Nejčastějším typem kybernetického útoku v Česku jsou dlouhodobě DDoS útoky, které vedou k zahlcení a vyřazení konkrétních internetových stránek. Dá se proti nim účinně bránit?
Patří k nejčastějšímu druhu kybernetických útoků vůbec. Nepředstavují sice tak zásadní hrozbu jako ransomware, který dokáže zašifrováním na dlouho nebo i navždy vyřadit firemní zařízení a na nich uložená data, DDoS útoky ale umí potrápit jinak: vyřazením internetových stránek ohrožují především dobrou reputaci společnosti a nezřídka i samotný byznys nebo službu. Zvláště pokud takovému útoku musí čelit internetový obchod, veřejná instituce nebo zdravotnické zařízení. Dá se ale vůbec na DDoS útok připravit a úspěšně mu čelit? Podle české kybernetické společnosti APPSEC, která se zabývá penetračními testy a skenování zranitelností firem, to je možné.
Aby se organizace dokázala na případný DDoS útok připravit, musí si nejprve uvědomit, jak při něm hackeři postupují. Útočník využívá stovky a tisíce zařízení jiných uživatelů, kteří o tom vůbec netuší, k hromadným požadavkům přístupu na konkrétní internetovou stránku. Ta obvykle tak velký nápor směřovaný do jednoho okamžiku nezvládne a internetová stránka „spadne“. Po dobu útoku tak není možné daný web navštívit, což může být značně problematické třeba pro zmíněné e-shopy, mediální weby, stránky různých veřejných institucí nebo veřejné formuláře. Zahlcení webu se nemusí projevit přímo celkovým výpadkem, ale také zpomalením načítání stránek a zhoršenou funkčností.
Pět nejčastějších kybernetických hrozeb pro české firmy: jak se jim bránit?
Prevence? Rozložení a filtrace síťového provozu
„Účinná obranou může být rozložení síťového provozu mezi servery umístěné v různých geografických lokalitách, filtrování škodlivého provozu a blokování IP adres. Díky tomu se na web i během silného DDoS útoku dostanou pouze opravdoví uživatelé,“ říká Adam Paclt, generální ředitel bezpečnostní společnosti APPSEC. A jak vlastně počínající DDoS útok odhalit? Obvykle jde o nezvyklý nárůst webového provozu, často ze stejné IP adresy. Zároveň se zpomalí výkon sítě, nebo je nepravidelný. V další fázi dochází k úplnému výpadku internetových stránek. DDoS útok hned v jeho počátku lze zachytit průběžným monitoringem provozu firemní sítě, který včas odhalí jakoukoli abnormalitu.
Pro neustálý monitoring sítě a všech koncových zařízení se používají nástroje detekce a následné reakce (EDR), které na rozdíl od běžného antiviru dokáží rychle analyzovat a vyhodnocovat velké množství dat a na jejich základě okamžitě reagovat na jakoukoli hrozbu. A pak je tu Next Generation Endpoint Protection (NGEP), stejný nástroj navržený od začátku jako inteligentní systém, který na základě algoritmů a strojového učení využívá kombinaci několika pokrokových technik k detekci hrozby na základě chování. Příkladem takového řešení je SentinelOne, který pomocí behaviorální analýzy, umělé inteligence a strojového učení okamžitě detekuje škodlivý běžící proces a dokáže ho zastavit.
NÚKIB varuje, DDoS útoků raketově přibývá
V případě DDoS útoku je třeba přesměrovat zvýšený provoz, tedy doslova lavinu požadavků na přístup ke konkrétnímu webu, jinam. Jakmile je tento provoz a jeho zdroj identifikovaný, buď se mu zamezí v přístupu k danému webu, nebo se právě přesměruje, a tudíž už nezatěžuje dané stránky, které by se pod jeho náporem zhroutily. Takovou službu nabízí někteří poskytovatelé internetu nebo infrastruktury, kteří dokáží takový škodlivý provoz přesměrovat do tzv. Scrubbing centra, které si lze představit jako „pračku provozu“, jež zbaví lavinu žádostí o přístup k webu o nežádoucí data od útočníka.
Že DDoS útoky není radno podceňovat, potvrzuje i Zpráva o stavu kybernetické bezpečnosti v České republice za rok 2023, kterou v polovině července vydal Národní úřad pro kybernetickou a internetovou bezpečnost (NÚKIB). „Mezi nejčastější typy kyberútoků během roku 2023 patřily DDoS útoky, a to primárně vůči veřejnému a finančnímu sektoru. Řada evidovaných incidentů souvisela s ruskou agresí na Ukrajině, v několika málo případech pak i s izraelsko-palestinským konfliktem,“ konstatuje úřad. NÚKIB loni řešil rekordní počet 262 incidentů, což představuje téměř osmdesátiprocentní meziroční nárůst. „Stojí za ním primárně právě opakované vlny DDoS útoků vedené zejména ruskojazyčnými hacktivistickými skupinami,“ upřesnil NÚKIB.
Kyberbezpečnostní audity? V Česku je dělá jen polovina firem