Česká republika

Detaily

  • Služby: Advisory
  • Typ: KPMG information, Press release
  • Datum: 28.2.2013

Piráti agresivněji útočí na weby velkých společností. Ty jejich zneužití samy usnadňují 

Ačkoliv jsou firemní sítě dnes mnohem častěji vystavovány kybernetickým útokům, společnosti se jim snaží bránit. A celkem úspěšně. Výsledky průzkumu celosvětové sítě poradenských společností KPMG Publish and be Damned 2012 (PDF 2.36MB) však varují, že firmy opomíjejí své veřejné webové stránky. Praktické pokusy prokázaly, že vinou jejich nedostatečného zabezpečení mohou jejich prostřednictvím unikat i ta nejcitlivější data. Úspěšným útokům totiž napomáhá nesprávné zacházení s tzv. metadaty.

Rostoucí množství kybernetických útoků a jejich masová medializace znepokojuje manažery, kteří se začínají více obávat o bezpečnost dat svých společností. A obavy jsou na místě. Více než třem čtvrtinám firem žebříčku Forbes 2000 totiž na veřejnost unikají potenciálně nebezpečná nebo citlivá data. „Vůbec nejhůře dopadl finanční sektor, zejména jeho bankovní část, kterou následovaly telekomunikační, mediální a technologické společnosti,“ vypočítává Radek Šichtanc, Associate Manager, Management Consulting, KPMG Česká republika a dodává: „Z geografického hlediska se jedná převážně o společnosti, které působí v USA nebo Japonsku, což je vzhledem k množství dat, které jimi protékají, logické.“

 

Metadata dokumentů prozradí i to, co nechceme

Aktuální studie dokazuje, že bezmála 80 procent firemních webových stránek prozrazuje návštěvníkům prostřednictvím metadat dokumentů, které jsou na webech dostupné, informace, jež mohou odhalit slabinu systému, nebo dokonce citlivé údaje uživatelů. Jedná se především o uživatelská jména, emailové adresy, ale i síťová úložiště či softwarové verze. Například 71 procent respondentů používá zastaralé, a tedy i potenciálně zranitelné verze operačních systémů a běžných aplikací.

 

Weby pod palbou

Firemní webové stránky fungují na základních technologiích webového serveru. Při přístupu na stránku server mnohdy odkryje svou verzi softwaru, který bývá z pohledu webového prohlížeče skrytý. Takto zjistitelné technické informace mohou být pro útočníka užitečné při profilování cíle jeho útoku. Kvůli chybějícím bezpečnostním záplatám nebo zastaralému serverovému softwaru by přitom mohli hackeři napadnout hned 16 procent kontrolovaných podnikových webů.

Studie se také zaměřila na strukturu webových stránek společností, aby identifikovala umístění citlivých dokumentů a skrytých funkcí, které mohou být potenciálně náchylné ke kybernetickým útokům. Navigace na webových stránkách firem odhalily množství klíčových slov, s jejichž pomocí experti dokázali detekovat cestu, kde se neveřejné soubory společností nacházejí. Velmi pravděpodobně by tak motivovaly útočníky, aby  dále zkoumali nedostatky v zabezpečení stránek.

V případě poskytování dalších funkcí webu, jako je například možnost nahrávání dat nebo testovací a jiné skryté funkce na stránkách, společnosti podstupují další riziko. Hacker totiž může jejich on-line prezentaci upravit nebo nad stránkami získat kontrolu. Následně dokáže do stránek zavést škodlivý program a infikovat elektronická zařízení dalších návštěvníků.

 

Shromažďování dat z populárních vyhledávačů

Mnoho vyhledávacích služeb běžně ukládá data (například z diskusí) do mezipaměti webového serveru, aby mohla být dále k dispozici, třeba za účelem vyhledání konkrétních příspěvků uživatele. Účastníci on-line diskuse přitom nevědomky zveřejňují citlivé informace o současných technologiích, které využívá jejich společnost. Mnohdy také odhalují podrobnosti o firemních projektech a aktivitách, v neposlední řadě pak zpřístupňují i svá metadata. Už jen jednoduché prohledání diskusí odhalí hackerovi potenciálně zajímavé emailové adresy, na které může následně zaútočit. „Z tohoto pohledu jsou nejvíce ohroženy technologické a softwarové společnosti, jejichž zaměstnanci do on-line diskusí a skupin přispívají zdaleka nejvíce,“ konstatuje Radek Šichtanc.

Jak moc jsou informace, které jsme v průzkumu získali, citlivé vůči zneužití, průzkum ověřil v praxi. Tým KPMG Cyber Response s pomocí takto získaných dat dokázal úspěšně proniknout ochranou zkoumaných společností v rámci legitimních aktivit na zakázkách, které se týkaly sociálního inženýrství, etického hackingu a penetračního testování.


Svět hackerů se mění

Svět počítačové bezpečnosti se neustále posouvá kupředu. Společnosti už nečelí jen útokům ze strany nezávislých skupin nebo prostřednictvím předpřipravených nástrojů a skriptů. Stále častěji se také stávají cílem státy podporovaných agentur s neomezenými zdroji, které chtějí touto cestou získat konkurenční výhodu nebo cenné informace společnosti. Na čím dál sofistikovanější útoky musí logicky reagovat i samotné společnosti. Klíčová je přitom jejich schopnost kybernetické útoky odhalovat a zároveň se jim bránit. „Musíme si uvědomit, že obecně aplikovatelné řešení, které útokům zcela zamezí, neexistuje. Výsledné řešení by však mělo vždy reflektovat konkrétní situaci a mělo by být poplatné rizikům, která každá společnost u svého digitálního vlastnictví vnímá,“ upozorňuje Radek Šichtanc.

Jak zvýšit kybernetickou bezpečnost a zredukovat metadata, která jsou na internetu vystavována?

  • Posuďte svou internetovou prezentaci – jaká data organizace zveřejňuje?
  • Je-li to možné, vyčistěte metadata z publikovaných dokumentů. Zajistěte, aby všechna firemní zařízení měla aktuální bezpečnostní záplatu. Nesoustřeďte se jen na vaše on-line webové servery.
  • Všichni zaměstnanci, od vedení společnosti až po podatelnu, musí chápat hodnotu a citlivost informací, které společnost vlastní. Ba co víc, musí vědět, jak je chránit.
  • Zaveďte procedury, které povedou ke snížení neúmyslnému nebo nežádoucímu zveřejnění firemní údajů na internetu.

 

------

O průzkumu:

Studie mezinárodní sítě poradenských společností Publish and be Damned 2012 se zúčastnily společnosti uvedené v seznamu Forbes Global 2000. Průzkum sledoval zabezpečení webových stránek a firemních dat a postupoval stejnými kroky, které provádějí kybernetičtí útočníci a hackerské skupiny při profilování cíle útoků. Využity byly techniky často označované jako pokročilé perzistentní hrozby (tzv. APT – Advanced Persistent Threats).