Professional Documents
Culture Documents
Alef Security Report 2022 WEB
Alef Security Report 2022 WEB
2022
3 Úvod
V posledních dvou letech jsme byli v souvis- týkajících se mj. zabezpečení cloudového pro-
losti s pandemií COVID-19 svědky bezprece- středí nebo bezpečnostního dohledu. Vzhle-
dentních změn v oblasti vývoje informačních dem k přetrvávající epidemické situaci může
a telekomunikačních technologií. To, co bylo být rovněž zajímavé porovnání dat s výstupy
dříve výsadou velkých společností, se stalo z loňského roku, který již byl pandemií plně
standardem pro fungování většiny organizací ovlivněn. Trendy patrné z tohoto porovnání
napříč všemi segmenty trhu. Virtuální mee- mohou poodhalit, jak byly organizace schopné
tingy, online konference, práce z domova, to se adaptovat na nové podmínky a přizpůsobit
vše s podporou cloudových služeb, se pod své procesy probíhajícím globálním změnám.
tlakem okolností stalo neodmyslitelnou sou-
částí našich životů. Každá akce však vyvolává Na tomto místě bychom, jako tradičně, rádi
reakci, a aktuální trendy v komunikaci s sebou poděkovali zejména bezpečnostnímu týmu
přinesly i nové a sofistikovanější aktivity útoč- CSIRT.CZ, který nám laskavě poskytl data
níků. Udržet krok v rámci efektivní obrany není a statistiky ze svých monitorovacích nástrojů.
rozhodně jednoduchá disciplína, a je na každé Zároveň děkujeme všem respondentům, kteří
instituci či jednotlivci, jak se tohoto nelehkého vyplnili naše online dotazníky, neboť dosta-
úkolu zhostí. tečné množství relevantních dat bylo nutnou
podmínkou pro zajištění kvalitního zpracování
Hlavním cílem předložené publikace je po- obsahu následujících příspěvků.
skytnout čtenáři přehled o aktuálních tren-
dech u vybraných oblastí na poli kybernetické
bezpečnosti a pomoci tak organizacím i jed-
notlivcům při výše zmíněné obraně obstát.
Stanislav Techlovský
Phishing
5000
4000
3000
2000
1000
0
2021/06 2021/07 2021/08 2021/09 2021/10 2021/11 2021/12
Za poslední dva kvartály roku 2021 bylo největší předchozímu měsíci listopadu jde o 259 % nárůst.
množství incidentů spojených s malwarem zachy- Vyšší četnost těchto útoků je dána vyšší uživatel-
ceno IPS systémy v měsíci červenec, šlo o bezmá- skou aktivitou na internetu spojenou s koncem
la 233 tisíc událostí. Jedná se o 26 % nárůst oproti roku, k obdobnému nárůstu incidentů v tomto
předchozímu roku za totožné období. V prosinci období dochází pravidelně, jak ukazují mimo jiné
bylo detekováno bezmála 89 tisíc incidentů, oproti i data z předešlých let.
URL Malware
Malware
DNS malware
Detekce spojené se škodlivým kódem člení sledo- padě obsahuje seznam domén, u kterých byl de-
vané IPS systémy do tří základních kategorií. V ka- tekován malware. Událostmi jsou v takovém přípa-
tegorii malware se nacházejí události, při kterých dě detekované DNS dotazy na škodlivé domény,
byla identifikována shoda s reputační databází o jejichž překlad se pokusil malware nacházející
IPS, která obsahuje IP adresy, na nichž se vysky- se uvnitř chráněných sítí. Za sledované období
tuje nebo vyskytoval malware. Porovnává se při posledních dvou kvartálů roku 2021 byla struktura
tom jak zdrojová, tak i cílová IP adresa. Kategorie detekcí malwaru následující: z 34 % byly detekce
URL malware obsahuje pouze adresy, na nichž byl výskytu malwaru realizovaného pomocí reputační
zaznamenán výskyt malwaru. Samotnou detekci databáze, ze 46 % byl malware odhalen prostřed-
provádí sondy na základě analýzy webového pro- nictvím provedené URL kontroly a ze zbylých 20 %
vozu s pomocí kontroly URL. Poslední kategorií je se jednalo o detekci využívající kontrolu DNS (viz.
DNS malware – reputační databáze v tomto pří- graf Detekce škodlivého kódu).
1200
Cryptomining
1000
800
600
400
200
0
2021/06 2021/07 2021/08 2021/09 2021/10 2021/11 2021/12
Jednotlivé „Cryptomining“ události jsou deteko- množství 1043 pokusů. Oproti předchozímu mě-
vány pomocí reputační databáze IP adres, u nichž síci listopadu se jednalo o 848 % nárůst. Druhým
byly v minulosti a současnosti vedeny pokusy měsícem s nejvyšším množstvím pokusů o těžbu
o těžbu kryptoměn. Detekce se dále zaměřuje na kryptoměn byl měsíc srpen, kdy bylo zablokováno
stahování a analyzování binárních dat, webových 368 pokusů, v následujících třech měsících došlo
klientů, těžebních protokolů, blacklist domén a SSL vždy k pozvolnému poklesu pokusů o těžbu kryp-
certifikátů. V prosinci 2021 byl zachycen nejvyš- toměn.
ší počet pokusů o těžbu kryptoměn o celkovém
Milan Habrcetl
Bezpečnostní mechanismy Sender Policy Frame- organizace, která má správně nastavené bezpeč-
work (SPF), DomainKeys Identified Mail (DKIM) nostní mechanismy SPF, DKIM a DMARC, a tím lze
a Domain-based Message Authentication, Re- zabránit phishingovým útokům, které by zneužíva-
porting and Conformance (DMARC) umožňují, při ly legitimní doménu a které by si tímto způsobem
korektní konfiguraci, organizacím zamezit pod- jednoduše zvýšily důvěryhodnost e-mailových zpráv
vrhování jejich domén při posílání e-mailových u uživatelů.
zpráv. Útočníci tedy nemohou zneužít doménu
Domény s nastaveným SPF záznamem pak byly typy tohoto pravidla. Zbytek těchto domén měl
rozděleny do čtyř skupin, dle pravidel pro ostat- většinou nastaven třetí typ tohoto pravidla a ně-
ní, nespecifikované servery, tato pravidla jsou po- kolik domén používalo silně nedoporučovaný typ
psána výše. Většina domén, které měly nastaven pravidla (0,17%). Na následujícím grafu je znázor-
nějaký SPF záznam, používala první dva popsané něn procentuální poměr těchto metrik.
50 %
40 %
30 %
20 %
10 %
0%
Politika Fail Politika Softfail Politika Neutral Politika Pass
V rámci statistických dat získaných z českých 1. None – tato hodnota určuje, že se nelegitim-
domén pak byly analyzovány dva parametry ní e-mailová zpráva nebude blokovat. Tuto
v DMARC záznamech, které jsou pro správné fun- hodnotu je doporučeno využívat po dobu ně-
gování DMARC mechanismu nutné. kolika měsíců po prvotním nastavení mecha-
nismu DMARC a po vyhodnocení doručených
Jedním z těchto parametrů je parametr politiky „p“, DMARC reportů přepnout tuto hodnotu na jed-
který určuje, co se má provést s e-mailovou zprá- nu z následujících.
vou, která neprošla kontrolou mechanismů SPF 2. Quarantine – Tato hodnota způsobí to, že
a DKIM. Tento parametr může nabývat hodnot: nelegitimní e-mailová zpráva bude označena
jako spam a vložena do karantény, případně
do adresáře se spamem.
3. Reject – Tato hodnota způsobí nedoručení ne-
legitimní e-mailové zprávy uživateli.
Daniel Neumann
>10000
200-499
5000-10000
100-199
1000-4999
<100
500-999
Z hlediska oborového zastoupení mezi respon- pětina) a dále energetickým průmyslem (14,3 %)
denty nejvíce figurovali zástupci z IT a telekomu- a sektorem dopravy (14,3 %).
nikací (cca třetina), následováni státní správou (cca
Veřejná správa
Výzkum
Vzdělávání
IT a telekomunikace
Finanční služby
Doprava
V samotném úvodu šetření nás zajímalo, kolik Podobné výsledky přinesl report i v minulém roce.
procent z dotázaných využívá služeb SOC. Pětina Stále tedy platí, že fáze „uvažujeme o SOC“ trvá
zákazníků má vlastní SOC, který plně pokrývá je- roky a ve výsledku nevede k ničemu (tvrdý ver-
jich potřeby. Zhruba 15 % sice SOC vlastními silami dikt, který bohužel naprosto koresponduje s prak-
provozuje, ten ovšem úplně nevyhovuje interním tickými zkušenostmi). Potěšující je, že nikdo ne-
potřebám. Obdobné zastoupení pak představuje odpověděl, že SOC organizace nemá a ani o něm
počet organizací využívajících služeb externího neuvažuje.
SOC. Více jak 40 % SOC nemá, ale uvažuje o něm.
Nevím
Ne, SOC nemáme, ale uvažujeme o něm
Ano, využíváme externí SOC
Ano, máme vlastní SOC, ale plně
neodpovídá našim potřebám
Ano, máme vlastní SOC
a plně pokrývá naše potřeby
Nevím
Považuji SOC za vhodné doplnění
bezpečnostních služeb, ale domnívám se,
že jej lze nahradit jinými nástroji a procesy
Ano, jednoznačně
V rámci bezpečnostní analýzy hraje významnou dle důležitosti to byly serverové operační systémy,
roli zaznamenávání dat za účelem jejich analýzy síťový firewall a IPS/IDS. Výsledky se od předcho-
(logování). Logy z jakých tří typů systémů považují zího roku v tomto případě prakticky nezměnily.
oslovené organizace za nejvýznamnější? V pořadí
DHCP
71,4 %
21,4 % DNS
64,3 %
42,9 % Antivir
7,1 %
IPS/IDS
21,4 %
Síťový firewall
35,7 %
7,1 % Desktopové operační systémy
Bezpečnostní dohled bývá standardně v režimu kategorie kriticky významných a řešení incidentů
8x5 či 24x7. Tento rozsah služby je jistě velice snese určitý časový odklad. Pro tyto případy by
efektivní a s vysokou pravděpodobností pomůže dávalo smysl využít omezenou formu bezpečnost-
odhalit nekalé aktivity útočníků při samém počát- ního dohledu, kdy by se bezpečnostní specialista
ku, představuje ovšem variantu, která je z důvo- nedíval do zákazníkova prostření v reálném čase,
du časové vytíženosti značně nákladná a většina ale retrospektivně, několikrát denně. Kumulativní
organizací si ji z tohoto důvodu nemůže dovolit. souhrn denního dohledu by tak činil např. 1 hodinu
Existují samozřejmě i případy, kdy okamžitá reak- každý pracovní den. Pro polovinu oslovených ten-
ce není potřeba, neboť organizace nespadá do to typ dohledu nedává smysl, pětina by jej naopak
uvítala a dalších 20% si není jisto.
Nevím
V dnešní době se každé IT oddělení potýká s ře- né instituce řešit každý odhalený bezpečnostní in-
šením bezpečnostních incidentů. Jejich množství cident? Pětina ano, a to v adekvátním čase. Třetina
se odvíjí od mnoha faktorů – „atraktivnosti“ dotyč- sice ano, ale řešení trvá delší dobu, než by bylo
né organizace pro útočníky, bezpečnostních tech- vhodné. Pětina je schopná řešit pouze ty nejkritič-
nologiích schopných tyto incidenty identifikovat tější incidenty.
a zkušenostech členů IT oddělení. Zvládají oslove-
Nevím
Kybernetické bezpečnostní incidenty bývají ne- reakční dobu na nekritický bezpečnostní incident
předvídatelné, vznikají a vyvíjejí se často ve velmi považují organizace za dostatečnou. Přibližně tře-
krátké době a zasažené subjekty i osoby odpo- tina si myslí, že reakce do 4 hodin je dostatečná.
vědné za reakci na incidenty a zmírnění jejich účin- Stejné zastoupení měla skupina, pro níž je ade-
ku musí proto reagovat velice rychle. Minimalizace kvátní dobou řešení jeden pracovní den. Necelých
reakční doby na incident je tak jednou z nejefektiv- 30 % respondentů se ztotožňuje s dobou kratší
nějších forem obrany vedoucí ke zmírnění dopadu než 2 hodiny.
incidentu. V rámci dotazníku nás zajímalo, jakou
Do 4 hodin
Do 2 hodin
Max. 30 minut
Kolik lidí je v rámci organizace oficiálně zodpověd- povědi na tuto otázku jinak byly značně nesouro-
ných za reakci na incidenty? Třetina oslovených dé, neboť v některých organizacích je zodpovědná
organizací zvolila 2 zodpovědné osoby. Další od- pouze jedna osoba, jinde je takových lidí více jak 10.
4 10+
3 5+
2 10
1 nemáme žádného
specialistu na incidenty
Závěr průzkumu věnujeme výši investic určených ké bezpečnosti pandemie neovlivnila. V případě
na zajištění kybernetické bezpečnosti v návaznos- 14,3 % respondentů došlo k navýšení investic, ov-
ti na pandemickou situaci. Více jak 85 % účastníků šem nijak výraznému.
průzkumu uvedlo, že výši investic do kybernetic-
Jan Šimůnek
Rok 2021 přinesl několik zajímavých aktualit v pro- tazy a tím znemožňuje možnost již zmíněné kore-
středí DNS, které ve většině případů souvisí s po- lace dotazů a koncových stanic. Běžný uživatel se
stupným přechodem na šifrované varianty proto- s tímto protokolem může setkat například u zaříze-
kolu DNS. Za zmínku stojí například implementace ní Apple iOS 15 nebo macOS Monterey při zapnutí
Oblivious DoH (oDoH) nebo DDR (Discovery of funkce iCloud Private Relay.
Designated Resolvers). Zajímavý pohled také nabí-
zí analýza adaptace šifrovaných variant a množství Dalším zajímavým konceptem představeným v mi-
přeložených dotazů veřejně dostupnými servery. nulém roce je DDR. Jedná se o mechanismus
Na závěr tohoto textu se podíváme na bezpečnost navržený firmami Cloudflare, Microsoft, Apple
řešenou na úrovni DNS a množství blokovaných a Fastly. DDR je schopný bez manuální konfigura-
dotazů za uplynulý rok na domény spojené se ce rozpoznat možnosti DNS serveru a automaticky
škodlivými aktivitami. přepnout do šifrované podoby ve formě DNS over
HTTPS (DoH) nebo DNS over TLS (DoT). To však
Začněme novinkami, které se v minulém roce udá- pouze za předpokladu, že je tato funkce serverem
ly. První z nich je protokol oDoH s cílem minima- podporovaná. Celý princip je založen na odeslání
lizovat možnost správců rekurzivních resolverů plaintext dotazu na DNS server se SVCB zázna-
monitorovat aktivity koncových uživatelů. Princip mem obsahující „_dns.resolver.arpa“. Odpovědí
je založen na použití proxy systému, který přepo- jsou již zmíněné podporované možnosti šifrování
sílá šifrované dotazy na server poskytující překlad a následná komunikace tak může probíhat v za-
a skrývá zdrojovou adresu iniciující strany. Proxy bezpečené podobě.
server maskuje svou adresou klienty posílající do-
Do53
78 % DNSCrypt
7,64 mil.
DoH
1%
0.08 mil.
Do53
DNSCrypt
63 %
5,23 mil.
DoH
Detekování komunikace na škodlivé domény které doposud nebyl generován provoz, tak nově
Detekce a následná blokace DNS dotazů, které vznikající phishingové kampaně a DGA (Domain
směřují na škodlivé domény je funkce, kterou po- Generation Algorithms). Za zmínku taktéž stojí
skytují některé rekurzivní resolvery. Tento způsob množství domén obsahující malware a blokace
ochrany se jeví jako efektivní řešení v decentrali- 1980 dotazů spadající do kategorie Cryptomining,
zované architektuře s cílem zabezpečit koncové které jsou detekovatelné na základě dotazů do tzv.
stanice a znesnadnit útočníkům jejich aktivity. mining poolů.
Následující data jsou získána z technologie Cisco Téměř 93 % organizací detekovalo ve své infra-
Umbrella napříč několika vybranými organizacemi struktuře dotazy na domény spojené s malwarem
za měsíc listopad. Jako nejčastější se jeví bloka- a následně blokovalo komunikaci spojenou s ne-
ce dotazů podezřelých domén vyznačující se níz- žádoucími aktivitami. Poměrně vysoký je také vý-
kým reputačním skóre. Následují nově vytvořené skyt dotazů spadající do kategorie phishingu (53 %
záznamy, které zahrnují jak legitimní záznamy, na dotázaných) a cryptominingu (60 % dotázaných).
Potentially Harmful
Phishing
Malware
Dynamic DNS
DNS Tunneling
Cryptomining
Potentially Harmful
Phishing
Malware
Dynamic DNS
DNS Tunneling
Cryptomining
0% 20 % 40 % 60 % 80 % 100 %
Jiří Herzig
Od prvního antivirového softwaru a prvního fire- povídali na otázky týkající se právě používaných
wallu uplynula už pěkná řádka let a počet techno- technologií v jejich prostředí. Ruku v ruce s množ-
logií které zajištují naši bezpečnost v kybersvětě stvím technologií ale hraje roli i velikost společ-
značně narostla. To, že jen malé množství společ- nosti a citlivost dat, se kterými pracují, stejně jako
ností řeší každou oblast kyberbezpečnosti, ukazují schopnost financovat nákup těchto nových tech-
i odpovědi v našem dotazníku, kde dotazovaní od- nologií.
DLP
SIEM/SOAR
RemoteAccess VPN
Ochrana E-mailu
Webová proxy
(kontrola URL, dešifrování provozu…)
NGFW firewall
Základní firewall
0% 20 % 40 % 60 % 80 % 100 %
V první otázce dotazníkového průzkumu jsme se rolovat provoz na úrovni aplikací, nebo na základě
zajímali o to, jaké technologie jsou nejčastěji vyu- URL, případně využijí kontrolu na viry a malware.
žívány. Použití firewallu je dnes již nutností. Je to ta Další funkcí těchto firewallů pak často bývá právě
nejzákladnější technologie, která dokáže prostředí IDS/IPS, tedy pokročilá ochrana proti vniknutí ne-
uživatele ochránit před útočníky toužícími po da- žádoucích osob. Dle výsledků můžeme vidět, že
tech, nebo těmi, kteří chtějí „jen“ uškodit. Základ- nějakou verzi firewallu používají všichni dotazova-
ní stavové firewally již ale dnes nedokáží ochránit ní, někteří i obě varianty.
sofistikovaný útok moderních hackerů a jejich ná-
strojů. V tomto případě mohou pomoci tzv. firewa- Můžeme zde vidět, že ochranu e-mailu, ať už v ja-
lly nové generace (NGFW) a jejich schopnost kont- kékoliv podobě, používá 100 % dotazovaných.
Kombinace s cloudem
90 % Cloud
Virtualizace
Dedikovaná zařízení
Tak jako v jakémkoliv jiném odvětví, i v kyberkri- ročné, nebo je těžké přesvědčit o investici ty, kteří
minalitě se útočníci snaží přijít každý den s no- o ní rozhodují. To je vzhledem k vysokým cenám
vým řešením, jak se dostat k datům a informacím těchto technologií pochopitelné, ale je třeba si
jednotlivých uživatelů. V tomto odvětví je to ještě také uvědomit, jaký dopad by pro organizaci před-
umocněno tím, že informace vládnou světu a je stavoval úspěšný kybernetický útok, při kterém by
to často velmi cenná komodita. Z toho důvodu je došlo například k úniku citlivých dat kvůli chybějící
dobré, ne-li přímo nutné, držet krok s vývojem za- bezpečnostní technologii.
bezpečení podnikového prostředí. Jak bylo uvede-
no na začátku tohoto článku, pryč jsou doby, kdy
stačil pouze firewall. Tím se zabývala i naše další
otázka. Je vidět, že respondenti o rozvoji bezpeč-
nosti uvažují. Pouze čtvrtina je se stavem svého
zabezpečení spokojena a já předpokládám, že je
to jistě z důvodu nedávného rozšíření bezpečnost-
ních technologií. Další čtvrtina dotazovaných by
rozvoj chtěla, ale bohužel je to pro ně finančně ná-
Většina dotazovaných chce rozšířit stávající tech- o přístup do zabezpečené sítě nebo do kritické ap-
nologie o ty chybějící anebo povýšit o nové likace je skutečně tou osobou, kterou tvrdí. Rozší-
funkce. Obecně lze říct, že správci chtějí mít vět- řil se i zájem o multifaktorové ověřování uživatelů
ší přehled a snadnější správu. Základní pravidlo a správu přístupu uživatelů.
v bezpečnosti nejen v oblasti IT je totiž „co nemo-
hu vidět, nebo o čem nevím, proti tomu se nemo- Jako společnost poskytující služby jsme sami za-
hu chránit“. Dalším směrem rozvoje je nepochybně znamenali i jiný trend. Menší společnosti se stále
ochrana koncových zařízení. Je to dáno právě tím, více zajímají o zabezpečení, ale mnohdy na agen-
že stále více lidí pracuje mimo kanceláře a útočníci du s tím spojenou nemají vyškolené správce, nebo
toho velice rádi využívají. Málokdo má možnost mít se jednoduše nechtějí takovými věcmi zabývat.
domácí síť zabezpečenou tak, jako tu podnikovou. I z tohoto důvodu vznikají tzv. manažované služby,
Klasické antiviry také už přestávají stačit na sofisti- kdy se zákazníkovi poskytne např. ochrana konco-
kovaný malware, který je často připraven tak, aby vých zařízení společně s monitoringem a řešením
klasickými antiviry prošel. Zde je pak výhodné být problémů pomocí lidské síly. I my v Alefu jsme jako
připraven a používat pokročilou ochranu proti mal- odpověď po této poptávce vytvořili službu, díky
ware. A jelikož jako správci nemáme často mož- níž dokážeme zajistit vyšší úroveň zabezpečení
nost ovlivnit, jak uživatelé chrání svěřená zařízení, i s lidským přístupem v případě řešení problémů.
je často nutné ověřovat, zda osoba, která žádá
SIEM/SOAR
RemoteAccess VPN
Ochrana E-mailu
Webová proxy
(kontrola URL, dešifrování provozu…)
NGFW firewall
Základní firewall
0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 %
Nepotřebuji
Nepotřebuji tyto informace
tyto informace
Milan Habrcetl
Tato část analýzy probíhala nad daty příchozích ti předchozímu roku se jedná o nárůst počtu zablo-
e-mailových zpráv, které byly přijaty vybranými kovaných e-mailových zpráv, avšak jedná se o té-
e-mailovými branami v roce 2021. měř stejnou hodnotu jako v roce 2019, tedy před
situací spojenou s pandemií.
Za celý rok 2021 bylo zablokováno více než 88
procent všech příchozích e-mailových zpráv. Opro-
V každém čtvrtletí roku 2021 bylo e-mailovými kováno v posledním čtvrtletí (řijen, listopad, pro-
branami zablokováno průměrně 86 procent e-mai- sinec), kdy procento blokovaných zpráv dosáhlo
lových zpráv. Nejvíce e-mailových zpráv bylo blo- téměř 93 procent.
60 %
40 %
20 %
0%
Q1 Q2 Q3 Q4
60 %
40 %
20 %
0%
Q1 Q2 Q3 Q4
Analýza důvodu blokace e-mailových zpráv v tomto případě jedná o překlep v zadávání e-mai-
Při analýze důvodů blokace e-mailových zpráv na lových adres. Také se může jednat o e-mailovou
e-mailových branách jsme zjistili, že téměř všechny adresu, která v minulosti existovala, ale byla sma-
(přes 98 procent) zablokované e-mailové zprávy zána, a útočníci ji mají stále uloženou v seznamech,
byly zablokovány na základě informací z reputační případně je již neexistující adresa stále k dispozici
databáze o serveru, ze kterého e-mailová zpráva na webových stránkách.
přišla. V reputační databázi je serverům přiděleno
skóre a pokud je serveru přiděleno nízké nebo ne- Téměř 1 procento zablokovaných e-mailových
gativní skóre, pak je komunikace z tohoto serveru zpráv bylo zablokováno kvůli tomu, že zprávy byly
zablokována. klasifikovány jako spam, nebo byl jejich součástí
škodlivý obsah. Většina zablokovaných e-mailo-
Necelé 1 procento zablokovaných e-mailových vých zpráv se škodlivým obsahem obsahovala
zpráv byla zablokováno kvůli tomu, že e-mailové URL adresu, která odkazovala na škodlivé webové
adresy příjemců těchto zpráv neexistují, často se stránky. Zbytek zablokovaných zpráv se škodlivým
Spam a e-maily
se škodlivým obsahem
0,69 %
0% 20 % 40 % 60 % 80 % 100 %
Marketingové a jinak označené Tyto zprávy se tedy pohybují v „šedé zóně“ mezi spa-
e-mailové zprávy (Graymail) mem a legitimním e-mailem. Proto se nedá jednoznač-
E-mailové brány jsou obvykle také schopny iden- ně určit, jestli se jedná o nevyžádanou poštu. Tyto
tifikovat a označovat e-mailové zprávy s marketin- e-mailové zprávy se tak automaticky neblokují, ale jen
govým obsahem či zprávy ze sociálních sítí. Často nějakým způsobem označují, například vložením tex-
jsou tyto typy e-mailových zpráv nazývané jako tu „[Marketing]“ do předmětu e-mailové zprávy. Takto
„Graymail“, protože někteří uživatelé považují tyto označených e-mailových zpráv bylo v námi získaném
zprávy za nevyžádanou poštu, někteří si ale na- vzorku dat z e-mailových bran téměř 10 procent z cel-
opak tuto poštu vyžádali. kového počtu nezablokovaných e-mailových zpráv.
Oleksandra Kocyba
Webové aplikace již dlouhá léta nejsou pouze rých běží aplikace, na prostředí tradiční, cloudová
doménou internetových prohlížečů či speciálních a hybridní. V tradičním prostředí běží aplikace ve
„těžkých“ klientů. Webové aplikace nebo HTTP či vlastním datovém centru či pronajatém racku (čas-
HTTPS protokol je dnes zastoupen téměř všude. to označován jako on-premise). Druhé zmíněné
Od klasických webových aplikací, přes mobilní ap- prostředí cloudu je specifické tím, že organizace
likace, streamovací a komunikační služby či komu- využívá pouze technologické možnosti, které jsou
nikace propojující podniky a jejich podnikové apli- v cloudu dostupné. Posledním prostředím je kom-
kace, až po ovládání výrobních linek. Bezpečnost binace obojího, tedy on-premise a cloudu nazýva-
webových aplikací a jejich ochrana před hrozbami né také jako hybridní prostředí. Téměř dvě třetiny
se stává pro mnohé organizace kritickou. V tomto respondentů využívají pro své aplikace hybridní
reportu se podíváme, jak řeší bezpečnost a ochra- prostředí, přibližně čtvrtina zůstává u klasického
nu před hrozbami české organizace prostřednic- modelu on-premise a více než desetina využívá
tvím dat získaných z dotazníkového šetření mezi plně cloudového prostředí.
klienty Alef Group.
12,712,7
%%
CloudCloud
23,523,5
% %
63,8
63,8%
% On-premise
On-premise
Kombinace obojího
Kombinace obojího
V návaznosti na předchozí dotaz je skladba odpo- chyby nebo nebude prostor chyby objevit a opra-
vědí respondentů velmi podobná. Tedy dvě třetiny vit. Budou existovat chyby logické, chyby v kódu
respondentů využívají webový aplikační firewall, či chyby v knihovnách třetích stran. Za těmito chy-
přibližně pětina spoléhá na bezpečný vývoj apli- bami je vždy lidský faktor. Útoky, které využívají
kace a necelých třináct procent využívá pro zabez- dosud neznámých chyb (zranitelností), se nazývají
pečení svých aplikací služeb poskytovatele clou- Zero Day útoky. Vzpomeňme na kritické zranitel-
du. Vyvíjet bezpečné a „neprůstřelné“ aplikace by nosti a relativně jednoduše proveditelné zranitel-
mělo být vždy cílem. Tomuto cíli se však lze pouze nosti HEARTBLEED, SHELLSHOCK nebo čerstvě
přiblížit, protože aplikace budou vždy obsahovat Log4j zveřejněné v prosinci roku 2021.
12,7 12,7
% %
Využívám
Využívám služeb
služeb cloudového
cloudového providera
providera
21 % 21 % 66,3 %%
66,3
Žádné
Žádné(spoléhám na správně
(spoléhám napsanou
na správně aplikaci) aplikaci)
napsanou
Využívám webový aplikační firewall (on-prem)
Využívám webový aplikační firewall (on-prem)
Mluvíme-li o zabezpečení webové aplikace, exi- periodicky sestavován a reflektuje aktuální vývoj
stuje celá řada metodologií popisujících postupy a trendy. V průběhu času se OWASP Top Ten se-
pro bezpečný vývoj a testování webové aplikace. znam stal prakticky standardem, podle kterého se
Jeden z nejznámějších projektů je OWASP (Open může řídit každá organizace a zaměřit se tak na
Web Application Security Project). Tato nadace nejdůležitější oblasti v zabezpečení svých aplika-
sdružuje tisíce vývojářů, kteří se podílí na tvor- cí. Data získaná z dotazníkového šetření tomuto
bě projektů zabývajících se bezpečným vývojem nasvědčují, neboť všichni respondenti odpovědě-
webových aplikací. Jedním z nich je také seznam li na otázku, zda sledují seznam OWASP Top Ten
10 nejčastějších hrozeb a rizik webových aplikací kladně a dbají na zabezpečení proti všem nebo
OWASP Top Ten. Tento seznam hrozeb a rizik je alespoň části ze zranitelností.
23,923,9
% %
Ano,sleduji
Ano, sledujialeale dbám
dbám jen jen částečně,
částečně,
některé se mě netýkají
některé se mě netýkají
76,1 %%
76,1 Ano,sleduji,
Ano, sleduji,a dbám
a dbám
na na zabezpečení
zabezpečení
proti
protivšem
všemvyjmenovaným
vyjmenovaným hrozbám
hrozbám
V závěrečné části reportu se zaměříme na útoky DoS boty. Útočník malwarem kompromitované po-
proti webovým aplikacím, za kterými ve velkém čítače či systémy ovládá za účelem vykonávat za-
procentu případů stojí roboti, tedy automatizovaní dané instrukce a operace k provedení DoS útoků
klienti (označovaní také jako boti). Tyto automati- (Denial of Service). Větší skupině takovýchto botů
zované klienty můžeme rozdělit do dvou skupin. se říká botnet a jsou často využívány k zahlce-
První z nich jsou neškodné roboty (vyhledávače, ní webových aplikací velkým množstvím provozu
srovnávače, marketingové nástroje, SEO apod.), (distribuovaný DoS útok – DDoS), který může mít
jejichž přínosy jsou pro dnešní elektronické ob- za následek výpadek aplikace a její znepřístupně-
chodování a konzumaci internetu důležité a mnoh- ní legitimním uživatelům. Podle výsledků dotazní-
dy nepostradatelné. Dalším typem robotů jsou kového šetření řeší ochranu proti DDoS útokům
spíše nežádoucí nebo vyložené škodlivé skupiny přibližně 63 % dotazovaných organizací.
robotů. Mezi tyto škodlivé můžeme zařadit tzv.
37,5 %
Ne
62,5 % Ano
Obdobně 63 % organizací se s DDoS útoky na jej detekovaly, naopak 13 % organizací s detekcí
aplikace v roce 2021 nesetkalo. Kolem 24 % orga- a ochranou úspěšných nebylo.
nizací se poté s DDoS útokem setkalo a úspěšně
23,8 % Ne
Ano, nepovedlo se nám
63,2 % 13 % útok včas detekovat a předejít mu
Ano, povedlo se nám
útok včas detekovat a předejít mu
Dalším typem nežádoucích či škodlivých robotů kombinace přihlašovacích jmen a hesel nebo kom-
se kterými se organizace často setkávají, jsou boti binace uniklých přihlašovacích údajů (credential
se schopností interagovat s webovými aplikacemi stuffing). Podle průzkumu přibližně polovina orga-
jako klasický „lidský“ uživatel. Jedná se o automa- nizací rozlišuje, zda s jejich aplikacemi interaguje
tizované skripty, které se pokouší různými způsoby člověk či robot, polovina se poté s útokem robotů
kopírovat stránky a sbírat informace a ceny z webů na svou aplikaci nikdy nesetkala, přibližně 13 % na-
(content a price scraping), či zneužít nechráněné opak ano.
přihlašovací formuláře, na kterých testují různé
12,5 % Nevím
Ne 37,3 %
52 % 48 %
50,2 % Ne
Ano
Ano
Z šetření jednoznačně plyne fakt, že se respon- sledních téměř dvou dekádách významně vzrostl
denti vážně zabývají zabezpečením webových a stal se nástrojem pro komunikaci a nástrojem
aplikací, neboť význam webových aplikací v po- obchodní činnosti komerčních organizací.
David Horák
Rok 2021 byl z pohledu Zero-Day zranitelností pro chybou s označením CVE-2021–27065 objeve-
společnost Microsoft náročným obdobím, neboť nou také v prosinci roku 2020 mohl útočník násled-
právě v tomto roce jich bylo hned několik. My si ně zapsat do systému libovolný soubor v podobě
v rámci tohoto reportu čtyři z nich blíže popíšeme například web shellu, skrze který následně bylo
a zobrazíme si je na časové ose. možné vzdáleně spouštět libovolné příkazy. Výše
uvedené zranitelnosti byly společnosti Microsoft
Zřejmě největší dosah měla zranitelnost zvaná nahlášeny skupinou DEVCORE 5. ledna 2021, ná-
ProxyLogon, která se nacházela v produktu Micro- sledně probíhalo ověřování této zranitelnosti spo-
soft Exchange. Tuto zranitelnost objevila skupina lečností Microsoft. K jejímu potvrzení došlo 8. led-
DEVCORE a skládala se hned z několika zneuži- na 2021. Aktualizace s potřebnými doporučeními
telných chyb. První z těchto chyb byla objevena následně společnost Microsoft vydala až 3.března
už v prosinci roku 2020 s označením CVE-2021– 2021. Náprava této zranitelnosti tedy trvala 58 dní.
26855. Tato chyba umožňovala útočníkovi vzdá- Vzhledem k množství serverů Microsoft Exchange
leně obejít ověřovací mechanismus a tím získat dostupných přímo z internetu měla tato zranitel-
administrátorská privilegia. V kombinaci s druhou nost pro mnoho společností drtivé následky.
3. března 2021
5. ledna 2021 CVE-2021-26855,
Microsoft upozorněn CVE-2021-27065 s aktualizacemi
⊳ Detekce
únor březen
leden 2021 březen 2021
58 dní
Další zranitelnost zvaná PrintNightmare přines- cemi 6. července 2021 opravujícími další chybu
la mnoho strastí pro tiskové služby v rámci Acti- ve službě Print Spooler, která umožňovala zmíně-
ve Directory. Dění okolo této zranitelnosti začalo nou instalaci maligního ovladače a ovládnutí sys-
8. června 2021, kdy společnost Microsoft vyda- tému vzdáleně. Nicméně ani tato aktualizace dny
la CVE-2021–1675 s aktualizacemi opravujícími zranitelnosti neukončila a výzkumníci našli jiné
zneužitelnou chybu ve službě Print Spooler. Tato cesty jejího zneužití. To vedlo 15. července 2021
chyba umožňovala eskalaci oprávnění na úroveň k vydání nového CVE-2021–34481 upozorňující
systému běžnému uživateli za pomocí nahrání ma- na tuto chybu. Aktualizace pro CVE-2021–34481
ligního ovladače a byla zneužitelná pouze lokálně. společnost Microsoft vydala 10. srpna 2021, kte-
Vydaná aktualizace probudila v mnoha výzkumní- rá bohužel danou chybu plně neopravila. CVE-
cích zájem o tento typ zranitelnosti. Jedním z nich 2021–34481 byla kompletně opravena až ve vlně
byl například Benjamin Delpy. Tento zájem vedl pravidelně vydávaných aktualizací 14. září 2021.
k sérii „bojů“ mezi novými aktualizacemi a novými Kompletní náprava trvala 100 dní a během těchto
zneužitími. 1. července 2021 společnost Microsoft procesů aktualizování se mnoho společností potý-
vydala CVE-2021–34527 s následnými aktualiza- kalo s problémy s tiskem.
100 dní
srpen
červen 2021 říjen 2021
1 den
Poslední zranitelnost, na kterou se v rámci reportu řadič. Zranitelnost byla detekována a publikována
podíváme je PetitPotam. Tuto zranitelnost objevil 18. července 2021. Společnost Microsoft vydala 10.
výzkumník označovaný na Twitteru jako @Topo- srpna 2021 CVE-2021-36942 s aktualizacemi, kte-
tam77. Zranitelnost umožňovala útočníkovi donutit ré nicméně danou zranitelnost kompletně neopra-
Encrypting File System Remote Protokol (EFSRPC) vily. Mimo společnost Microsoft se opravou dané
na vzdáleném zařízení k ověření vůči cílové služ- zranitelnosti zabývala i platforma 0Patch, která vy-
bě, kterou byly certifikační služby. Díky tomu si dala aktualizaci 19. srpna 2021. Finální aktualizaci
byl útočník schopný vydat certifikát pro zneužité vydala společnost Microsoft až 21. prosince 2021.
vzdálené zařízení, kterým mohl být i doménový Náprava této zranitelnosti tedy trvala 156 dní.
Z výše uvedených čísel vyplývá, že ačkoliv je základním předpokladem včasná aktualizace systému, tak
na Zero-Day zranitelnosti musíme naše prostředí na pravidelné bázi připravovat pomocí aktuálních bez-
pečnostních principů a praktik.
Oleksandra Kocyba
V dnešní době je většina dat, se kterými pracuje- serverů, které podporují šifrovanou či nešifrova-
me, online. Data k nám pak putují po veřejné síti, nou komunikaci. Je potřeba zmínit, že podpora
kde jsou vystavena riziku odchycení. I z toho dů- HTTP i HTTPS není vzájemně exkluzivní. Mnoho
vodu byly vyvinuty protokoly sloužící k šifrování webových serverů má otevřený port 80 (HTTP)
provozu v počítačových sítích. Ve světě webových i port 443 (HTTPS). Port 80 se využívá pro prvotní
aplikací se jedná zejména o protokoly TLS (resp. navázání spojení s klientem, načež je klient pře-
SSL). směrován na port 443, kde následná komunikace
probíhá šifrovaně.
Podle dat nahromaděných za rok 2021 na českém
internetu se zaměříme nejprve na poměr web-
58 %
56 %
54 %
52 %
50 %
21 21 21 21 21 21 21 21 21 21 21 21
1 .20 2 .20 3 .20 4 .20 5 .20 6 .20 7 .20 8 .20 9 .20 0 .20 1 .20 2 .20
.0 .0 .0 .0 .0 .0 .0 .0 .0 .1 .1 .1
01 01 01 01 01 01 01 01 01 01 01 01
HTTPS HTTP
Webová komunikace je šifrovaná pomocí proto- doporučení dle dat nahromaděných za rok 2021
kolů TLS nebo předchůdce – SSL, jenž obsahuje projevují. V průběhu roku docházelo k postup-
známé zranitelnosti a z bezpečnostních důvodů nému snižování webových serverů podporujících
by se již neměl používat. Nahradil jej TLS, kte- TLSv1.0 (na 0,4 % ze všech detekovaných web-
rý prochází vývojem již od roku 1999, od verze serverů) a TLSv1.1 (na 0,003 %) a k nárustu serverů
TLSv1.0 až po současnou verzi TLSv1.3., přičemž podporujících TLSv1.3. Na grafu níže je znázorněn
mezi doporučované verze od roku 2020 patří pou- proměnlivý počet dostupných webserverů a pod-
ze TLSv1.2 a TLSv1.3. Na českém internetu se tato porovaných verzí TLS.
40 %
35 %
30 %
25 %
20 %
15 %
10 %
5%
0%
Q1 Q2 Q3 Q4
K zajištění šifrované komunikace však nestačí ur- Šifrovacích sad je velké množství a pro tento re-
čit jen verzi TLS/SSL. Při navazování komunikace port bylo vybráno 26 nejčastěji používaných sad,
se klient a server musí domluvit na šifrovací sadě, rozdělených do kategorií: Recommended (např.
která určuje nejen algoritmus určený k šifrování TLS-AES-256-GCM-SHA384), Secure (např. ECD-
komunikace, ale i algoritmus pro výměnu klíčů, HE-RSA-AES128-GCM-SHA256) a Weak (např.
algoritmus sloužící k autentizaci a MAC algorit- ECDHE-RSA-AES256-SHA384). V grafu níže jsou
mus zajišťující integritu přenášených dat. Tato poté znázorněny počty webserverů podporujících
šifrovací sada poté určuje, jak bezpečná, kom- danou kategorii šifrovacích sad.
patibilní a rychlá bude komunikace se serverem.
300 000
250 000
200 000
150 000
100 000
50 000
0
Q1 Q2 Q3 Q4
Tak jako z výsledků loňského reportu je i v letošním roce vidět pozitivní nárůst v počtu serverů podporují-
cích šifrovanou komunikaci a postupná adaptace protokolu TLSv1.3 včetně bezpečnějších šifrovacích sad.
Radek Švadlenka
25 %
20 %
15 %
10 %
5%
0%
< 100 100-199 200-499 500-999 1 000-4 999 5 000-10 000 > 10 000
Počet zaměstnanců organizace
30 %
25 %
20 %
15 %
10 %
5%
0%
a a l a í í ý
rav tik acie nc
e
elco ys áv um ván ictv Jin
op
e a at rů
m
sp
r zk ělá otn
er
eg arm Fin P Vý
D
En
F IT
ejn
á
Vz
d rav
ř Zd
Ve
Aby interpretace jednotlivých výstupů nebyla jekty podle zákona o kybernetické bezpečnosti,
zkreslena, je třeba upřesnit, že více než polovina jak ilustruje následující graf.
respondentů průzkumu se řadí mezi povinné sub-
23 % Správce/provozovatel VIS
Realizaci vzdělávacích aktivit v oblasti kyberne- označit postupný návrat organizací do před pan-
tické bezpečnosti je možné zajistit za pomoci jak demického stavu, kdy investovaly do vzdělávacích
interních, tak i externích zdrojů v podobě prezenč- aktivit více nez 500 Kč. Celkem logicky pak mezi-
ních školení či e-learningových nástrojů. Vzhle- ročně klesl počet firem investujících do vzdělávání
dem k omezením souvisejících s pandemií musela mezi 251 Kč až 500 Kč na zaměstnance. Bohužel,
být zejména prezenční školení nahrazena jinou for- množství organizací s ochotou investovat do vzdě-
mou např. virtuálních školení pomocí online plat- lávání zaměstnanců minimální nebo dokonce žád-
forem. V grafu níže je možné sledovat porovnání né prostředky se meziročně drží stále na vysoké
investovaných prostředků do vzdělávání v letech úrovni.
2019, 2020 a 2021. Jako pozitivní trend je možné
40 % 2020
2021
30 %
20 %
10 %
0%
0-20 Kč 21-100 Kč 101-250 Kč 251-500 Kč 501-1.000 Kč více než 1.000 Kč
Průměrný měsíční náklad na zaměstnance
Vzdělávání uživatelů – realita versus plán Pozitivní trend je vidět alespoň u vzdělávání vy-
V této části průzkumu se zástupci organizací vy- braných uživatelů, kde realita lehce předčila plán
jadřovali k realizovaným a plánovaným aktivitám z roku 2020. Co se týče plánu vzdělávacích aktivit
v oblasti vzdělávání uživatelů s výjimkou bezpeč- pro rok 2022, v podstatě se hodnotově příliš neliší
nostních rolí. Bohužel z grafu níže je patrné, že od plánu pro rok 2021 s mírně rostoucím trendem.
plány z roku 2020 pro vzdělávání všech uživate- Jaká však bude realita je těžké predikovat zejména
lů nebyly v roce 2021 zdaleka naplněny. Naopak s ohledem na další faktory (např. konflikt na Ukraji-
počet organizací, kde vzdělávání vůbec neprobíhá ně), které mohou významně ovlivnit výsledky.
je dvojnásobný oproti plánu z předchozího roku.
Zatímco na vzdělávání uživatelů obecně neměla na pomocí online platformy a zde se realita nijak
probíhající pandemie významný dopad, jak bylo zvlášť neodchýlila od plánu. Z odpovědí týkajících
demonstrováno v předchozím grafu, jinak je tomu se plánu na rok 2022 je možné predikovat pokra-
zákonitě s ohledem na plánované a realizované čující trend migrace k e-learningovým nástrojům
formy vzdělávání uživatelů. Jak je patrné z obrázku a realizace standardizovaných prezenčních kurzů
níže, celkem logicky došlo v roce 2021 k omezení bude přímo úměrná protiepidemickým opatřením
prezenčních standardizovaných školení ve pro- vlády a potenciálnímu riziku nákazy zaměstnanců.
spěch e-learningových řešení oproti plánu stano- Zajímavým fenoménem je také postupný odklon
veném na konci roku 2020. Naproti tomu na míru od standardizovaných forem trainingu zaměstnan-
vytvořená prezenční školení byla často realizová- ců směrem k „na míru“ vytvořeným.
40 %
30 %
20 %
10 %
0%
Komerčně nabízené Komerčně nabízený Na míru vytvořené Na míru vytvořený
standardizované prezenční standardizovaný prezenční školení e-learning
školení e-learning
Za nepříliš optimistický je možné pokládat vývoj ciálního inženýrství. Naopak méně organizací se
v oblasti zaměření vzdělávání pro uživatele. Oproti soustředilo na oblast aktuálních hrozeb a bezpeč-
plánovaným aktivitám došlo ve všech kategoriích nosti mobilních zařízení. Plán zaměření vzděláva-
k významnému poklesu v počtu firem zaměřujících cích aktivit pro uživatele na rok 2022 se příliš neliší
se na danou oblast. Největší zájem byl obecně od plánu pro rok 2021 s mírně rostoucím trendem
spojen s problematikou bezpečných hesel a so- téměř ve všech oblastech výzkumu.
60 %
40 %
20 %
0%
Aktuální hrozby Bezpečnost mobilních Interní bezpečnostní Sociální inženýrství
zařízení směrnice (phishing, apod.)
Legislativa
Bezpečná hesla Fyzická bezpečnost Jiné
(ZKB, GDPR, apod.)
Velice efektivní, ale zároveň také mezi zaměst- organizací zaměřujících se na ostražitost uživatelů
nanci málo oblíbené, jsou aktivity spojené s ově- pomocí simulovaných phishingových útoků klesl
řováním znalostí a ostražitosti uživatelů v oblasti meziročně o 10 %. Negativní trend je možné pozo-
kybernetické bezpečnosti. Obrázek níže ilustruje rovat i na počtu organizací, kde žádné ověřování
aktuální rozložení využívání těchto aktivit u sledo- neprobíhá. Hodnota za rok 2021 dokonce překo-
vaného vzorku subjektů. nala výsledek z roku 2019. Mírný optimismus může
být spojen alespoň s výhledem na rok 2022, kdy
Bohužel celkový trend spojený s těmito aktivitami 76 % organizací plánuje zavést alespoň nějaké
nevykazuje pozitivní vývoj. Ověřování znalostí for- aktivity zaměřené na ověřování znalostí uživatelů
mou testů využívá meziročně stále méně organiza- v oblasti kybernetické bezpečnosti.
cí, byť rozdíly jsou v řádu jednotek procent. Počet
50 %
40 %
30 %
20 %
10 %
0%
Ověřování znalostí formou testu Simulované phishingové útoky Žádné ověřování neprobíhá
30 %
20 %
10 %
0%
Komerční Komerční Prezenční Komerční Komerční E-learningové
prezenční prezenční na míru e-learningové e-learningové na míru
certifikační necertifikační certifikační necertifikační
Vzdělávání odborných rolí bývá na rozdíl od vzdě- hacking. Každé z výše vyjmenovaných zaměření
lávání uživatelů mnohem specifičtěji zaměřeno, vzdělávání bylo využito v roce 2021 téměř polovi-
nicméně z průzkumu vyplývá, že společným atri- nou respondentů.
butem u obou těchto skupin je zvýšený zájem
o rozšíření znalostí zákonné úpravy a návazné le- Mezi dlohodobě „slabá“ témata z hlediska vzdělá-
gislativy v oblasti kybernetické bezpečnosti. vání bezpečnostních rolí je možné zařadit oblasti
kryptografie, forenzních aktivit a bezpečného vý-
Mezi další atraktivní oblasti vzdělávání pro odbor- voje aplikací, které nedosáhly z hlediska využití
né role evidentně patří konfigurace bezpečnost- nad testovacím vzorkem hranice deseti procent,
ních mechanismů a penetrační testování a etický jak je patrné z grafu níže.
80 %
60 %
40 %
20 %
0%
Analýza Bezpečnostní Penetrační testování/
Forenzní aktivity Kryptografie
malware monitoring a reakce etický hacking
na incidenty
Konfigurace
Bezpečnostní best Bezpečný Normy, standardy
bezpečnostních
practices vývoj aplikací a legislativa
mechanismů a prvků
Závěr tohoto příspěvku je obohacen o zajíma- Zároveň 34 % dotázaných odpovědělo, že hybnou
vé odpovědi z řad respondentů, týkající se top silou pro investice do kybernetické vzdělanosti je
managementu a jeho orientace v kybernetické právě úroveň orientace top managementu na poli
bezpečnosti a také vlivu epidemie na organiza- kybernetické bezpečnosti. Většina respondentů
ce. Celkem 97 % respondentů je přesvědčeno, že jako důsledek epidemie vyzdvihuje přesun akti-
vyšší vzdělanost vrcholového managementu v ky- vit do online režimu. Více než třetina organizací
bernetické bezpečnosti má pozitivní vliv na rozvoj vsadila na e-learningové nástroje pro vzdělávání
bezpečnosti v organizaci. Více než 60 % účastníků zaměstnanců, což potvrzují závěry interpretované
průzkumu souhlasí s názorem, že hlavním fakto- v předchozí kapitole. Přes 20 % respondentů uvá-
rem pro ochotu managementu investovat zdroje dí omezení zdrojů do kybernetické bezpečnosti
do kybernetické bezpečnosti jsou medializované a přibližně 40 % organizací prozatím nezavedlo
kybernetické incidenty, případně interní incidenty. změny oproti stavu před epidemií.
Martin Šišmiš
Stejně jako předchozí rok, pojďme se podívat na sestaví, a to pouze pokud oba servery mají TLS
situaci a data ohledně zabezpečení e-mailové ko- povolené a podporují stejnou verzi TLS šifrování.
munikace. Pro přenos dat a zpráv je e-mailovými
servery používán aplikační protokol SMTP, který Je nutné podotknout, že moderní e-mailoví klien-
je sám o sobě nešifrovaný. To znamená, že pokud ti taktéž podporují šifrování mezi koncovou stani-
je potencionální útočník schopný kdekoliv po tra- cí a jejím e-mailovým serverem. Tudíž, pokud je
se zachytávat komunikaci, či spojení přesměro- vše správně nastavené a existuje podpora TLS na
vat přes sebe (on-path útoky), je také schopen si serverech po celé trase přenosu dat, pak by měla
obsah e-mailové komunikace přečíst a dokonce být zajištěna bezpečnost a důvěryhodnost zprávy
zprávy modifikovat. při přenosu.
Pokud bychom se chtěli podívat na množství ko-
Pro ochranu dat při přenosu je možné zvolit dva munikace, která je TLS šifrována u některých
různé přístupy. První možností je zašifrovat e-mail globálních poskytovatelů, může nám pomoci na-
na počítači odesílatele (end-to-end šifrování) příklad Google. Ten na svých stránkách uvádí pro-
za pomocí šifrovacích standardů, které používají centuální hodnoty šifrování příchozích a odchozích
asymetrických kryptografických metod (RSA, El zpráv. Pro rok 2021 je, dle dat společnosti Google,
Gammal, apod.). Pro příklad lze uvést nejvíce uží- v průměru šifrováno přibližně 92 procent příchozí
vané standardy jako PGP, GPG, nebo S/MIME, ale a 87 procent odchozí e-mailové komunikace.
používají se také proprietární standardy. I když
end-to-end šifrování, pokud je správně implemen- Pojďme se také podívat na to, jaká je situace u nás
továno, nabízí poměrně vysokou úroveň zabezpe- v Česku. Pro tento účel můžeme využít našich in-
čení, není úplně jednoduché jej nasadit plošně. terních dat získaných ze serverů ALEF GROUP, ale
Vyžaduje totiž specifické nastavení infrastruktu- také našich vybraných zákazníků, přes které za rok
ry nebo manuální kroky pro výměnu a nastavení 2021 prošlo více jak 100 miliónů zpráv. Následují-
důvěryhodných klíčů. Proto se šifrování na kon- cí graf ukazuje, že v rámci použitého vzorku bylo
cových zařízeních využívá spíše sporadicky, nebo v roce 2021 šifrováno přibližně 95 procent z cel-
pouze v infrastruktuře, která se postará o ověření kového počtu e-mailové komunikace. Z dat také
a distribuci klíčů automaticky. Dalšími nevýhodami vyplývá, že přibližně 82 procent příchozí a 98 pro-
této metody je, že SMTP hlavičky jsou stále čitelné cent odchozí komunikace je šifrováno.
a také, že bezpečnostní prvky, jako třeba kontrola
obsahu na e-mailovém serveru, nejsou schopné
číst samotné tělo e-mailu a najít například škodlivé
odkazy.
100 %
90 %
80 %
70 %
60 %
50 %
2017 2018 2019 2020 2021
V grafech si lze všimnout dlouhodobě stoupající- vě, obzvláště, pokud nemáme kontrolu nad servery
ho trendu, který byl v posledním roce, v porovnání na trase, po které SMTP provoz putuje. Proto bychom
s předchozími, poměrně patrný pro příchozí poštu. měli pro zasílání citlivých informací zvolit end-to-end
V jednotlivých měsících lze i přes kolísání pozorovat šifrování, či jiný způsob bezpečné komunikace.
lehce stoupající tendenci pro oba směry komunikace.
Lze předpokládat, že procento šifrovaného provozu Zdroje:
bude i nadále růst, ale je důležité si uvědomit, že se 1: https://transparencyreport.google.com/safer-e-
nelze plně spoléhat na šifrování na transportní vrst- mail/overview