Tímu začalo vŕtať hlavou, ako vlastne došlo k prvotnému prieniku: „Začali sme sťahovať protokoly zo zariadení a hľadať stopy udalostí… robili sme digitálne forenzné vyšetrovanie [incidentu].“ Skôr než sa však stihli do vyšetrovania ponoriť hlbšie, útočníci sa prezradili: niekto sa cez protokol RDP pripájal z interných IP adries na rôzne zariadenia a okamžite inštaloval AteraAgent a Splashtop – ďalšie nástroje na vzdialenú správu.
Tieto IP adresy však patrili do inej podsiete než zvyšok zariadení v sieti. IT správca firmy rýchlo potvrdil, že ide o adresy prideľované ich sieťou VPN.
„Ich VPN zariadenie bolo kompromitované. K sieti VPN sa pripájali škodlivé zariadenia patriace útočníkovi, ktoré následne cez RDP prenikali hlbšie do siete,“ vysvetlil Rodewald. Tím MDR preto odporučil vypnúť sieť VPN. Odvtedy sa v prostredí neobjavila žiadna nová aktivita, no naďalej je monitorované.
Tento prípad jasne ukazuje, ako vďaka úzkej spolupráci umožnenej službou ESET MDR Ultimate bolo možné okamžite zasiahnuť a rýchlo vytvoriť nové bezpečnostné postupy a stratégie, ktoré klientovi pomôžu predísť podobným incidentom v budúcnosti.
MDR – Ochrana zameraná na prevenciu
Hlavnou hodnotou služieb MDR od spoločnosti ESET je ich dôraz na prevenciu. Každá z týchto spravovaných služieb je prispôsobená rôznym IT architektúram firiem, no cieľ zostáva rovnaký – rýchla detekcia a takmer okamžitá náprava, ktorá zastaví nové hrozby skôr, než stihnú napáchať škody.
Navyše, ako ukazuje aj prípad so škodlivou sieťou VPN, ktorý opísal Rodewald, nasadenie spravovanej bezpečnostnej služby aj počas prebiehajúceho incidentu môže firme pomôcť vymaniť sa z chápadiel útočníka.
