Názory k článku
Knihkupectví Kosmas ochromil kyberútok, neodbavuje objednávky

to je taky dobrý alibismus, vzhledem k tomu, kde všude jsou ty přípony skryty (např. mobilní telefony) a co vše spouští nějaký kód na moderních OS (např. i gif) je tohle pravidlo k ničemu.

Pokud jakákoliv aplikace spuštěná skladníkem může odstavit celou společnost, problém je úplně někde jinde.

Zní to logicky, ale bohužel tyhle paradoxní diskuze kolem filtrování přípon soubor a obviňování nejnižších zaměstnanců, že něco spustili, co neměli mám skoro na denním pořádku.

Mnohdy ve firmách kyberútok znamená skladník , nebo sekretářka otevřeli důležité
faktura.pdf.exe....

drtivá většina útoků, které vidím probíhá v počáteční fázi pouze automatizovaně, kdy se kobercovým náletem snaží útočník spustit svůj zpravidla koupený útočný SW, který pak čeká na instrukce. Útočník si pak jen odlikne, že chce šifrovat, dá čísla peněžek a vše zase běží plně automatizovaně. Tipuji, že tohle je jeden z případů.

Je úplně jedno, kde útok začal, důležité je, že jim penetroval vnitřně mezi jednotlivými stanicemi a servery a vyžadoval výkupné. Zpravidla se v takovém případě kompletně vypne úplně vše a jede se vše přeinstalovávat ze zálohy a ověřovat, že zálohy neobsahují něco nelegitimního (útočný SW tam může viset i měsíce). Nejednou jsem viděl, že obnova ze zálohy vedla k tomu stejnému.

Potkat cílený útok nějakým profi útočníkem je dnes už poměrně vzácné, ale na výsledku to moc nemění.

Ano já to vím. Moje reakce byla k tomu kolik "útoků" je vlastně skutečně útoků , z útok se stavá dost otřepaná fráze.
A kolik vlastně bylo důsledkem vcelku banálních situací nikoliv cílených útoků. Tedy selhání nějaké bezpečnosti proti skoro obecným hrozbám nedostatečnému zálohování nebo personální nouzi kdy to nemá kdo rychle operativně jak vyřešit.

Dost často RPC, respektive spuštění kódu na vzdáleném počítači. Pokud se podaří ovládnout (síťový) administrátorský účet, jde o nejjednodušší možnost. Stačí pár vteřin a z počítačové sítě máte armádu zombií.

Incident response je moje náplň práce již několik let v top nadnárodní společnosti. V praxi je to z drtivé většiny případů naprosto žalostné zabezpečení. Chybí i úplně elementární základy. Velmi často si říkám, jak je možné, že ten incident stal až teď a ne už před mnoha lety. Běžně jsou to naprosto směšná hesla i pro admin účty (domain admin), žádné omezení na to, odkud lze admin účty používat, povolené kde jaké zastaralé a nebezpečné protokoly, admin účty používané všude i pro běžnou práci.

V drtivé většině případů útočníci nepotřebují nikde nic prolamovat nebo hledat zero day zranitelnosti. Oni se obvykle prostě přihlásí. A lateral movement je pak prosté RDP mezi zařízeními.

Problém je, že IT je obvykle velmi podfinancované. Zkušených ajťáků je málo a jsou drazí. Takže firmy najmou kde koho. A pak to podle toho vypadá, kdy správci Active Directory kolikrát nemají ani základní znalosti Active Directory.

Jakým způsobem se teď ransomware šíří mezi počítači v LAN? Je to pořád SMB, RDP, NetBIOS?

Tak hlavně na co přípony apod, když vše podstatné se vždy spustí samo po přihlášení. Takže sklad faktura je tam hned.

Ale ano, ty kontroly jsou úplně absurdní a hlavně k ničemu, protože kontrola za provozu je jenom další chaos. Jestli někdo potřebuje kontrolu, tak ten úřad je možné rovnou zrušit. Protože žádná kontrola nikdy nedoběhne a pokud skončí za 10 let, tak už často vůbec nic neplatí. Takže si klidně kontroloři můžou poslat trestní oznámení sami na sebe.