Tento článok je súčasťou seriálu 10 najväčších hrozieb.
Koniec pandémie priniesol návrat zamestnancov do kancelárií, no mnohí môžu aj naďalej pracovať z domu. Kým pracovníci tento nový normál vítajú, pre špecialistov na IT bezpečnosť ide o výzvu. Faktory ako zlé zabezpečenie domácej siete, vzdialené prístupy či časté presúvanie sa s firemnými zariadeniami vo významnej miere ohrozujú bezpečnosť firiem. Hybridná práca obsadila 4. miesto v rebríčku 10 najväčších hrozieb.
V článku sa dočítate:
- Aké riziká so sebou prináša hybridná práca,
- prečo je hybridná práca nebezpečnejšia ako plný home-office,
- prečo je zamestnanec doma náchylnejší naletieť na phishing,
- a ako môžu firmy prispieť k bezpečnosti v hybridnom režime?
Hybridná práca a jej nástrahy
Jeden deň práca v kancelárii, ďalší zas doma. Tak aktuálne vyzerá režim mnohých zamestnancov, v rámci ktorého sa samostatne rozhodujú, odkiaľ a kedy budú pracovať. Tento hybridný model uvádzajú firmy ako benefit v pracovných ponukách a zamestnanci si ho pochvaľujú najmä pre pohodlie a ušetrený čas aj financie na dochádzanie. Flexibilita tohto modelu na druhej strane vyhovuje aj zamestnancom, ktorí preferujú prácu z kancelárie.
Okrem pozitív však hybridný režim so sebou prináša riziká pre kybernetickú bezpečnosť firiem:
- Problematická ochrana firemnej siete
- Zle zabezpečená sieť v domácnosti
- Zlé zabezpečenie prístupov do firemných systémov z home-officu
- Vyššie riziko straty alebo krádeže zariadení
- Používanie súkromných zariadení na prácu
- Vyššia pravdepodobnosť, že zamestnanec naletí phishingu
Z nezabezpečenej domácej Wi-Fi do celej firemnej siete
Kým pred pandémiou COVID-19 mali firmy svoje siete vo väčšine prípadov ohraničené kancelárskymi priestormi, dnes sú rozšírené do stoviek či tisícok domácností po celej krajine a v niektorých prípadoch aj po celom svete.
Ak firma nepoužíva vhodné bezpečnostné opatrenia, tak má nad zamestnancami rozptýlenými vo viacerých lokalitách obmedzenú kontrolu a možnosti monitorovania prístupu a prevádzky v sieti. To môže znamenať náročnejšie odhalenie prípadných anomálií a nezvyčajného správania v sieti.
Rozšírenie firemnej siete do domácností prenáša veľkú časť zodpovednosti za bezpečnosť na samotných zamestnancov. Problémom je, že mnoho domácich sietí má nedostatočné zabezpečenie. Ak útočník získa prístup do domácej Wi-Fi siete zamestnanca, napríklad cez starý zraniteľný router a podarí sa mu tak získať prístup do firemného zariadenia, hrozí, že sa nabúra aj do firemných systémov.
Zlou správou je, že samotné firmy nemajú prakticky možnosti, ako zabezpečiť domáce siete zamestnancov. Do veľkej miery sú v tomto prípade odkázané na spoluprácu zo strany samotných zamestnancov, ktorí si nemusia uvedomovať nástrahy vyplývajúce z nezabezpečenej Wi-Fi siete.
Nebezpečný prístup na diaľku
Ďalšou výzvou, s ktorou sa potrebovali organizácie popasovať pri náhlom prechode na prácu na diaľku, bolo zabezpečenie prístupu zamestnancov do firemných systémov. Rýchlym a jednoduchým riešením bolo využitie protokolu na vzdialenú správu RDP (Remote Desktop Protocol). Ide o zabudovanú funkcionalitu v operačných systémoch Windows, ktorá umožňuje vzdialený prístup k zariadeniu na základe prihlasovacieho mena a hesla.
Mnohé systémy však boli dostupné na verejnom internete, takže útočníkom stačilo, aby takto vystavené systémy našli a skúsili do nich hádať heslo prostredníctvom útokov hrubou silou. Keďže systémy neboli zabezpečené proti mnohonásobným nesprávnym pokusom o heslo, zločinci mohli často hádať prakticky donekonečna. Ak sa im to podarilo, získali prístup v mene zamestnanca. Následne mohli tento prístup zneužiť napríklad na krádež informácií alebo pohyb po sieti.
Čo sú to útoky hrubou silou?
Pri útokoch hrubou silou sa kybernetickí zločinci pokúšajú uhádnuť alebo získať prihlasovacie údaje používateľov a preniknúť tak do ich účtov. Na získanie hesla môžu využiť viacero spôsobov, vrátane slovníkových útokov skúšajúcich rôzne variácie najbežnejších hesiel. Ďalšou taktikou je takzvaný credential stuffing, teda zadávanie používateľských mien a hesiel, ktoré sa dostali na internet v rámci rôznych únikov údajov zo zle zabezpečených služieb. Útočníci skúšajú, či dané prihlasovacie údaje obete nepoužívajú aj na iných službách. Práve preto je dôležité mať do každej platformy unikátne heslo.
Počas pandémie zaznamenala v obrovských počtoch tieto útoky aj telemetria spoločnosti ESET: „V roku 2020 sme celosvetovo zaznamenali 29 miliárd pokusov o uhádnutie hesla od RDP. V roku 2021 to už bolo takmer 288 miliárd, čo predstavuje desaťnásobný nárast. Útočníci rozširovali repertoár o nové a nové heslá, ktoré skúšali. Počet týchto útokov začal klesať začiatkom januára 2022, pravdepodobne v súvislosti s presmerovaním pozornosti útočníkov na iné ciele,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.
K zabezpečeniu firemných systémov pri práci na diaľku môžu do veľkej miery prispieť IT administrátori jednotlivých firiem tak, že tieto prístupy budú dostupné iba po pripojení sa cez firemnú VPN.
Ochranu protokolu na vzdialený prístup RDP posilnila aj spoločnosť Microsoft zapracovaním funkcie account lockout do operačného systému Windows 11, ktorý po viacnásobnom zadaní nesprávneho hesla zablokuje konto. Touto funkciou disponuje aj verzia Windows 10, no administrátor ju musí aktivovať. Nástroj je účinný aj v prípade ďalších platforiem, pri ktorých sa používa hádanie hesla hrubou silou.
Cloudové aplikácie a hybridná práca
Veľkým pomocníkom sa počas pandémie stali aj cloudové aplikácie na spoluprácu ako Microsoft Teams. Priniesli so sebou jednoduchšiu a efektívnejšiu komunikáciu, ale aj nové výzvy z hľadiska bezpečnosti. Všetko, čo sa vo svete technológií teší popularite, totiž láka aj kybernetických útočníkov. Integrované zabezpečenie týchto služieb však nedokáže úplne eliminovať možné bezpečnostné problémy.
Vlani napríklad experti odhalili v Microsoft Teams bezpečnostnú chybu, ktorá by v prípade skompromitovania zariadenia dokázala narobiť veľké škody. Aplikácia ukladala prístupové tokeny v textových súboroch priamo na disku. Podobné odhalenia dokazujú, že aj cloudové aplikácie môžu predstavovať riziko a je vhodné chrániť ich špeciálnou vrstvou ochrany.
Ochrana cloudových aplikácií MS 365
Každý súbor z platforiem MS 365 je skontrolovaný pomocou výkonného detekčného systému. Súčasťou riešenia je aj cloudový sandbox na ochranu pred zero-day hrozbami.
Nástrahy častých presunov
Z určitého pohľadu je hybridná práca ešte nebezpečnejšia ako plný home-office. Kým pri výhradnej práci z domu boli firemné zariadenia zatvorené bez pohybu v domácnosti zamestnanca, v prípade hybridného modelu sa zamestnanci pravidelne so zariadeniami presúvajú. Častý pohyb firemných počítačov a mobilov zvyšuje riziko ich straty alebo odcudzenia.
Pri častých presunoch zamestnanci zároveň s väčšou pravdepodobnosťou uprednostnia iba uspanie počítača pred jeho úplným vypnutím. V móde spánku je však zabezpečenie notebooku slabšie ako v prípade vypnutia a za určitých okolností sa útočník s fyzickým prístupom k počítaču dokáže v režime spánku dostať k jeho obsahu aj bez toho, aby poznal heslo. Tejto téme sa podrobnejšie venujeme v článku o fyzických hrozbách.
Doposiaľ uverejnené články z rebríčka 10 najväčších hrozieb
4. Hybridná práca
5. Útoky na dodávateľský reťazec
6. IoT hrozby
7. Fyzické hrozby
8. Pokročilé hrozby
9. Nedostatok bezpečnostných špecialistov
10. Hrozby zvnútra firmy
Používanie súkromných zariadení na prácu
Čoraz častejším fenoménom súvisiacim s hybridnou prácou je politika „Bring your own device“ (BYOD), v rámci ktorej zamestnanci využívajú na pracovné účely svoje vlastné zariadenia. Aj keď ide v mnohých prípadoch o efektívne riešenie, prináša so sebou riziká súvisiace s nedostatkom kontroly nad správou týchto zariadení.
Zamestnanci využívajúci na prácu svoje vlastné zariadenia môžu k ich bezpečnosti pristupovať menej ostražito, napríklad používať slabé heslá pre viacero služieb či zanedbávať aktualizácie operačných systémov, aplikácií a bezpečnostných softvérov. Riskantné je, ak takéto zle zabezpečené osobné zariadenia majú prístup k firemným dokumentom, napríklad prostredníctvom cloudových úložísk. Po infiltrácii súkromného zariadenia tak dokážu útočníci získať prístup k citlivým firemným informáciám.
Firmám odporúčame, aby zamestnancom poskytovali na úlohy, ktoré majú plniť, vhodné zariadenia, vrátane mobilných telefónov. Takisto je dôležité, aby zamestnávateľ dbal na poskytnutie vhodného softvéru zamestnancom a reflektoval na ich prípadné používateľské problémy s aktuálnym softvérom.
„Dodaním vhodných zariadení aj softvéru znižuje firma šancu, že pracovníci budú používať zle zabezpečené súkromné zariadenia či sťahovať potenciálne nebezpečný zakázaný softvér. Keď už sa firma rozhodne praktizovať politiku BYOD, je dôležité, aby pritom dbala na bezpečnostné zásady,“ hovorí Ondrej Kubovič.
6 zásad bezpečnej BYOD politiky
- Zamestnanci by mali používať silné a jedinečné heslá a dvojfaktorovú autentifikáciu na prístup k firemným účtom.
- Firemné dáta by mali byť šifrované a oddelené od osobných dokumentov na zariadeniach zamestnancov.
- V prípade straty alebo krádeže by mala byť k dispozícii funkcia remote wipe na vzdialené vymazanie údajov.
- Zamestnanci by si mali povinne aktualizovať operačné systémy a aplikácie na najnovšie dostupné verzie.
- Zariadenia zamestnancov by mali byť chránené bezpečnostným softvérom.
- V prípade pripájania sa k firemným systémom by mali zamestnanci použiť VPN službu.
Hybridná práca a strata opatrnosti
Ďalším bezpečnostným úskalím hybridnej práce môže byť strata opatrnosti zamestnancov v domácich podmienkach. Ak príde napríklad pracovníkovi phishingový e-mail, doma nemôže efektívne s kolegom skonzultovať, či podľa neho ide o podvodnú správu, alebo či ju dostal aj niekto iný. Dôležitým pilierom firemnej bezpečnosti sú totiž kolektívne vedomosti zamestnancov o možných nástrahách.
Útočníci sa prispôsobili súčasnej dobe a začali v rámci podvodov vo veľkom napodobňovať riešenia, ktoré zamestnanci v hybridnom režime hromadne používajú, napríklad službu DocuSign, SharePoint či prihlasovanie do Outlooku. Zamestnanci by preto mali byť ostražití a pri najmenšom podozrení si skontrolovať, z akej adresy takúto správu dostali.
Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET
Pri práci z domu však nemusí byť problémom iba phishing. Ak zamestnávateľ nenastavil striktné obmedzenia v internetových prehliadačoch, zamestnanec môže v domácom prostredí stratiť psychologickú bariéru a navštíviť stránky s rizikovým obsahom. Pri návšteve takýchto webov sa zvyšuje pravdepodobnosť, že si do zariadenia stiahne škodlivý kód.
Firemné zariadenie môže navyše použiť aj neautorizovaná osoba, ktorá žije so zamestnancom v domácnosti. Dieťa alebo partner nemusia disponovať dostatočnými vedomosťami o digitálnej bezpečnosti a môžu preto na zariadení vykonať krok, ktorý ho ohrozí. Odporúčame preto nezverovať zariadenia do rúk ani blízkym osobám, ktoré by s nimi mohli zaobchádzať bez dostatočnej obozretnosti.
Shadow IT
V domácom prostredí môže prekvitať takzvané shadow IT. Ide o zapájanie zariadení alebo využívanie softvérov, o ktorých nemajú vedomosť firemní IT administrátori. Môže ísť o rôzne slabo zabezpečené IoT pripojené v tej istej sieti ako firemné zariadenie alebo neautorizované programy. Minimalizovať riziká späté s používaním rizikového softvéru sa dá zavedením vhodnej internej politiky. Organizácia môže poskytnúť zoznam overených a tým pádom aj povolených softvérových riešení a nevhodné aplikácie zas zakázať.
Ako by sa mali firmy chrániť v časoch hybridnej práce?
- Používať šifrovanie celého disku na firemných zariadeniach.
- Nainštalovať na všetky zariadenia spoľahlivý bezpečnostný softvér na všetky koncové zariadenia aj s funkciou Anti-Theft, ktorá ochráni zariadenia v prípade straty a krádeže.
- Vzdelávať zamestnancov o digitálnych nástrahách.
- V prípade povolenia politiky BYOD dodržiavať jej bezpečnostné zásady.
- Vytvoriť zoznam všetkého hardvéru aj softvéru vo firme a vymeniť zastarané zariadenia, ktoré sa nedajú aktualizovať.
- Zminimalizovať vzdialený prístup iba na systémy nevyhnutne potrebné pre prácu konkrétneho zamestnanca a povoliť vzdialený prístup iba cez VPN.
- Identifikovať kritické systémy, oddeliť ich od zvyšku prevádzky a vytvoriť pre ne zálohy.
- Zveriť ochranu a správu bezpečnosti spoľahlivému MSP (Managed Service Provider) partnerovi v prípade, že vaša organizácia nemá dostatočné interné kapacity.
- Väčšie firmy, respektíve organizácie narábajúce s citlivými údajmi, by mali nasadiť aj pokročilejšie bezpečnostné riešenia ako rozšírenú detekciu a reakciu XDR, ktorá neustále monitoruje dianie v celej sieti.
5. Útoky na dodávateľský reťazec – zásah cez partnerov
Útoky na dodávateľský reťazec sú mimoriadne obávané, pretože môžu mať veľký dosah na množstvo firiem a organizácií. Ak sa jedna firma v reťazci stane obeťou útoku a jej systémy a dáta sú kompromitované, môže to viesť k vážnym následkom pre všetky ostatné firmy v reťazci.