Menu Zavřít

7 kroků, jak přežít GDPR: Jak detekovat útok a zvládat bezpečnostní incidenty (5)

5. 10. 2017
Autor: Microsoft

Sofistikovanost kyberútoků a počty úniků dat včetně osobních údajů z velkých i menších společností v posledních letech velmi rostou. Proto se nedá spoléhat jen na prevenci, kterou jsme probírali v minulém díle, a předpokládat, že k úniku či zneužití dat nikdy nedojde.

Co mohou útočníci ve vaší firmě hledat? Mohou to být seznamy vašich zákazníků či obchodních partnerů, čísla kreditních karet nebo obchodní tajemství firem. V Česku i v okolních zemích je přitom jen málo specialistů na ICT bezpečnost, kteří by měli kvalifikaci a praktické zkušenosti s detekcí, zvládáním a vyšetřováním bezpečnostních incidentů. I proto je výhodné se obrátit na poskytovatele cloudů.

Smluvní záruky v cloudu

Výhodou zpracování osobních údajů v cloudu by měly být smluvní záruky, že poskytovatel bude trvale monitorovat svoje výpočetní prostředky a telekomunikační sítě. Například Microsoft se ve svých podmínkách zavazuje informovat správce dat o bezpečnostních incidentech, poskytovat veškeré podklady pro forenzní analýzu a spolupracovat na vyšetřování incidentu. V rámci profesionální podpory zpracování v cloudu tak vaše firma získá přístup k „zabezpečení jako službě“ od takzvaných Security Operation Centers (SOC). To jsou dohledová a bezpečnostní centra cloudu, která bdí nad provozem 24 hodin denně.

Cloud se tak spolu s poskytovateli internetového připojení může stát cenným spojencem v boji s dnes tak populárními zahlcovacími útoky. Dokáže totiž rychle reagovat navýšením výpočetní kapacity a filtrací nebo zpožďováním útočících paketů. Tím zároveň zajistí trvalou dostupnost služeb při zpracování osobních údajů tak, jak vyžaduje GDPR.

Jak cloud pomůže?

Při obraně a detekci útoků v cloudu se využívají moderní analytické nástroje. Jejich cílem je odhalovat možné incidenty ještě před jejich uskutečněním. To umí například nástroj ze sady Enterprise Mobility & Security (EMS), který analyzuje chování uživatelů, vyhodnocuje anomálie v síti a odhaluje útoky na jednotlivé uživatelské účty.

Součástí EMS je Azure Active Directory (AAD) Premium. Odhalí například typickou anomálii, kterou může být pokus o přihlášení k uživatelskému účtu odněkud z Asie, když se nedávno předtím přihlašoval někdo z Česka. AAD Premium také umí vyhodnotit rizikový profil jednotlivých uživatelů a podle toho vyžadovat například ověření identity přes chytrý telefon nebo firemním tokenem předtím, než umožní přístup k citlivým údajům.

Velmi populární je služba Office 365 Advanced Threat Protection (ATP), která v cloudu monitoruje výskyt dvou nejčastějších metod průniku, tedy phishingové emaily se škodlivými URL linky a škodlivé přílohy v emailech. Phishing se ověřuje trasováním, tedy kontrolou, zda emailová adresa odesílatele souhlasí s doménou, ze které email odešel. Nástroj dále testuje, jestli se cílové stránky nesnaží uživateli podstrčit malware. Teprve potom vašim zaměstnancům uvolní přístup k danému web serveru.

Office 365 umí odhalovat malware

Přílohy mailů se testují v cloudu v takzvaných detonačních komorách, kde se ověřuje chování přiloženého souboru, a v případě detekce je příloha uživateli blokována s příslušným vysvětlením. Tady je asi nejsilnější benefit zpracování v cloudu. Globální služba, jako je Office 365 ATP, se prvním zjištěním určitého malwaru „natrénuje“ na jeho detekci a všechny ostatní zákazníky dané služby může následně ochránit, a to i v případě, že malware ještě neodhalí běžné antiviry.

Na podobném principu vyhodnocování hrozeb ze senzorů pracuje i novinka ve Windows 10, doplňková cloudová služba Windows Defender Advanced Threat Protection (WDATP). Ta provádí detekci útoků analýzou událostí z koncových počítačů, která probíhá ve firemním prostoru v cloudu. WDATP po detekci informuje vašeho administrátora, izoluje napadené počítače a provede forenzní analýzu pomocí logů i v případě, že je daný počítač již napaden.

Tyto pokročilé metody jsou k dispozici i pro cloudové databáze. Nástroj Azure SQL Threat Detection detekuje anomálie v přístupu k datům, a to jak v případě externích hackerů, tak v případě interních uživatelů, kteří by mohli snáze odcizit a zneužít osobní údaje. Využívá rovněž strojové učení a v případě nebezpečí opět informuje přímo databázového administrátora.

První vyhrání všechny (další) ochrání

Cílem je, aby byl administrátor ve vaší firmě o celkovém stavu zabezpečení výpočetních prostředků v cloudu informován pomocí dashboardu, tedy jakési palubní desky zabezpečení, kde jsou vidět probíhající hrozby a zjištěné zranitelnosti v celkovém kontextu. Tak funguje například dashboard Azure Security Center, který je součástí Microsoft Azure.

Výhodou cloudu je zde tedy možnost vyhodnocování obrovského množství signálů, strojové učení při detekci útoků a princip, kdy první detekce útoku určitého typu může ochránit všechny ostatní zákazníky dané služby.

V dalším kroku se už dostaneme k fázi reportingu o osobních údajích vaší firmou. Jde především o vyřizování žádostí o data, hlášení narušení zabezpečení dat a udržování požadované dokumentace tak, jak vyžaduje GDPR. I k tomu slouží chytrá řešení, která vám pomohou. A nezapomeňte, do uvedení evropského nařízení v platnost zbývá už jen necelých osm měsíců.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete zde.

Čtěte další díly seriálu Jak přežít GDPR:

(1) Zmapujte si terén

(2) Jak uřídit data? Co nepotřebujete, vyhoďte

(3) Jak jsou údaje citlivé? Určete, kdo k nim může

(4) K lepší ochraně dat pomůžou cloud a šifrování

(6) Jak vést provozní záznamy? Neplýtvejte časem

(7) Jsou opatření účinná? Napoví audit

Autor: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko