Alef Security Report 2022 WEB

Security Report
2022
Trust the Strong

www.alef.com
Obsah
3 Úvod
4–5 Analýza událostí zachycených IPS sondami

Stav adopce bezpečnostních mechanismů SPF,
6–9
DKIM a DMARC v ČR
10 – 15 Bezpečnostní dohled a stav Security Operations v roce 2021
16 – 18 Protokol DNS a analýza provozu v roce 2021
19 – 23 Kyberbezpečnostní technologie používané v reálném světě
24 – 26 Analýza dat z e-mailových bran
27 – 29 Zabezpečení webových aplikací
30 – 31 Zero-Day zranitelnosti ve světě Windows
32 – 33 Úroveň šifrování webserverů na českém internetu
34 – 39 Trendy v oblasti bezpečnostního vzdělávání
40 – 41 Zabezpečení e-mailové komunikace
Pro více informací kontaktujte cz-sales@alef.com

Úvod
V posledních dvou letech jsme byli v souvis- týkajících se mj. zabezpečení cloudového pro-
losti s pandemií COVID-19 svědky bezprece- středí nebo bezpečnostního dohledu. Vzhle-
dentních změn v oblasti vývoje informačních dem k přetrvávající epidemické situaci může
a telekomunikačních technologií. To, co bylo být rovněž zajímavé porovnání dat s výstupy
dříve výsadou velkých společností, se stalo z loňského roku, který již byl pandemií plně
standardem pro fungování většiny organizací ovlivněn. Trendy patrné z tohoto porovnání
napříč všemi segmenty trhu. Virtuální mee- mohou poodhalit, jak byly organizace schopné
tingy, online konference, práce z domova, to se adaptovat na nové podmínky a přizpůsobit
vše s podporou cloudových služeb, se pod své procesy probíhajícím globálním změnám.
tlakem okolností stalo neodmyslitelnou sou-
částí našich životů. Každá akce však vyvolává Na tomto místě bychom, jako tradičně, rádi
reakci, a aktuální trendy v komunikaci s sebou poděkovali zejména bezpečnostnímu týmu
přinesly i nové a sofistikovanější aktivity útoč- CSIRT.CZ, který nám laskavě poskytl data
níků. Udržet krok v rámci efektivní obrany není a statistiky ze svých monitorovacích nástrojů.
rozhodně jednoduchá disciplína, a je na každé Zároveň děkujeme všem respondentům, kteří
instituci či jednotlivci, jak se tohoto nelehkého vyplnili naše online dotazníky, neboť dosta-
úkolu zhostí. tečné množství relevantních dat bylo nutnou
podmínkou pro zajištění kvalitního zpracování
Hlavním cílem předložené publikace je po- obsahu následujících příspěvků.
skytnout čtenáři přehled o aktuálních tren-
dech u vybraných oblastí na poli kybernetické
bezpečnosti a pomoci tak organizacím i jed-
notlivcům při výše zmíněné obraně obstát.
Klíčovým zpracovatelem bezpečnostních dat

využitých v rámci této publikace byl tým ALEF
CSIRT, který kontinuálně analyzuje výstupy
z vlastních technických a dalších zdrojů, i re-
levantní data z České republiky a zahraničí
poskytovaná třetími stranami. Předložený re-
port je však obohacen i o příspěvky dalších
specialistů z týmu ALEF Security, kteří pro Vás
zpracovali zajímavá témata z různých domén
kybernetické bezpečnosti. Věříme, že pro Vás
obsah tohoto reportu může být inspirativní na-
příklad pro řešení problematiky kybernetické
bezpečnosti ve Vaší organizaci.
Pokud nahlédnete do následujících stránek,

můžete se těšit mimo jiné na článek týkají-
cí se 0-day zranitelností ve světě Windows,
příspěvek týkající se úrovně šifrování web-
serverů na českém internetu, aktuální trendy
v oblasti bezpečnostního vzdělávání, analýzu
událostí zachycených IPS sondami, ale třeba
také informace o stavu adopce bezpečnost-
ních mechanismů SPF, DKIM a DMARC v ČR.
Součástí této publikace je také několik analýz
Pro více informací kontaktujte cz-sales@alef.com 3

Analýza událostí zachycených IPS sondami
Stanislav Techlovský
Následující část reportu se zabývá analýzou dat

z IPS (Intrusion Prevention System) sond pod sprá-
vou společnosti ALEF Nula a.s. Analýza se zamě-
řuje na data z období posledních dvou kvartálů
roku 2021.
V první části analýzy se nejprve podíváme na

phishing. IPS sondy detekovaly incident vždy, když
se uživatel pokusil navštívit blokované phishingo-
vé stránky. Nejvíce incidentů z minulého roku bylo
detekováno v měsíci srpnu v množství 4966 inci- tou uživatelů na internetu. V posledním kvartálu
dentů, což je bezmála 36 % snížení oproti před- roku 2021 byli útočníci nejaktivnější v měsíci lis-
chozímu roku za stejný měsíc. Ke konci roku 2021, topadu, kdy provedli celkem 4926 phishingových
jak již bývá zvykem, došlo k postupnému nárůstu útoků. Jedná se o 44 % snížení oproti předchozímu
phishingových útoků souvisejících s vyšší aktivi- roku za totožné období.
Phishing
5000
4000
3000
2000
1000
0
2021/06 2021/07 2021/08 2021/09 2021/10 2021/11 2021/12
Za poslední dva kvartály roku 2021 bylo největší předchozímu měsíci listopadu jde o 259 % nárůst.
množství incidentů spojených s malwarem zachy- Vyšší četnost těchto útoků je dána vyšší uživatel-
ceno IPS systémy v měsíci červenec, šlo o bezmá- skou aktivitou na internetu spojenou s koncem
la 233 tisíc událostí. Jedná se o 26 % nárůst oproti roku, k obdobnému nárůstu incidentů v tomto
předchozímu roku za totožné období. V prosinci období dochází pravidelně, jak ukazují mimo jiné
bylo detekováno bezmála 89 tisíc incidentů, oproti i data z předešlých let.
4 Pro více informací kontaktujte cz-sales@alef.com

Malware
struktura
URL Malware
Malware
DNS malware
Detekce spojené se škodlivým kódem člení sledo- padě obsahuje seznam domén, u kterých byl de-
vané IPS systémy do tří základních kategorií. V ka- tekován malware. Událostmi jsou v takovém přípa-
tegorii malware se nacházejí události, při kterých dě detekované DNS dotazy na škodlivé domény,
byla identifikována shoda s reputační databází o jejichž překlad se pokusil malware nacházející
IPS, která obsahuje IP adresy, na nichž se vysky- se uvnitř chráněných sítí. Za sledované období
tuje nebo vyskytoval malware. Porovnává se při posledních dvou kvartálů roku 2021 byla struktura
tom jak zdrojová, tak i cílová IP adresa. Kategorie detekcí malwaru následující: z 34 % byly detekce
URL malware obsahuje pouze adresy, na nichž byl výskytu malwaru realizovaného pomocí reputační
zaznamenán výskyt malwaru. Samotnou detekci databáze, ze 46 % byl malware odhalen prostřed-
provádí sondy na základě analýzy webového pro- nictvím provedené URL kontroly a ze zbylých 20 %
vozu s pomocí kontroly URL. Poslední kategorií je se jednalo o detekci využívající kontrolu DNS (viz.
DNS malware – reputační databáze v tomto pří- graf Detekce škodlivého kódu).
1200
Cryptomining
1000
800
600
400
200
0
2021/06 2021/07 2021/08 2021/09 2021/10 2021/11 2021/12
Jednotlivé „Cryptomining“ události jsou deteko- množství 1043 pokusů. Oproti předchozímu mě-
vány pomocí reputační databáze IP adres, u nichž síci listopadu se jednalo o 848 % nárůst. Druhým
byly v minulosti a současnosti vedeny pokusy měsícem s nejvyšším množstvím pokusů o těžbu
o těžbu kryptoměn. Detekce se dále zaměřuje na kryptoměn byl měsíc srpen, kdy bylo zablokováno
stahování a analyzování binárních dat, webových 368 pokusů, v následujících třech měsících došlo
klientů, těžebních protokolů, blacklist domén a SSL vždy k pozvolnému poklesu pokusů o těžbu kryp-
certifikátů. V prosinci 2021 byl zachycen nejvyš- toměn.
ší počet pokusů o těžbu kryptoměn o celkovém

Stav adopce bezpečnostních mechanismů
SPF, DKIM a DMARC v ČR
Milan Habrcetl
Bezpečnostní mechanismy Sender Policy Frame- organizace, která má správně nastavené bezpeč-
work (SPF), DomainKeys Identified Mail (DKIM) nostní mechanismy SPF, DKIM a DMARC, a tím lze
a Domain-based Message Authentication, Re- zabránit phishingovým útokům, které by zneužíva-
porting and Conformance (DMARC) umožňují, při ly legitimní doménu a které by si tímto způsobem
korektní konfiguraci, organizacím zamezit pod- jednoduše zvýšily důvěryhodnost e-mailových zpráv
vrhování jejich domén při posílání e-mailových u uživatelů.
zpráv. Útočníci tedy nemohou zneužít doménu
Sender Policy Framework Doporučená konfigurace využívá první (-all) nebo

Tento bezpečnostní mechanismus umožňuje or- druhé (~all) zmíněné pravidlo. Při prvotní konfigu-
ganizacím definovat, které servery mohou ode- raci je vhodné použít třetí typ (?all) a po vyzkou-
sílat e-mailové zprávy, které využívají domény šení správné konfigurace oprávněných serverů je
organizace. Kromě seznamu serverů, které mají vhodné ho změnit na první nebo druhý typ. Čtvrtý
toto oprávnění, by na konci SPF záznamu nemělo typ tohoto pravidla by se pak neměl využívat ni-
chybět pravidlo, jak zacházet se zprávami z ostat- kdy, protože to znamená, že je SPF záznam zbyteč-
ních serverů, které nebyly specificky definovány ný, jelikož jsou tímto způsobem oprávněny všech-
v tomto záznamu. Toto pravidlo může mít 4 různé ny servery k odesílání e-mailových zpráv z této
hodnoty a to: domény.
1. „-all“, což se označuje za politiku „fail“, podle
které se e-mailová zpráva zahodí
2. „~all“, což se označuje za politiku „softfail“,
podle které se e-mailová zpráva vloží do ka-
rantény, nebo se označí, ale přepošle uživateli
3. „?all“, což se označuje za politiku „neutral“,
podle které se s e-mailovou zprávou nestane
nic
4. „+all“, což se označuje za politiku „pass“, pod-
le které mohou odesílat všechny servery zprá-
vy s doménou, u které je nastaven tento SPF
záznam
Český internet a SPF záznamy

Na konci roku byly získány statistiky o bezpeč-
nostních mechanismech na doménách České
republiky, tedy výhradně se jedná o .cz domény.
Těchto domén existovalo 1 400 754. Téměř pětina
českých domén měla v době sběru dat nastavený
SPF záznam.

Poměr českých domén s SPF záznamem a bez něj
Domény bez SPF záznamu
Domény s SPF záznamem
Domény s nastaveným SPF záznamem pak byly typy tohoto pravidla. Zbytek těchto domén měl
rozděleny do čtyř skupin, dle pravidel pro ostat- většinou nastaven třetí typ tohoto pravidla a ně-
ní, nespecifikované servery, tato pravidla jsou po- kolik domén používalo silně nedoporučovaný typ
psána výše. Většina domén, které měly nastaven pravidla (0,17%). Na následujícím grafu je znázor-
nějaký SPF záznam, používala první dva popsané něn procentuální poměr těchto metrik.
Poměr typů politiky SPF záznamů
50 %
40 %
30 %
20 %
10 %
0%
Politika Fail Politika Softfail Politika Neutral Politika Pass
Většina domén tedy používá doporučenou politiku

fail nebo softfail. Na následujícím grafu je znázor-
něn poměr použití doporučené konfigurace SPF
pravidel oproti použití nedoporučené konfigurace.
Domény s nedoporučenou konfigurací SPF
Domény s doporučenou konfigurací SPF

Český internet a adopce DMARC informace jsou odesílány v analytických reportech
Bezpečnostní mechanismus Domain-based Mess- v rámci e-mailové zprávy na e-mailovou adresu,
age Authentication, Reporting and Conformance která je určena v DMARC záznamu. Tyto analytic-
(DMARC) umožňuje organizacím definovat politiku ké reporty mimo jiné obsahují informace o důvodu
zacházení s e-mailovými zprávami, které nepro- blokace daného e-mailu. Organizace tímto způ-
jdou kontrolou pomocí mechanismů SPF a DKIM. sobem může získat informace, že se někdo snaží
Dále umožňuje upravit mechanismus kontroly podvrhovat jejich domény v rámci phishingových
těchto dvou mechanismů a tím organizace doká- kampaní.
že zabránit slabinám těchto mechanismů. Jedním
z hlavních důvodů DMARC mechanismu je mož- Z téměř jednoho a půl milionu (1 400 754).cz do-
nost získávání forenzních informací o e-mailech za- mén byl na konci roku 2021 nastavený DMARC zá-
blokovaných na základě SPF a DKIM. Tyto forenzní znam pouze u necelých 4 procent z nich.
Poměr českých domén s DMARC

záznamem a bez něj
Domény bez DMARC záznamu
Domény s DMARC záznamem
V rámci statistických dat získaných z českých 1. None – tato hodnota určuje, že se nelegitim-
domén pak byly analyzovány dva parametry ní e-mailová zpráva nebude blokovat. Tuto
v DMARC záznamech, které jsou pro správné fun- hodnotu je doporučeno využívat po dobu ně-
gování DMARC mechanismu nutné. kolika měsíců po prvotním nastavení mecha-
nismu DMARC a po vyhodnocení doručených
Jedním z těchto parametrů je parametr politiky „p“, DMARC reportů přepnout tuto hodnotu na jed-
který určuje, co se má provést s e-mailovou zprá- nu z následujících.
vou, která neprošla kontrolou mechanismů SPF 2. Quarantine – Tato hodnota způsobí to, že
a DKIM. Tento parametr může nabývat hodnot: nelegitimní e-mailová zpráva bude označena
jako spam a vložena do karantény, případně
do adresáře se spamem.
3. Reject – Tato hodnota způsobí nedoručení ne-
legitimní e-mailové zprávy uživateli.
Poměr typů politiky DMARC záznamů

80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0%
None Quarantine Reject

Druhým ze sledovaných parametrů je parame- V naší analýze jsme rozdělili hodnoty tohoto para-
tr pct, který určuje na kolik procent e-mailových metru na dvě skupiny:
zpráv, které neprošli kontrolou mechanismy SPF 1. Hodnota nenastavena nebo nastavena na 100
a DKIM má být aplikována politika z parametru po- 2. Hodnota nastavena v rozmezí 0–99
psaného výše. Doporučená hodnota tohoto para-
metru je 100, což znamená stoprocentní blokace Většina českých domén, které mají nastavený
nelegitimních e-mailových zpráv v případě reject DMARC záznam, mají definovaný tento parametr
politiky. Pokud není tento parametr v DMARC zá- s doporučenou hodnotou. Toto lze vypozorovat
znamu definován, jeho hodnota je automaticky na- v následujícím grafu:
stavena na 100.
Poměr českých domén s DMARC

záznamem s doporučenou hodnotou
parametru pct
Domény s jinou hodnotou
Domény s doporučenou hodnotou parametru
Závěr love-schranky/) je mimo jiné popsána povinnost

Tuto statistiku bude zajímavé sledovat v nadchá- implementace SPF, DKIM a DMARC mechanismů.
zejícím roce, protože Národní úřad pro kyberne- Některá opatření, která jsou popsána v této vy-
tickou a informační bezpečnost (NÚKIB) vydal hlášce, musejí mít státní instituce zavedeny od
11. října 2021 vyhlášku o povinnosti zabezpečení 1. ledna 2022, další opatření až od 1. července
e-mailové komunikace. V této vyhlášce (https:// 2022. Povinné subjekty ze soukromého sekto-
www.nukib.cz/cs/infoservis/aktuality/1758-sprav- ru musejí mít tato opatření zavedena od 1. ledna
ci-klicovych-systemu-musi-zabezpecit-sve-e-mai- 2023.

Bezpečnostní dohled a stav Security
Operations v roce 2021
Daniel Neumann
Problematice bezpečnostního dohledu jsme se zaměstnance, a i pro sebe zajistit odpovídající

rozhodli věnovat i ve stávajícím vydání Alef Secu- úroveň znalostí nutných pro efektivní chod IT. Je
rity report 2022. Aktuálně získaná data tak máme toho prostě moc. V takovém případě může být
možnost porovnat s předchozími dvěma ročníky pověstným vytržením trnu z paty externí podpora
a zjistit případné změny chování v oblasti bezpeč- IT ve formě služby, jakou může být například bez-
nostního dohledu. pečnostní dohled, chcete-li Security Operations
Center.
V 21. stolení nejsou slova jako kybernetická bez-
pečnost či kybernetický útok ničím neznámým. Stejně jako i v minulých letech jsme v rámci Secu-
Dočteme se o nich v novinách, baví se o nich lidé rity Reportu oslovili naše zákazníky a požádali je
na ulici a často bývají hlavním tématem večerních o vyplnění několika otázek vztažených k tématu
zpráv. Každý zodpovědný zaměstnavatel by měl bezpečnostního dohledu. Tímto bychom jim rádi
své zaměstnance pravidelně upozorňovat na rizika poděkovali za jejich čas a sdělené informace, kte-
ukrytá v kyberprostoru, zaměstnance školit a ide- ré budou využity pro potřeby tohoto článku.
álně i testovat jejich praktické znalosti a reálnou
připravenost na konkrétní typy hrozeb. Položme si Velikost organizace představuje podstatný faktor,
ovšem otázku. Opravdu se tomu tak děje? A po- jak k otázce bezpečnosti přistupovat. Bezpeč-
kud ano, v jaké frekvenci, kvalitě a s jakým reál- nostní dohled není výjimkou. Některé organizace
ným dopadem? Firmy vlastní a uchovávají čím dál důvěřují svým zaměstnancům a spoléhají na je-
více citlivých dat, v důsledku čehož roste poptáv- jich opatrnost. Tento přístup s sebou ovšem nese
ka po nástrojích/službách zajišťujících IT bezpeč- jistou míru rizika. V každém případě je nutné za-
nost. Výdaje určené na kybernetickou bezpečnost jistit zaměstnancům dostatečnou informovanost
se tak stávají pravidelnou součástí rozpočtu, jenž a umožnit pravidelná bezpečnostní školení, která
se v mnohých případech zvyšuje rok co rok. by měla zvýšit bezpečnostní povědomí napříč or-
ganizací. Druhou možností je zřízení vlastního IT
Hackeři jsou čím dál rafinovanější a řada bezpeč- oddělení. V návaznosti na jeho velikost a počet
nostních nástrojů pro ně nepředstavuje velkou IT specialistů se odvíjí schopnost komplexně ob-
překážku. Na jejich hrozby je potřeba reagovat sáhnout problematiku kybernetické bezpečnosti.
co nejrychleji. V případě kybernetického útoku se V případě malého oddělení bude bezpečnost na
počítá každá minuta. Včasná reakce může postiže- adekvátní úrovni zajištěna jen velice obtížně. Větší
nou organizaci ušetřit od neočekávaných finanč- oddělení ovšem znamená značnou finanční zátěž.
ních výdajů, poškození dobrého jména či omezení Organizace tak stojí před volbou – omezená bez-
plynulého chodu organizace. Bez kvalitní bezpeč- pečnost, nebo vysoké provozní náklady.
nostní ochrany se v dnešní době žádná firma ne-
obejde. Věřím, že mi dáte za pravdu, když budu Na níže uvedeném grafu lze vidět, že jsou v rám-
tvrdit, že odborníků na kybernetickou bezpečnost ci našeho dotazníkového šetření zastoupeny jak
je na lokálním trhu momentálně akutní nedostatek. organizace o několika stovkách zaměstnanců, tak
Firemní IT mnohdy dělá, co může, ale není jedno- i ty, jejichž počet přesahuje 10 000.
duše v jeho silách projíždět detailně logy ze všech
nástrojů, které v síti mají, provádět včas a pravidel-
ně kontroly zranitelností, zajišťovat updaty, školit

Kolik zaměstnanců má Vaše organizace?
>10000
200-499
5000-10000
100-199
1000-4999
<100
500-999
Z hlediska oborového zastoupení mezi respon- pětina) a dále energetickým průmyslem (14,3 %)
denty nejvíce figurovali zástupci z IT a telekomu- a sektorem dopravy (14,3 %).
nikací (cca třetina), následováni státní správou (cca
V jakém sektoru Vaše organizace působí?
Veřejná správa
Výzkum
Vzdělávání
IT a telekomunikace
Finanční služby
Doprava
V samotném úvodu šetření nás zajímalo, kolik Podobné výsledky přinesl report i v minulém roce.
procent z dotázaných využívá služeb SOC. Pětina Stále tedy platí, že fáze „uvažujeme o SOC“ trvá
zákazníků má vlastní SOC, který plně pokrývá je- roky a ve výsledku nevede k ničemu (tvrdý ver-
jich potřeby. Zhruba 15 % sice SOC vlastními silami dikt, který bohužel naprosto koresponduje s prak-
provozuje, ten ovšem úplně nevyhovuje interním tickými zkušenostmi). Potěšující je, že nikdo ne-
potřebám. Obdobné zastoupení pak představuje odpověděl, že SOC organizace nemá a ani o něm
počet organizací využívajících služeb externího neuvažuje.
SOC. Více jak 40 % SOC nemá, ale uvažuje o něm.
Využíváte služeb SOC (Security Operations Center)?
Nevím
Ne, SOC nemáme, ale uvažujeme o něm
Ano, využíváme externí SOC
Ano, máme vlastní SOC, ale plně
neodpovídá našim potřebám
Ano, máme vlastní SOC
a plně pokrývá naše potřeby

Považujete SOC za nutnost? Zhruba dvě třetiny od- na úkor respondentů, kteří považují SOC za vhodné
pověděly „ano, jednoznačně“. V porovnání s před- doplnění bezpečnostních služeb, ale domnívají se,
chozím obdobím došlo k nárůstu o zhruba 15 %, a to že jej lze nahradit jinými nástroji a procesy.
Považujete SOC za nutnost?
Nevím
Považuji SOC za vhodné doplnění
bezpečnostních služeb, ale domnívám se,
že jej lze nahradit jinými nástroji a procesy
Ano, jednoznačně
V rámci bezpečnostní analýzy hraje významnou dle důležitosti to byly serverové operační systémy,
roli zaznamenávání dat za účelem jejich analýzy síťový firewall a IPS/IDS. Výsledky se od předcho-
(logování). Logy z jakých tří typů systémů považují zího roku v tomto případě prakticky nezměnily.
oslovené organizace za nejvýznamnější? V pořadí
Logy z jakých tří typů systémů považujete za

nejpodstatnější z pohledu použití v rámci bezpečnostní Aplikační systém pro ukládání
analýzy? (Vyberte maximálně 3 odpovědi)
Síťová infrastruktura (routery...)
DHCP
71,4 %
21,4 % DNS
64,3 %
42,9 % Antivir
7,1 %
IPS/IDS
21,4 %
Síťový firewall
35,7 %
7,1 % Desktopové operační systémy
Serverové operační systémy

0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 %
Bezpečnostní dohled bývá standardně v režimu kategorie kriticky významných a řešení incidentů
8x5 či 24x7. Tento rozsah služby je jistě velice snese určitý časový odklad. Pro tyto případy by
efektivní a s vysokou pravděpodobností pomůže dávalo smysl využít omezenou formu bezpečnost-
odhalit nekalé aktivity útočníků při samém počát- ního dohledu, kdy by se bezpečnostní specialista
ku, představuje ovšem variantu, která je z důvo- nedíval do zákazníkova prostření v reálném čase,
du časové vytíženosti značně nákladná a většina ale retrospektivně, několikrát denně. Kumulativní
organizací si ji z tohoto důvodu nemůže dovolit. souhrn denního dohledu by tak činil např. 1 hodinu
Existují samozřejmě i případy, kdy okamžitá reak- každý pracovní den. Pro polovinu oslovených ten-
ce není potřeba, neboť organizace nespadá do to typ dohledu nedává smysl, pětina by jej naopak
uvítala a dalších 20% si není jisto.

Byla by pro Vás zajímavá služba SOC v režimu 1hod/pracovní den
na vyhodnocování detekovaných incidentů za předchozí den?
Nevím
Ano, ovšem v jiném režimu (např. více hodin denně)
Ano, takovou službu bychom uvítali
Ne, pro naši instituci toto nedává smysl
V dnešní době se každé IT oddělení potýká s ře- né instituce řešit každý odhalený bezpečnostní in-
šením bezpečnostních incidentů. Jejich množství cident? Pětina ano, a to v adekvátním čase. Třetina
se odvíjí od mnoha faktorů – „atraktivnosti“ dotyč- sice ano, ale řešení trvá delší dobu, než by bylo
né organizace pro útočníky, bezpečnostních tech- vhodné. Pětina je schopná řešit pouze ty nejkritič-
nologiích schopných tyto incidenty identifikovat tější incidenty.
a zkušenostech členů IT oddělení. Zvládají oslove-
Zvládáte řešit každý odhalený bezpečnostní incident?
Nevím
Ne, řešíme pouze ty nejkritičtější incidenty
Ano, ovšem řešení trvá delší dobu, než by bylo vhodné
Ano, a to v adekvátním čase
Díky automatizovaným skenům sítě, IPS, SIEMu

a dalším nástrojům získává IT oddělení data, se
kterými následně pracuje. Ne vždy se ovšem jed-
ná o data validní. V mnohých případech se může
jednat o chybné detekce událostí, tzv. „false-posi-
tive“. Pokud se musí pracovníci IT zabývat vyso-
kým počtem takovýchto detekcí, jedná se o plýt-
vání jejich drahocenným časem, resp. zdroji celé
organizace. Jak to vypadá v praxi? Představují fal-
se-positive detekce problém, se kterým se často
setkáváme? Získaná data ukazují, že pro cca pě-
tinu organizací nepředstavují problém. V polovině
případů tvoří maximálně 20 % všech identifikova-
ných událostí. Obdobné výsledky uváděl i report
v předchozím roce, kdy uvedené dvě kategorie též
vykázalo více jak 70% dotázaných organizací.

Jsou false-positive detekce problém, který Vás nadmíru zatěžuje?
Pokud ano, kolik % z celkového počtu identifikovaných bezpečnostních událostí
představují právě false positives?
Kybernetické bezpečnostní incidenty bývají ne- reakční dobu na nekritický bezpečnostní incident
předvídatelné, vznikají a vyvíjejí se často ve velmi považují organizace za dostatečnou. Přibližně tře-
krátké době a zasažené subjekty i osoby odpo- tina si myslí, že reakce do 4 hodin je dostatečná.
vědné za reakci na incidenty a zmírnění jejich účin- Stejné zastoupení měla skupina, pro níž je ade-
ku musí proto reagovat velice rychle. Minimalizace kvátní dobou řešení jeden pracovní den. Necelých
reakční doby na incident je tak jednou z nejefektiv- 30 % respondentů se ztotožňuje s dobou kratší
nějších forem obrany vedoucí ke zmírnění dopadu než 2 hodiny.
incidentu. V rámci dotazníku nás zajímalo, jakou
Jakou reakční dobu na bezpečnostní (nekritický)

indicent považujete za dostatečnou?
Jeden pracovní den
Do 4 hodin
Do 2 hodin
Max. 30 minut
Kolik lidí je v rámci organizace oficiálně zodpověd- povědi na tuto otázku jinak byly značně nesouro-
ných za reakci na incidenty? Třetina oslovených dé, neboť v některých organizacích je zodpovědná
organizací zvolila 2 zodpovědné osoby. Další od- pouze jedna osoba, jinde je takových lidí více jak 10.
Kolik lidí v rámci Vaší organizace je oficiálně zodpovědných za reakci na incidenty?
4 10+
3 5+
2 10
1 nemáme žádného
specialistu na incidenty

Rok 2021, stejně jako rok 2020, byl v jistém smě- sobem. Zbytek dotázaných, tedy cca 57 % nezazna-
ru unikátní. Bohužel nikoli v pozitivním slova smys- menal změnu v oblasti bezpečnostního dohledu,
lu. Důvodem je pandemie týkající se COVID – 19. ale uznává, že se pandemie promítla do jiných ob-
Zajímalo nás, zda pandemie nějakým způsobem lastí firemního IT. Ani zde meziročně nelze hovořit
ovlivnila oblast bezpečnostního dohledu. Zhruba o změně přístupu, neboť odpovědi z předchozího
43 % respondentů odpovědělo, že pandemie oblast období byly téměř totožné.
bezpečnostního dohledu neovlivnila žádným způ-
Ovlivnila pandemie týkající se COVID-19 nějakým způsobem oblast

bezpečnostního dohledu ve Vaší organizaci?
Závěr průzkumu věnujeme výši investic určených ké bezpečnosti pandemie neovlivnila. V případě
na zajištění kybernetické bezpečnosti v návaznos- 14,3 % respondentů došlo k navýšení investic, ov-
ti na pandemickou situaci. Více jak 85 % účastníků šem nijak výraznému.
průzkumu uvedlo, že výši investic do kybernetic-
Změnila se s nástupem pandemie COVID-19 výše investic do oblasti kybernetické

bezpečnosti (KB) ve Vaší organizaci?
Ano, do KB jsme investovali

více prostředků, ovšem nijak výrazně
Ne, výši investic do KB pandemie neovlivnila

Protokol DNS a analýza provozu v roce 2021
Jan Šimůnek
Rok 2021 přinesl několik zajímavých aktualit v pro- tazy a tím znemožňuje možnost již zmíněné kore-
středí DNS, které ve většině případů souvisí s po- lace dotazů a koncových stanic. Běžný uživatel se
stupným přechodem na šifrované varianty proto- s tímto protokolem může setkat například u zaříze-
kolu DNS. Za zmínku stojí například implementace ní Apple iOS 15 nebo macOS Monterey při zapnutí
Oblivious DoH (oDoH) nebo DDR (Discovery of funkce iCloud Private Relay.
Designated Resolvers). Zajímavý pohled také nabí-
zí analýza adaptace šifrovaných variant a množství Dalším zajímavým konceptem představeným v mi-
přeložených dotazů veřejně dostupnými servery. nulém roce je DDR. Jedná se o mechanismus
Na závěr tohoto textu se podíváme na bezpečnost navržený firmami Cloudflare, Microsoft, Apple
řešenou na úrovni DNS a množství blokovaných a Fastly. DDR je schopný bez manuální konfigura-
dotazů za uplynulý rok na domény spojené se ce rozpoznat možnosti DNS serveru a automaticky
škodlivými aktivitami. přepnout do šifrované podoby ve formě DNS over
HTTPS (DoH) nebo DNS over TLS (DoT). To však
Začněme novinkami, které se v minulém roce udá- pouze za předpokladu, že je tato funkce serverem
ly. První z nich je protokol oDoH s cílem minima- podporovaná. Celý princip je založen na odeslání
lizovat možnost správců rekurzivních resolverů plaintext dotazu na DNS server se SVCB zázna-
monitorovat aktivity koncových uživatelů. Princip mem obsahující „_dns.resolver.arpa“. Odpovědí
je založen na použití proxy systému, který přepo- jsou již zmíněné podporované možnosti šifrování
sílá šifrované dotazy na server poskytující překlad a následná komunikace tak může probíhat v za-
a skrývá zdrojovou adresu iniciující strany. Proxy bezpečené podobě.
server maskuje svou adresou klienty posílající do-
Statistiky odbaveného provozu Ze statistik je možné pozorovat pouze mírný ná-

rekurzními resolvery růst využití protokolu DoH. Oproti tomu 15% nárůst
Následující část textu se zabývá pohledem na z celkového množství položených dotazů je mož-
odbavený provoz na veřejných rekurzivních resol- né spatřit u protokolu DNSCrypt. Tento nárůst je
verech. Poskytnutá data pochází ze společnosti tak velmi pravděpodobně způsoben rostoucím
Cisco Umbrella. Statistiky zahrnují jak consumer počtem práce z domova související s pandemií
(OpenDNS), tak enterprise (Umbrella) provoz smě- Covid-19.
řující na rekurzivní resolvery a porovnávají začátek
a konec roku 2021 během vybraného dne v ča-
sech, kdy počty dotazů dosahují globálního ma-
xima. Hodnoty v grafech udávají počet dotazů za
sekundu pro jednotlivé podporované protokoly:
DNS over 53 a šifrované verze DoH a DNSCrypt.
Nutné je taktéž objasnit, že dotazy skrze DN-
SCrypt jsou preferovanou variantou šifrované po-
doby a ve velké míře jsou generovány klientským
softwarem instalovaným přímo na koncových sta-
nicích. V případě tohoto typu dotazu se tedy vel-
mi pravděpodobně jedná o stanice nacházející se
převážně mimo firemní síť.

1%
0,06 mil.
21 % Počet dotazů za sekundu,

2,03 mil.
únor 2021
Do53
78 % DNSCrypt
7,64 mil.
DoH
1%
0.08 mil.
Počet dotazů za sekundu, 36 %

prosinec 2021 3,01 mil.
Do53
DNSCrypt
63 %
5,23 mil.
DoH
Detekování komunikace na škodlivé domény které doposud nebyl generován provoz, tak nově
Detekce a následná blokace DNS dotazů, které vznikající phishingové kampaně a DGA (Domain
směřují na škodlivé domény je funkce, kterou po- Generation Algorithms). Za zmínku taktéž stojí
skytují některé rekurzivní resolvery. Tento způsob množství domén obsahující malware a blokace
ochrany se jeví jako efektivní řešení v decentrali- 1980 dotazů spadající do kategorie Cryptomining,
zované architektuře s cílem zabezpečit koncové které jsou detekovatelné na základě dotazů do tzv.
stanice a znesnadnit útočníkům jejich aktivity. mining poolů.
Následující data jsou získána z technologie Cisco Téměř 93 % organizací detekovalo ve své infra-
Umbrella napříč několika vybranými organizacemi struktuře dotazy na domény spojené s malwarem
za měsíc listopad. Jako nejčastější se jeví bloka- a následně blokovalo komunikaci spojenou s ne-
ce dotazů podezřelých domén vyznačující se níz- žádoucími aktivitami. Poměrně vysoký je také vý-
kým reputačním skóre. Následují nově vytvořené skyt dotazů spadající do kategorie phishingu (53 %
záznamy, které zahrnují jak legitimní záznamy, na dotázaných) a cryptominingu (60 % dotázaných).

Počet blokovaných dotazů na škodlivé domény, listopad 2021
Potentially Harmful
Phishing
Newly Seen Domains

Bezpečnostní kategorie
Malware
Dynamic DNS
DNS Tunneling
Cryptomining
Command and Control
0 1000 2000 3000 4000 5000 6000 7000 8000

Počet dotazů
Objevené škodlivé domény napříč organizacemi, listopad 2021
Potentially Harmful
Phishing
Newly Seen Domains

Bezpečnostní kategorie
Malware
Dynamic DNS
DNS Tunneling
Cryptomining
Command and Control
0% 20 % 40 % 60 % 80 % 100 %
Zastoupení ve vybraných organizacích

Kyberbezpečnostní technologie
používané v reálném světě
Jiří Herzig
Od prvního antivirového softwaru a prvního fire- povídali na otázky týkající se právě používaných
wallu uplynula už pěkná řádka let a počet techno- technologií v jejich prostředí. Ruku v ruce s množ-
logií které zajištují naši bezpečnost v kybersvětě stvím technologií ale hraje roli i velikost společ-
značně narostla. To, že jen malé množství společ- nosti a citlivost dat, se kterými pracují, stejně jako
ností řeší každou oblast kyberbezpečnosti, ukazují schopnost financovat nákup těchto nových tech-
i odpovědi v našem dotazníku, kde dotazovaní od- nologií.
Jaké technologie pro kybernetickou bezpečnost používáte?
DLP
Kontrola chování sítě
SIEM/SOAR
RemoteAccess VPN
Kontrola na úrovni DNS

Ochrana koncových zařízení
(antimalware, kontrola stavu…) - EDR
Klasický antivirus
Ochrana E-mailu
Webová proxy
(kontrola URL, dešifrování provozu…)
NGFW firewall
Základní firewall
0% 20 % 40 % 60 % 80 % 100 %
V první otázce dotazníkového průzkumu jsme se rolovat provoz na úrovni aplikací, nebo na základě
zajímali o to, jaké technologie jsou nejčastěji vyu- URL, případně využijí kontrolu na viry a malware.
žívány. Použití firewallu je dnes již nutností. Je to ta Další funkcí těchto firewallů pak často bývá právě
nejzákladnější technologie, která dokáže prostředí IDS/IPS, tedy pokročilá ochrana proti vniknutí ne-
uživatele ochránit před útočníky toužícími po da- žádoucích osob. Dle výsledků můžeme vidět, že
tech, nebo těmi, kteří chtějí „jen“ uškodit. Základ- nějakou verzi firewallu používají všichni dotazova-
ní stavové firewally již ale dnes nedokáží ochránit ní, někteří i obě varianty.
sofistikovaný útok moderních hackerů a jejich ná-
strojů. V tomto případě mohou pomoci tzv. firewa- Můžeme zde vidět, že ochranu e-mailu, ať už v ja-
lly nové generace (NGFW) a jejich schopnost kont- kékoliv podobě, používá 100 % dotazovaných.

A není se čemu divit. I v dnešní době sociálních kou měrou přispívají k ukládání logů, jejich třídění,
sítí, chatovacích platforem a sdílených úložišť je vyhodnocování a další práci s těmito daty. Stejně
e-mail stále nejpoužívanějším způsobem komuni- jako kontrola chování sítě (např. Secure Network
kace v podnikovém prostředí. I z tohoto důvodu si Analytics od Cisco) tak i Data Lost Protection, jsou
útočníci vybírají právě tuto platformu a používají ji tyto technologie v našich podnicích vzácnější
k šíření malware, phishingových kampaní a k jiným a ukazují na to, že v tomto případě se to se síťovou
způsobům získávání informací o Vašem prostředí bezpečností v podnikovém prostředí myslí oprav-
nebo uživatelích. Je proto namístě tuto platformu du vážně.
chránit alespoň základními nástroji proti spamu, či
pokročilými proti malware a phishingu. Statistiky
o zneužití e-mailu naleznete v článku na straně 24.
V těsném závěsu za e-mailem se drží kontrola

webového provozu, jeho dešifrování či filtrování
na úrovni kategorií, případně jako webová pro-
xy. I toto dává smysl, vzhledem k tomu, že větši-
na uživatelů vyhledává informace právě na webu.
Někteří uživatelé jej i v pracovním prostředí pou-
žívají k soukromým účelům a mnohdy k přístupu
na pochybné stránky. Právě pomocí webové proxy
dokážeme zakázat komunikaci na určité kategorie,
případně komunikaci konkrétních aplikací.
Další kategorie otázek se dá označit souhrnně

jako ochrana koncových zařízení. Týká se prostře-
dí podnikové sítě, nebo mimo ni, v domácnostech
uživatelů, či na cestách. Velmi často mají uživatelé
pracovní zařízení k dispozici i pro soukromé účely.
Zde se setkáme s problémem, jak zabezpečit, aby
po příchodu do kanceláře nám uživatel nepřinesl
do vnitřní sítě různé viry či malware. Základem je
antivirus. Ten ale často nedokáže rozeznat vyso-
ce inteligentní malware, nebo „novinky“ v oblas-
ti virů. Z tohoto důvodu se doporučuje používat
antimalware software, který dokáže například
podezřelé soubory vložit nejen do karantény, ale
i do tzv. sandboxu a zkoumat jejich chování. Tím-
to způsobem je tam možné například odhalit Zero
Day útoky (nejsou ještě obecné známé), případně
Fileless malware (nacházející se pouze v operační
paměti zařízení). Ochrana na úrovni DNS pak do-
káže nahradit podnikovou webovou proxy i mimo
podnikovou síť a zabránit tak přístupu např. na
phishingové stránky. Remote Access VPN se do
této kategorie dá jistým způsobem také počítat,
zde se ale vytvoří zabezpečené spojení přes Inter-
net do podnikové sítě a ochranu tak zajišťují právě
bezpečnostní zařízení v této síti.
Security Information and Event Management

(SIEM) nebo Security Orchestration, Automation
and Response (SOAR) jsou technologie, které vel-

Pokud víte, jakou technologii budete používat, ješ- přednost instalaci v cloudu. Tak nízké číslo může
tě stále není zcela vyhráno. Je totiž několik způso- být dáno nedůvěrou v cizí prostředí, potřebu mít
bů, jakým ji ve svém prostředí nasadíte. Pryč jsou servery pod kontrolou, zákonné předpisy, nebo
časy, kdy bylo potřeba mít pro každou technologii nedostupnost takové služby. Stále více klasických
dedikované zařízení, které dodával konkrétní vý- řešení se ale dostává k velkým poskytovatelům
robce. I tato možnost je u nás stále častá, ale dopl- cloudových služeb jako je AWS nebo MS Azure.
ňuje ji tzv. virtualizace, kdy na jednom výkonném Výhodou takového řešení může být například po-
serveru můžete provozovat více technologií a lze zbytí nutnosti udržovat hardware aktualizovaný
je i zaměňovat. Z grafu je jasně vidět, že se nejví- a hlavně aktuální vzhledem k technickému po-
ce používá právě kombinace těchto dvou způso- kroku. Jsou ale i služby, které jinak než v cloudu
bů. I u dedikovaného firewallu totiž můžete použít neběží. Tou může být například Cisco Umbrella či
například virtualizovaný management, případně Secure Endpoint, sloužící k ochraně koncových
si ve virtuálním prostředí postavit celý lab, kdy se zařízení. Můžeme v tom spatřit výhodu rychlého
náklady počítají pouze za software, případně licen- nasazení bez nutnosti vlastnit jakýkoliv hardware.
ce. Můžeme vidět, že cca 10 % dotazovaných dává
Pokud je možnost si vybrat, jaké formě instalace

kybernetického zabezpečení dáváte přednost?
Kombinace s cloudem
10 % Kombinace - dedikovaná a virtualizace
90 % Cloud
Virtualizace
Dedikovaná zařízení
Tak jako v jakémkoliv jiném odvětví, i v kyberkri- ročné, nebo je těžké přesvědčit o investici ty, kteří
minalitě se útočníci snaží přijít každý den s no- o ní rozhodují. To je vzhledem k vysokým cenám
vým řešením, jak se dostat k datům a informacím těchto technologií pochopitelné, ale je třeba si
jednotlivých uživatelů. V tomto odvětví je to ještě také uvědomit, jaký dopad by pro organizaci před-
umocněno tím, že informace vládnou světu a je stavoval úspěšný kybernetický útok, při kterém by
to často velmi cenná komodita. Z toho důvodu je došlo například k úniku citlivých dat kvůli chybějící
dobré, ne-li přímo nutné, držet krok s vývojem za- bezpečnostní technologii.
bezpečení podnikového prostředí. Jak bylo uvede-
no na začátku tohoto článku, pryč jsou doby, kdy
stačil pouze firewall. Tím se zabývala i naše další
otázka. Je vidět, že respondenti o rozvoji bezpeč-
nosti uvažují. Pouze čtvrtina je se stavem svého
zabezpečení spokojena a já předpokládám, že je
to jistě z důvodu nedávného rozšíření bezpečnost-
ních technologií. Další čtvrtina dotazovaných by
rozvoj chtěla, ale bohužel je to pro ně finančně ná-

Přemýšlíte nad rozšířením kybernetické bezpečnosti,
nebo jste se stávajícím stavem spokojeni?
Chtěli bychom pokročit, ale investice jsou vysoké
Chtěli bychom pokročit,

25 % 25 % ale nemáme dostatek informací
nebo zkušeností s danou technologií
50 % Plánujeme rozvoj a máme pro to potřebné zdroje
Jsme spokojeni se stavem, v jakém se nacházíme
Většina dotazovaných chce rozšířit stávající tech- o přístup do zabezpečené sítě nebo do kritické ap-
nologie o ty chybějící anebo povýšit o nové likace je skutečně tou osobou, kterou tvrdí. Rozší-
funkce. Obecně lze říct, že správci chtějí mít vět- řil se i zájem o multifaktorové ověřování uživatelů
ší přehled a snadnější správu. Základní pravidlo a správu přístupu uživatelů.
v bezpečnosti nejen v oblasti IT je totiž „co nemo-
hu vidět, nebo o čem nevím, proti tomu se nemo- Jako společnost poskytující služby jsme sami za-
hu chránit“. Dalším směrem rozvoje je nepochybně znamenali i jiný trend. Menší společnosti se stále
ochrana koncových zařízení. Je to dáno právě tím, více zajímají o zabezpečení, ale mnohdy na agen-
že stále více lidí pracuje mimo kanceláře a útočníci du s tím spojenou nemají vyškolené správce, nebo
toho velice rádi využívají. Málokdo má možnost mít se jednoduše nechtějí takovými věcmi zabývat.
domácí síť zabezpečenou tak, jako tu podnikovou. I z tohoto důvodu vznikají tzv. manažované služby,
Klasické antiviry také už přestávají stačit na sofisti- kdy se zákazníkovi poskytne např. ochrana konco-
kovaný malware, který je často připraven tak, aby vých zařízení společně s monitoringem a řešením
klasickými antiviry prošel. Zde je pak výhodné být problémů pomocí lidské síly. I my v Alefu jsme jako
připraven a používat pokročilou ochranu proti mal- odpověď po této poptávce vytvořili službu, díky
ware. A jelikož jako správci nemáme často mož- níž dokážeme zajistit vyšší úroveň zabezpečení
nost ovlivnit, jak uživatelé chrání svěřená zařízení, i s lidským přístupem v případě řešení problémů.
je často nutné ověřovat, zda osoba, která žádá
Jakým směrem, případně jakou technologií byste chtěli

svou kybernetickou bezpečnost rozšířit?
PIM/PAM, pokročilá MFA
Kontrola chování sítě
SIEM/SOAR
RemoteAccess VPN
Kontrola na úrovni DNS

Ochrana koncových zařízení
(antimalware, kontrola stavu…) - EDR
Klasický antivirus
Ochrana E-mailu
Webová proxy
(kontrola URL, dešifrování provozu…)
NGFW firewall
Základní firewall
0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 %

Na posledním grafu můžeme vidět, že získávání ciálním zákazníkům zviditelnit, a tak mít před kon-
informací o nových technologiích je pro většinu kurencí navrch. Nezávislé společnosti, jako je na-
dotazovaných snadné. Důvodem může být do- příklad Gartner, je porovnávají a nabízejí objektivní
stupnost informací na internetu. Výrobci či vývojáři informace o těchto produktech široké veřejnosti.
těchto technologií se často snaží co nejvíce poten-
Je pro vás jednoduché získat informace

o novinkách a trendech v kyberbezpečnostních technologiích?
10 % Je pro mě složité vyhledávat tyto informace

10 % Je pro mě složité vyhledávat tyto informace
Informace, které potřebuji snadno získám

90 %
90 %
Informace, které potřebuji snadno získám
Nepotřebuji
Nepotřebuji tyto informace
tyto informace

Analýza dat z e-mailových bran
Milan Habrcetl
Tato část analýzy probíhala nad daty příchozích ti předchozímu roku se jedná o nárůst počtu zablo-
e-mailových zpráv, které byly přijaty vybranými kovaných e-mailových zpráv, avšak jedná se o té-
e-mailovými branami v roce 2021. měř stejnou hodnotu jako v roce 2019, tedy před
situací spojenou s pandemií.
Za celý rok 2021 bylo zablokováno více než 88
procent všech příchozích e-mailových zpráv. Opro-
Zablokované vs. nezablokované e-mailové zprávy
Procento zablokovaných zpráv

Procento zablokovaných zpráv
Procento nezablokovaných zpráv

Procento nezablokovaných zpráv
V každém čtvrtletí roku 2021 bylo e-mailovými kováno v posledním čtvrtletí (řijen, listopad, pro-
branami zablokováno průměrně 86 procent e-mai- sinec), kdy procento blokovaných zpráv dosáhlo
lových zpráv. Nejvíce e-mailových zpráv bylo blo- téměř 93 procent.
Procento zablokovaných e-mailových zpráv v jednotlivých čtvrtletích
100 % 89,72 % 92,85 %

86,13 %
75,59 %
80 %
60 %
40 %
20 %
0%
Q1 Q2 Q3 Q4

Po agregaci dat do jednotlivých čtvrtletí lze vy- tradičně využívali tím, že odesílají velké množství
pozorovat významný nárůst blokovaných e-mai- škodlivých e-mailových zpráv, aby zvýšili své vý-
lových zpráv mezi třetím a čtvrtým čtvrtletím roku dělky.
2021. Důvodem jsou s největší pravděpodobností
vánoční svátky a konec roku a všechny přípravy Níže následuje graf s podílem zablokovaných
spojené s těmito svátky. V tomto období jsou uži- zpráv v jednotlivých čtvrtletích, kde lze tento rozdíl
vatelé často méně pozorní a také očekávají pří- lépe vidět:
chozí balíčky, faktury apod. Útočníci tohoto tedy
Procentuální rozdělení všech zablokovaných e-mailů do jednotlivých čtvrtletí
100 % 89,72 % 92,85 %

86,13 %
75,59 %
80 %
60 %
40 %
20 %
0%
Q1 Q2 Q3 Q4
Období dovolených a pokles počtu e-mailové zprávy se škodlivým obsahem, protože

zablokovaných e-mailových zpráv s nimi uživatelé neinteragují (jsou na dovolené).
Ve třetím čtvrtletí (červenec, srpen, září), ve kte-
rém obvykle bývá větší počet dovolených, lze vy- Dalším důvodem může být také to, že útočníci jsou
pozorovat výrazný pokles zablokovaných e-mai- na dovolených, a tedy neodesílají spam, phishing
lových zpráv. S největší pravděpodobností z toho a jiné e-mailové zprávy se škodlivým obsahem.
důvodu, že by se útočníkům nevyplatilo odesílat
Analýza důvodu blokace e-mailových zpráv v tomto případě jedná o překlep v zadávání e-mai-
Při analýze důvodů blokace e-mailových zpráv na lových adres. Také se může jednat o e-mailovou
e-mailových branách jsme zjistili, že téměř všechny adresu, která v minulosti existovala, ale byla sma-
(přes 98 procent) zablokované e-mailové zprávy zána, a útočníci ji mají stále uloženou v seznamech,
byly zablokovány na základě informací z reputační případně je již neexistující adresa stále k dispozici
databáze o serveru, ze kterého e-mailová zpráva na webových stránkách.
přišla. V reputační databázi je serverům přiděleno
skóre a pokud je serveru přiděleno nízké nebo ne- Téměř 1 procento zablokovaných e-mailových
gativní skóre, pak je komunikace z tohoto serveru zpráv bylo zablokováno kvůli tomu, že zprávy byly
zablokována. klasifikovány jako spam, nebo byl jejich součástí
škodlivý obsah. Většina zablokovaných e-mailo-
Necelé 1 procento zablokovaných e-mailových vých zpráv se škodlivým obsahem obsahovala
zpráv byla zablokováno kvůli tomu, že e-mailové URL adresu, která odkazovala na škodlivé webové
adresy příjemců těchto zpráv neexistují, často se stránky. Zbytek zablokovaných zpráv se škodlivým

obsahem měl přílohu, která obsahovala škodlivý litiky, která byla nastavena u doménového jména
software. v adrese odesílatele (legitimní i podvržený) e-mai-
lové zprávy.
Téměř čtvrt procenta zablokovaných e-mailových
zpráv bylo blokováno kvůli porušení DMARC po-
Zablokované e-mailové zprávy podle kategorií
Zablokované e-maily pomocí

reputační databáze
98,38 %
Neexistující příjemce 0,74 %
Spam a e-maily
se škodlivým obsahem
0,69 %
Porušení DMARC politiky 0,19 %
0% 20 % 40 % 60 % 80 % 100 %
Marketingové a jinak označené Tyto zprávy se tedy pohybují v „šedé zóně“ mezi spa-
e-mailové zprávy (Graymail) mem a legitimním e-mailem. Proto se nedá jednoznač-
E-mailové brány jsou obvykle také schopny iden- ně určit, jestli se jedná o nevyžádanou poštu. Tyto
tifikovat a označovat e-mailové zprávy s marketin- e-mailové zprávy se tak automaticky neblokují, ale jen
govým obsahem či zprávy ze sociálních sítí. Často nějakým způsobem označují, například vložením tex-
jsou tyto typy e-mailových zpráv nazývané jako tu „[Marketing]“ do předmětu e-mailové zprávy. Takto
„Graymail“, protože někteří uživatelé považují tyto označených e-mailových zpráv bylo v námi získaném
zprávy za nevyžádanou poštu, někteří si ale na- vzorku dat z e-mailových bran téměř 10 procent z cel-
opak tuto poštu vyžádali. kového počtu nezablokovaných e-mailových zpráv.
Podíl marketingových a jinak označených e-mailů

na celkovém počtu nezablokovaných e-mailů
Ostatní nezablokované e-maily

Ostatní nezablokované e-maily
Marketingové a jinak označené e-maily

Marketingové a jinak označené e-maily

Zabezpečení webových aplikací
Oleksandra Kocyba
Webové aplikace již dlouhá léta nejsou pouze rých běží aplikace, na prostředí tradiční, cloudová
doménou internetových prohlížečů či speciálních a hybridní. V tradičním prostředí běží aplikace ve
„těžkých“ klientů. Webové aplikace nebo HTTP či vlastním datovém centru či pronajatém racku (čas-
HTTPS protokol je dnes zastoupen téměř všude. to označován jako on-premise). Druhé zmíněné
Od klasických webových aplikací, přes mobilní ap- prostředí cloudu je specifické tím, že organizace
likace, streamovací a komunikační služby či komu- využívá pouze technologické možnosti, které jsou
nikace propojující podniky a jejich podnikové apli- v cloudu dostupné. Posledním prostředím je kom-
kace, až po ovládání výrobních linek. Bezpečnost binace obojího, tedy on-premise a cloudu nazýva-
webových aplikací a jejich ochrana před hrozbami né také jako hybridní prostředí. Téměř dvě třetiny
se stává pro mnohé organizace kritickou. V tomto respondentů využívají pro své aplikace hybridní
reportu se podíváme, jak řeší bezpečnost a ochra- prostředí, přibližně čtvrtina zůstává u klasického
nu před hrozbami české organizace prostřednic- modelu on-premise a více než desetina využívá
tvím dat získaných z dotazníkového šetření mezi plně cloudového prostředí.
klienty Alef Group.
Prostředí, ve kterém aplikace běží, ovlivňuje způ-

sob, jak organizace může zajistit její bezpečnost.
V obecné rovině rozlišujeme prostředí, ve kte-
Který model využíváte pro služby a aplikace?
12,712,7
%%
CloudCloud
23,523,5
% %
63,8
63,8%
% On-premise
On-premise
Kombinace obojího
Kombinace obojího
V návaznosti na předchozí dotaz je skladba odpo- chyby nebo nebude prostor chyby objevit a opra-
vědí respondentů velmi podobná. Tedy dvě třetiny vit. Budou existovat chyby logické, chyby v kódu
respondentů využívají webový aplikační firewall, či chyby v knihovnách třetích stran. Za těmito chy-
přibližně pětina spoléhá na bezpečný vývoj apli- bami je vždy lidský faktor. Útoky, které využívají
kace a necelých třináct procent využívá pro zabez- dosud neznámých chyb (zranitelností), se nazývají
pečení svých aplikací služeb poskytovatele clou- Zero Day útoky. Vzpomeňme na kritické zranitel-
du. Vyvíjet bezpečné a „neprůstřelné“ aplikace by nosti a relativně jednoduše proveditelné zranitel-
mělo být vždy cílem. Tomuto cíli se však lze pouze nosti HEARTBLEED, SHELLSHOCK nebo čerstvě
přiblížit, protože aplikace budou vždy obsahovat Log4j zveřejněné v prosinci roku 2021.

Jak řešíte zabezpečení Vašich aplikací?
12,7 12,7
% %
Využívám
Využívám služeb
služeb cloudového
cloudového providera
providera
21 % 21 % 66,3 %%
66,3
Žádné
Žádné(spoléhám na správně
(spoléhám napsanou
na správně aplikaci) aplikaci)
napsanou
Využívám webový aplikační firewall (on-prem)
Využívám webový aplikační firewall (on-prem)
Mluvíme-li o zabezpečení webové aplikace, exi- periodicky sestavován a reflektuje aktuální vývoj
stuje celá řada metodologií popisujících postupy a trendy. V průběhu času se OWASP Top Ten se-
pro bezpečný vývoj a testování webové aplikace. znam stal prakticky standardem, podle kterého se
Jeden z nejznámějších projektů je OWASP (Open může řídit každá organizace a zaměřit se tak na
Web Application Security Project). Tato nadace nejdůležitější oblasti v zabezpečení svých aplika-
sdružuje tisíce vývojářů, kteří se podílí na tvor- cí. Data získaná z dotazníkového šetření tomuto
bě projektů zabývajících se bezpečným vývojem nasvědčují, neboť všichni respondenti odpovědě-
webových aplikací. Jedním z nich je také seznam li na otázku, zda sledují seznam OWASP Top Ten
10 nejčastějších hrozeb a rizik webových aplikací kladně a dbají na zabezpečení proti všem nebo
OWASP Top Ten. Tento seznam hrozeb a rizik je alespoň části ze zranitelností.
Sledujete pravidelně seznam 10 největších

zranitelností aplikací OWASP Top Ten?
23,923,9
% %
Ano,sleduji
Ano, sledujialeale dbám
dbám jen jen částečně,
částečně,
některé se mě netýkají
některé se mě netýkají
76,1 %%
76,1 Ano,sleduji,
Ano, sleduji,a dbám
a dbám
na na zabezpečení
zabezpečení
proti
protivšem
všemvyjmenovaným
vyjmenovaným hrozbám
hrozbám
V závěrečné části reportu se zaměříme na útoky DoS boty. Útočník malwarem kompromitované po-
proti webovým aplikacím, za kterými ve velkém čítače či systémy ovládá za účelem vykonávat za-
procentu případů stojí roboti, tedy automatizovaní dané instrukce a operace k provedení DoS útoků
klienti (označovaní také jako boti). Tyto automati- (Denial of Service). Větší skupině takovýchto botů
zované klienty můžeme rozdělit do dvou skupin. se říká botnet a jsou často využívány k zahlce-
První z nich jsou neškodné roboty (vyhledávače, ní webových aplikací velkým množstvím provozu
srovnávače, marketingové nástroje, SEO apod.), (distribuovaný DoS útok – DDoS), který může mít
jejichž přínosy jsou pro dnešní elektronické ob- za následek výpadek aplikace a její znepřístupně-
chodování a konzumaci internetu důležité a mnoh- ní legitimním uživatelům. Podle výsledků dotazní-
dy nepostradatelné. Dalším typem robotů jsou kového šetření řeší ochranu proti DDoS útokům
spíše nežádoucí nebo vyložené škodlivé skupiny přibližně 63 % dotazovaných organizací.
robotů. Mezi tyto škodlivé můžeme zařadit tzv.

Řešíte DDoS ochranu Vašich aplikací?
37,5 %
Ne
62,5 % Ano
Obdobně 63 % organizací se s DDoS útoky na jej detekovaly, naopak 13 % organizací s detekcí
aplikace v roce 2021 nesetkalo. Kolem 24 % orga- a ochranou úspěšných nebylo.
nizací se poté s DDoS útokem setkalo a úspěšně
Setkali jste se v posledním roce s DDoS útokem na Vaše aplikace?
23,8 % Ne
Ano, nepovedlo se nám
63,2 % 13 % útok včas detekovat a předejít mu
Ano, povedlo se nám
útok včas detekovat a předejít mu
Dalším typem nežádoucích či škodlivých robotů kombinace přihlašovacích jmen a hesel nebo kom-
se kterými se organizace často setkávají, jsou boti binace uniklých přihlašovacích údajů (credential
se schopností interagovat s webovými aplikacemi stuffing). Podle průzkumu přibližně polovina orga-
jako klasický „lidský“ uživatel. Jedná se o automa- nizací rozlišuje, zda s jejich aplikacemi interaguje
tizované skripty, které se pokouší různými způsoby člověk či robot, polovina se poté s útokem robotů
kopírovat stránky a sbírat informace a ceny z webů na svou aplikaci nikdy nesetkala, přibližně 13 % na-
(content a price scraping), či zneužít nechráněné opak ano.
přihlašovací formuláře, na kterých testují různé
Rozlišujete, zda s Vaší aplikací Setkali jste se někdy s útokem botů

interaguje člověk či robot? na Vaši aplikaci?
12,5 % Nevím
Ne 37,3 %
52 % 48 %
50,2 % Ne
Ano
Ano
Z šetření jednoznačně plyne fakt, že se respon- sledních téměř dvou dekádách významně vzrostl
denti vážně zabývají zabezpečením webových a stal se nástrojem pro komunikaci a nástrojem
aplikací, neboť význam webových aplikací v po- obchodní činnosti komerčních organizací.

Zero-Day zranitelnosti ve světě Windows
David Horák
Rok 2021 byl z pohledu Zero-Day zranitelností pro chybou s označením CVE-2021–27065 objeve-
společnost Microsoft náročným obdobím, neboť nou také v prosinci roku 2020 mohl útočník násled-
právě v tomto roce jich bylo hned několik. My si ně zapsat do systému libovolný soubor v podobě
v rámci tohoto reportu čtyři z nich blíže popíšeme například web shellu, skrze který následně bylo
a zobrazíme si je na časové ose. možné vzdáleně spouštět libovolné příkazy. Výše
uvedené zranitelnosti byly společnosti Microsoft
Zřejmě největší dosah měla zranitelnost zvaná nahlášeny skupinou DEVCORE 5. ledna 2021, ná-
ProxyLogon, která se nacházela v produktu Micro- sledně probíhalo ověřování této zranitelnosti spo-
soft Exchange. Tuto zranitelnost objevila skupina lečností Microsoft. K jejímu potvrzení došlo 8. led-
DEVCORE a skládala se hned z několika zneuži- na 2021. Aktualizace s potřebnými doporučeními
telných chyb. První z těchto chyb byla objevena následně společnost Microsoft vydala až 3.března
už v prosinci roku 2020 s označením CVE-2021– 2021. Náprava této zranitelnosti tedy trvala 58 dní.
26855. Tato chyba umožňovala útočníkovi vzdá- Vzhledem k množství serverů Microsoft Exchange
leně obejít ověřovací mechanismus a tím získat dostupných přímo z internetu měla tato zranitel-
administrátorská privilegia. V kombinaci s druhou nost pro mnoho společností drtivé následky.
3. března 2021
5. ledna 2021 CVE-2021-26855,
Microsoft upozorněn CVE-2021-27065 s aktualizacemi
Komunikace mezi skupinou DEVCORE a společností Microsoft
⊳ Detekce
únor březen
leden 2021 březen 2021
58 dní
Další zranitelnost zvaná PrintNightmare přines- cemi 6. července 2021 opravujícími další chybu
la mnoho strastí pro tiskové služby v rámci Acti- ve službě Print Spooler, která umožňovala zmíně-
ve Directory. Dění okolo této zranitelnosti začalo nou instalaci maligního ovladače a ovládnutí sys-
8. června 2021, kdy společnost Microsoft vyda- tému vzdáleně. Nicméně ani tato aktualizace dny
la CVE-2021–1675 s aktualizacemi opravujícími zranitelnosti neukončila a výzkumníci našli jiné
zneužitelnou chybu ve službě Print Spooler. Tato cesty jejího zneužití. To vedlo 15. července 2021
chyba umožňovala eskalaci oprávnění na úroveň k vydání nového CVE-2021–34481 upozorňující
systému běžnému uživateli za pomocí nahrání mana tuto chybu. Aktualizace pro CVE-2021–34481
ligního ovladače a byla zneužitelná pouze lokálně. společnost Microsoft vydala 10. srpna 2021, kte-
Vydaná aktualizace probudila v mnoha výzkumní- rá bohužel danou chybu plně neopravila. CVE-
cích zájem o tento typ zranitelnosti. Jedním z nich 2021–34481 byla kompletně opravena až ve vlně
byl například Benjamin Delpy. Tento zájem vedl pravidelně vydávaných aktualizací 14. září 2021.
k sérii „bojů“ mezi novými aktualizacemi a novými Kompletní náprava trvala 100 dní a během těchto
zneužitími. 1. července 2021 společnost Microsoft procesů aktualizování se mnoho společností potý-
vydala CVE-2021–34527 s následnými aktualiza- kalo s problémy s tiskem.

1. července 2021
1. července 2021 CVE-2021-34527
8. června 2021 15. září
CVE-2021-34527 aktualizace
CVE-2021-1675 10. srpna 2021 CVE-2021-34481
s aktualizací CVE-2021-34481 aktualizace
aktualizace
15. července 2021

CVE-2021-34481
červen 2021 červenec srpen září říjen 2021
100 dní
Jednou z menších, ale rozhodně zajímavých zranitelnost se v operačních systémech Windows

byla zranitelnost zvaná SeriousSam/HiveNight- 10 nacházela již od buildu 1809. Zranitelnost byla
mare. Tato zranitelnost spočívala v chybně nasta- detekována a publikována 19. července 2021. Spo-
veném Access Control Listu (ACL) na systémové lečnost Microsoft vydala CVE-2021–36934 s ak-
složce Config, která obsahuje například databázi tualizací 20. července 2021. U této zranitelnosti
lokálních účtů včetně jejich tajemstvích – Secu- byla náprava dodána za pouhý 1 den, nicméně zde
rity Account Manager (SAM). Chybně nastavené zůstává obrovské riziko v zálohách tzv. Shadow
ACL umožňovalo neprivilegovanému uživateli při- Copy pořízených pomocí Volume Shadow Copy
stoupit k těmto citlivým souborům v rámci složky služby před aktualizováním systému. Neboť tyto
Config. Tato zranitelnost byla nalezena výzkum- zálohy v operačním systému zůstanou s chybně
níkem Jonasem Lykem, který na ni narazil náho- nastaveným ACL i po aktualizování a měly by tak
dou při zkoumání bezpečnosti Windows 11. Tato být smazány.
19. července 2021 20. července 2021

Detekce CVE-2021-36934
s aktualizací
VSS před aktualizací
srpen
červen 2021 říjen 2021
1 den
Poslední zranitelnost, na kterou se v rámci reportu řadič. Zranitelnost byla detekována a publikována
podíváme je PetitPotam. Tuto zranitelnost objevil 18. července 2021. Společnost Microsoft vydala 10.
výzkumník označovaný na Twitteru jako @Topo- srpna 2021 CVE-2021-36942 s aktualizacemi, kte-
tam77. Zranitelnost umožňovala útočníkovi donutit ré nicméně danou zranitelnost kompletně neopra-
Encrypting File System Remote Protokol (EFSRPC) vily. Mimo společnost Microsoft se opravou dané
na vzdáleném zařízení k ověření vůči cílové služ- zranitelnosti zabývala i platforma 0Patch, která vy-
bě, kterou byly certifikační služby. Díky tomu si dala aktualizaci 19. srpna 2021. Finální aktualizaci
byl útočník schopný vydat certifikát pro zneužité vydala společnost Microsoft až 21. prosince 2021.
vzdálené zařízení, kterým mohl být i doménový Náprava této zranitelnosti tedy trvala 156 dní.
10. srpna 2021 21. prosince 2021

18. července 2021 CVE-2021-36942 CVE-2021-36942
Publikace s aktualizací aktualizace
19. srpna 2021
Micropatch od 0Patch
srpen září říjen listopad prosinec
červenec 2021 prosinec 2021

156 dní
Z výše uvedených čísel vyplývá, že ačkoliv je základním předpokladem včasná aktualizace systému, tak
na Zero-Day zranitelnosti musíme naše prostředí na pravidelné bázi připravovat pomocí aktuálních bez-
pečnostních principů a praktik.

Úroveň šifrování webserverů na českém internetu
Oleksandra Kocyba
V dnešní době je většina dat, se kterými pracuje- serverů, které podporují šifrovanou či nešifrova-
me, online. Data k nám pak putují po veřejné síti, nou komunikaci. Je potřeba zmínit, že podpora
kde jsou vystavena riziku odchycení. I z toho dů- HTTP i HTTPS není vzájemně exkluzivní. Mnoho
vodu byly vyvinuty protokoly sloužící k šifrování webových serverů má otevřený port 80 (HTTP)
provozu v počítačových sítích. Ve světě webových i port 443 (HTTPS). Port 80 se využívá pro prvotní
aplikací se jedná zejména o protokoly TLS (resp. navázání spojení s klientem, načež je klient pře-
SSL). směrován na port 443, kde následná komunikace
probíhá šifrovaně.
Podle dat nahromaděných za rok 2021 na českém
internetu se zaměříme nejprve na poměr web-
Poměr služeb HTTP a HTTPS na českém internetu

60 %
58 %
56 %
54 %
52 %
50 %
21 21 21 21 21 21 21 21 21 21 21 21
1 .20 2 .20 3 .20 4 .20 5 .20 6 .20 7 .20 8 .20 9 .20 0 .20 1 .20 2 .20
.0 .0 .0 .0 .0 .0 .0 .0 .0 .1 .1 .1
01 01 01 01 01 01 01 01 01 01 01 01
HTTPS HTTP
Webová komunikace je šifrovaná pomocí proto- doporučení dle dat nahromaděných za rok 2021
kolů TLS nebo předchůdce – SSL, jenž obsahuje projevují. V průběhu roku docházelo k postup-
známé zranitelnosti a z bezpečnostních důvodů nému snižování webových serverů podporujících
by se již neměl používat. Nahradil jej TLS, kte- TLSv1.0 (na 0,4 % ze všech detekovaných web-
rý prochází vývojem již od roku 1999, od verze serverů) a TLSv1.1 (na 0,003 %) a k nárustu serverů
TLSv1.0 až po současnou verzi TLSv1.3., přičemž podporujících TLSv1.3. Na grafu níže je znázorněn
mezi doporučované verze od roku 2020 patří pou- proměnlivý počet dostupných webserverů a pod-
ze TLSv1.2 a TLSv1.3. Na českém internetu se tato porovaných verzí TLS.

Podpora verzí TLS na webových serverech - 2021
45 %
40 %
35 %
30 %
25 %
20 %
15 %
10 %
5%
0%
Q1 Q2 Q3 Q4
TLSv1.0 TLSv1.1 TLSv1.2 TLSv1.3
K zajištění šifrované komunikace však nestačí ur- Šifrovacích sad je velké množství a pro tento re-
čit jen verzi TLS/SSL. Při navazování komunikace port bylo vybráno 26 nejčastěji používaných sad,
se klient a server musí domluvit na šifrovací sadě, rozdělených do kategorií: Recommended (např.
která určuje nejen algoritmus určený k šifrování TLS-AES-256-GCM-SHA384), Secure (např. ECD-
komunikace, ale i algoritmus pro výměnu klíčů, HE-RSA-AES128-GCM-SHA256) a Weak (např.
algoritmus sloužící k autentizaci a MAC algorit- ECDHE-RSA-AES256-SHA384). V grafu níže jsou
mus zajišťující integritu přenášených dat. Tato poté znázorněny počty webserverů podporujících
šifrovací sada poté určuje, jak bezpečná, kom- danou kategorii šifrovacích sad.
patibilní a rychlá bude komunikace se serverem.
Webové servery podporující šifrovací sady dle kategorií

350 000
300 000
250 000
200 000
150 000
100 000
50 000
0
Q1 Q2 Q3 Q4
Recommended Secure Weak
Tak jako z výsledků loňského reportu je i v letošním roce vidět pozitivní nárůst v počtu serverů podporují-
cích šifrovanou komunikaci a postupná adaptace protokolu TLSv1.3 včetně bezpečnějších šifrovacích sad.

Trendy v oblasti bezpečnostního vzdělávání
Radek Švadlenka
Vzdělávání zaměstnanců v oblasti kybernetické administrátorů a osob zastávajících bezpečnostní

bezpečnosti se stalo neodmyslitelnou součástí bez- role.
pečnostní strategie všech organizací, které si uvě-
domují rizika související s hrozbami, jež neodděli- Každoročně uveřejňujeme výsledky průzkumu za-
telně patří ke kyberprostoru. Stále propracovanější měřeného na realizované a plánované vzdělávací
metody útočníků v kombinaci s novými vektory úto- programy a aktivity organizací a ani tento rok není
ků mohou prověřit reálnou odolnost bezpečnost- výjimkou. Abychom byli schopni sledovat tren-
ních opatření kteréhokoliv subjektu jak v komerč- dy ve vývoji těchto aktivit, připravili jsme pro Vás
ním prostředí, tak i v oblasti veřejné sféry. Investice nový průzkum za rok 2021 s ohledem na plánova-
do technických bezpečnostních prostředků jsou ná opatření pro rok 2022. Do většiny aktivit orga-
jistě na místě, nicméně bez odpovídající znalosti za- nizací v loňském roce výrazně zasáhla pandemie
městnanců ztrácejí na účinnosti. Covid-19. O to zajímavější je meziroční srovnání
plánovaných a realizovaných aktivit v oblasti vzdě-
Není tedy žádným překvapením, že zákon o kyber- lávání v kybernetické bezpečnosti. Průzkumu se
netické bezpečnosti vyžaduje od povinných sub- zúčastnilo bezmála sto organizací různých zaměření
jektů realizovat bezpečnostní opatření v podobě a velikostí, jak je vidět z grafů níže. Výzkumný vzo-
stanovení plánu rozvoje bezpečnostního povědo- rek je velmi podobný tomu z loňského roku, a to jak
mí, jehož cílem je zajistit odpovídající vzdělávání s ohledem na počet respondentů, tak i v poměru
a zlepšování bezpečnostního povědomí uživatelů, zastoupení organizací dle oboru a velikosti.
Procentuální zastoupení organizací dle velikosti

30 %
25 %
20 %
15 %
10 %
5%
0%
< 100 100-199 200-499 500-999 1 000-4 999 5 000-10 000 > 10 000
Počet zaměstnanců organizace

Procentuální zastoupení oragnizací dle oboru
30 %
25 %
20 %
15 %
10 %
5%
0%
a a l a í í ý
rav tik acie nc
e
elco ys áv um ván ictv Jin
op
e a at rů
m
sp
r zk ělá otn
er
eg arm Fin P Vý
D
En
F IT
ejn
á
Vz
d rav
ř Zd
Ve
Aby interpretace jednotlivých výstupů nebyla jekty podle zákona o kybernetické bezpečnosti,
zkreslena, je třeba upřesnit, že více než polovina jak ilustruje následující graf.
respondentů průzkumu se řadí mezi povinné sub-
Vztah organizací k ZKB
24 % Bez vztahu k ZKB
47 % Jiná povinná osoba
23 % Správce/provozovatel VIS
6% Správce/provozovatel IS KII nebo KS KII
Realizaci vzdělávacích aktivit v oblasti kyberne- označit postupný návrat organizací do před pan-
tické bezpečnosti je možné zajistit za pomoci jak demického stavu, kdy investovaly do vzdělávacích
interních, tak i externích zdrojů v podobě prezenč- aktivit více nez 500 Kč. Celkem logicky pak mezi-
ních školení či e-learningových nástrojů. Vzhle- ročně klesl počet firem investujících do vzdělávání
dem k omezením souvisejících s pandemií musela mezi 251 Kč až 500 Kč na zaměstnance. Bohužel,
být zejména prezenční školení nahrazena jinou for- množství organizací s ochotou investovat do vzdě-
mou např. virtuálních školení pomocí online plat- lávání zaměstnanců minimální nebo dokonce žád-
forem. V grafu níže je možné sledovat porovnání né prostředky se meziročně drží stále na vysoké
investovaných prostředků do vzdělávání v letech úrovni.
2019, 2020 a 2021. Jako pozitivní trend je možné

Zastoupení organizací dle výdajů na vzdělávání
50 % v kybernetické bezpečnosti
2019
40 % 2020
2021
30 %
20 %
10 %
0%
0-20 Kč 21-100 Kč 101-250 Kč 251-500 Kč 501-1.000 Kč více než 1.000 Kč
Průměrný měsíční náklad na zaměstnance
Vzdělávání uživatelů – realita versus plán Pozitivní trend je vidět alespoň u vzdělávání vy-
V této části průzkumu se zástupci organizací vy- braných uživatelů, kde realita lehce předčila plán
jadřovali k realizovaným a plánovaným aktivitám z roku 2020. Co se týče plánu vzdělávacích aktivit
v oblasti vzdělávání uživatelů s výjimkou bezpeč- pro rok 2022, v podstatě se hodnotově příliš neliší
nostních rolí. Bohužel z grafu níže je patrné, že od plánu pro rok 2021 s mírně rostoucím trendem.
plány z roku 2020 pro vzdělávání všech uživate- Jaká však bude realita je těžké predikovat zejména
lů nebyly v roce 2021 zdaleka naplněny. Naopak s ohledem na další faktory (např. konflikt na Ukraji-
počet organizací, kde vzdělávání vůbec neprobíhá ně), které mohou významně ovlivnit výsledky.
je dvojnásobný oproti plánu z předchozího roku.
Vzdělávání uživatelů v organizacích

80 %
2021 plán
70 %
2021 realita
60 %
2022 plán
50 %
40 %
30 %
20 %
10 %
0%
Vzdělávání všech uživatelů Vzdělávání vybraných uživatelů Vzdělávání neprobíhá
Zatímco na vzdělávání uživatelů obecně neměla na pomocí online platformy a zde se realita nijak
probíhající pandemie významný dopad, jak bylo zvlášť neodchýlila od plánu. Z odpovědí týkajících
demonstrováno v předchozím grafu, jinak je tomu se plánu na rok 2022 je možné predikovat pokra-
zákonitě s ohledem na plánované a realizované čující trend migrace k e-learningovým nástrojům
formy vzdělávání uživatelů. Jak je patrné z obrázku a realizace standardizovaných prezenčních kurzů
níže, celkem logicky došlo v roce 2021 k omezení bude přímo úměrná protiepidemickým opatřením
prezenčních standardizovaných školení ve pro- vlády a potenciálnímu riziku nákazy zaměstnanců.
spěch e-learningových řešení oproti plánu stano- Zajímavým fenoménem je také postupný odklon
veném na konci roku 2020. Naproti tomu na míru od standardizovaných forem trainingu zaměstnan-
vytvořená prezenční školení byla často realizová- ců směrem k „na míru“ vytvořeným.

Realizované/plánované formy vzdělávání uživatelů
80 %
70 % 2021 plán
60 % 2021 realita
50 % 2022 plán
40 %
30 %
20 %
10 %
0%
Komerčně nabízené Komerčně nabízený Na míru vytvořené Na míru vytvořený
standardizované prezenční standardizovaný prezenční školení e-learning
školení e-learning
Za nepříliš optimistický je možné pokládat vývoj ciálního inženýrství. Naopak méně organizací se
v oblasti zaměření vzdělávání pro uživatele. Oproti soustředilo na oblast aktuálních hrozeb a bezpeč-
plánovaným aktivitám došlo ve všech kategoriích nosti mobilních zařízení. Plán zaměření vzděláva-
k významnému poklesu v počtu firem zaměřujících cích aktivit pro uživatele na rok 2022 se příliš neliší
se na danou oblast. Největší zájem byl obecně od plánu pro rok 2021 s mírně rostoucím trendem
spojen s problematikou bezpečných hesel a so- téměř ve všech oblastech výzkumu.
Zaměření vzdělávacích aktivit pro uživatele 2021 plán
100 % 2021 realita

2022 plán
80 %
60 %
40 %
20 %
0%
Aktuální hrozby Bezpečnost mobilních Interní bezpečnostní Sociální inženýrství
zařízení směrnice (phishing, apod.)
Legislativa
Bezpečná hesla Fyzická bezpečnost Jiné
(ZKB, GDPR, apod.)
Velice efektivní, ale zároveň také mezi zaměst- organizací zaměřujících se na ostražitost uživatelů
nanci málo oblíbené, jsou aktivity spojené s ově- pomocí simulovaných phishingových útoků klesl
řováním znalostí a ostražitosti uživatelů v oblasti meziročně o 10 %. Negativní trend je možné pozo-
kybernetické bezpečnosti. Obrázek níže ilustruje rovat i na počtu organizací, kde žádné ověřování
aktuální rozložení využívání těchto aktivit u sledo- neprobíhá. Hodnota za rok 2021 dokonce překo-
vaného vzorku subjektů. nala výsledek z roku 2019. Mírný optimismus může
být spojen alespoň s výhledem na rok 2022, kdy
Bohužel celkový trend spojený s těmito aktivitami 76 % organizací plánuje zavést alespoň nějaké
nevykazuje pozitivní vývoj. Ověřování znalostí for- aktivity zaměřené na ověřování znalostí uživatelů
mou testů využívá meziročně stále méně organiza- v oblasti kybernetické bezpečnosti.
cí, byť rozdíly jsou v řádu jednotek procent. Počet

Ověřování znalostí a ostražitosti uživatelů
60 % 2019 2020 2021
50 %
40 %
30 %
20 %
10 %
0%
Ověřování znalostí formou testu Simulované phishingové útoky Žádné ověřování neprobíhá
Vzdělávání odborných rolí bezpečnostních rolí v organizacích. Na první po-

Zaměstnanci na pozicích administrátorů a bezpeč- hled je patrný meziroční růst ve všech kategoriích
nostních expertů jsou klíčoví pro plánování, reali- e-learningových kurzů včetně certifikačních. Na-
zaci a udržitelnost bezpečnostních pravidel v or- opak prezenční formy vzdělávání bezpečnostních
ganizaci. Jejich znalosti a dovednosti mohou mít rolí zaznamenaly lehký pokles, s výjimkou katego-
významný dopad na efektivitu zvládání bezpeč- rie komerčních certifikačních kurzů. Obecně pre-
nostních incidentů. Na grafu níže je zobrazeno me- zenční vzdělávací aktivity v roce 2021 byly tlumeny
ziroční porovnání realizovaných forem vzdělávání probíhající epidemií a související legislativou.
Realizované formy vzdělávání

50 % bezpečnostních rolí
2019 2020 2021
40 %
30 %
20 %
10 %
0%
Komerční Komerční Prezenční Komerční Komerční E-learningové
prezenční prezenční na míru e-learningové e-learningové na míru
certifikační necertifikační certifikační necertifikační
Vzdělávání odborných rolí bývá na rozdíl od vzdě- hacking. Každé z výše vyjmenovaných zaměření
lávání uživatelů mnohem specifičtěji zaměřeno, vzdělávání bylo využito v roce 2021 téměř polovi-
nicméně z průzkumu vyplývá, že společným atri- nou respondentů.
butem u obou těchto skupin je zvýšený zájem
o rozšíření znalostí zákonné úpravy a návazné le- Mezi dlohodobě „slabá“ témata z hlediska vzdělá-
gislativy v oblasti kybernetické bezpečnosti. vání bezpečnostních rolí je možné zařadit oblasti
kryptografie, forenzních aktivit a bezpečného vý-
Mezi další atraktivní oblasti vzdělávání pro odbor- voje aplikací, které nedosáhly z hlediska využití
né role evidentně patří konfigurace bezpečnost- nad testovacím vzorkem hranice deseti procent,
ních mechanismů a penetrační testování a etický jak je patrné z grafu níže.

Zaměření vzdělávacích aktivit pro bezpečnostní role
100 %
2019 2020 2021
80 %
60 %
40 %
20 %
0%
Analýza Bezpečnostní Penetrační testování/
Forenzní aktivity Kryptografie
malware monitoring a reakce etický hacking
na incidenty
Konfigurace
Bezpečnostní best Bezpečný Normy, standardy
bezpečnostních
practices vývoj aplikací a legislativa
mechanismů a prvků
Zapojení top managementu meziročně klesá počet manažerů, kteří se vůbec

do vzdělávacích aktivit nezapojují do vzdělávacích aktivit. Zároveň vý-
Vrcholový management organizací je možné pova- razně vzrostl podíl vedoucích pracovníků, kteří se
žovat za speciální kategorii zaměstnanců se specific- vzdělávají formou e-learningu. Forma prezenčního
kými potřebami znalostí v oblasti kybernetické bez- školení si dlouhodobě udržuje stabilní hodnotu
pečnosti. Manažer, který si není vědom aktuálních okolo 20 %, ale meziročně klesl zájem o TableTop
hrozeb, se může snadno stát terčem cíleného útoku. cvičení, což pravděpodobně souvisí s pandemic-
kou situací. Zajímavým jevem je však významný
Zajímalo nás tedy, jak se top manažeři vypořádá- pokles podpory vzdělávání zaměstnanců ze strany
vají s touto problematikou. Pozitivní zprávou je, že top managementu, a to o více než 10 %.
Zapojení top managementu do vzdělávacích aktivit

80 %
v oblasti kybernetické bezpečnosti
70 %
60 % 2019 2020 2021
50 %
40 %
30 %
20 %
10 %
0%
E-learningové školení Prezenční TableTop cvičení Nezapojuje se Podporuje
školení vzdělávání zaměstnanců
Závěr tohoto příspěvku je obohacen o zajíma- Zároveň 34 % dotázaných odpovědělo, že hybnou
vé odpovědi z řad respondentů, týkající se top silou pro investice do kybernetické vzdělanosti je
managementu a jeho orientace v kybernetické právě úroveň orientace top managementu na poli
bezpečnosti a také vlivu epidemie na organiza- kybernetické bezpečnosti. Většina respondentů
ce. Celkem 97 % respondentů je přesvědčeno, že jako důsledek epidemie vyzdvihuje přesun akti-
vyšší vzdělanost vrcholového managementu v ky- vit do online režimu. Více než třetina organizací
bernetické bezpečnosti má pozitivní vliv na rozvoj vsadila na e-learningové nástroje pro vzdělávání
bezpečnosti v organizaci. Více než 60 % účastníků zaměstnanců, což potvrzují závěry interpretované
průzkumu souhlasí s názorem, že hlavním fakto- v předchozí kapitole. Přes 20 % respondentů uvá-
rem pro ochotu managementu investovat zdroje dí omezení zdrojů do kybernetické bezpečnosti
do kybernetické bezpečnosti jsou medializované a přibližně 40 % organizací prozatím nezavedlo
kybernetické incidenty, případně interní incidenty. změny oproti stavu před epidemií.

Zabezpečení e-mailové komunikace
Martin Šišmiš
Stejně jako předchozí rok, pojďme se podívat na sestaví, a to pouze pokud oba servery mají TLS
situaci a data ohledně zabezpečení e-mailové ko- povolené a podporují stejnou verzi TLS šifrování.
munikace. Pro přenos dat a zpráv je e-mailovými
servery používán aplikační protokol SMTP, který Je nutné podotknout, že moderní e-mailoví klien-
je sám o sobě nešifrovaný. To znamená, že pokud ti taktéž podporují šifrování mezi koncovou stani-
je potencionální útočník schopný kdekoliv po tra- cí a jejím e-mailovým serverem. Tudíž, pokud je
se zachytávat komunikaci, či spojení přesměro- vše správně nastavené a existuje podpora TLS na
vat přes sebe (on-path útoky), je také schopen si serverech po celé trase přenosu dat, pak by měla
obsah e-mailové komunikace přečíst a dokonce být zajištěna bezpečnost a důvěryhodnost zprávy
zprávy modifikovat. při přenosu.
Pokud bychom se chtěli podívat na množství ko-
Pro ochranu dat při přenosu je možné zvolit dva munikace, která je TLS šifrována u některých
různé přístupy. První možností je zašifrovat e-mail globálních poskytovatelů, může nám pomoci na-
na počítači odesílatele (end-to-end šifrování) příklad Google. Ten na svých stránkách uvádí pro-
za pomocí šifrovacích standardů, které používají centuální hodnoty šifrování příchozích a odchozích
asymetrických kryptografických metod (RSA, El zpráv. Pro rok 2021 je, dle dat společnosti Google,
Gammal, apod.). Pro příklad lze uvést nejvíce uží- v průměru šifrováno přibližně 92 procent příchozí
vané standardy jako PGP, GPG, nebo S/MIME, ale a 87 procent odchozí e-mailové komunikace.
používají se také proprietární standardy. I když
end-to-end šifrování, pokud je správně implemen- Pojďme se také podívat na to, jaká je situace u nás
továno, nabízí poměrně vysokou úroveň zabezpe- v Česku. Pro tento účel můžeme využít našich in-
čení, není úplně jednoduché jej nasadit plošně. terních dat získaných ze serverů ALEF GROUP, ale
Vyžaduje totiž specifické nastavení infrastruktu- také našich vybraných zákazníků, přes které za rok
ry nebo manuální kroky pro výměnu a nastavení 2021 prošlo více jak 100 miliónů zpráv. Následují-
důvěryhodných klíčů. Proto se šifrování na kon- cí graf ukazuje, že v rámci použitého vzorku bylo
cových zařízeních využívá spíše sporadicky, nebo v roce 2021 šifrováno přibližně 95 procent z cel-
pouze v infrastruktuře, která se postará o ověření kového počtu e-mailové komunikace. Z dat také
a distribuci klíčů automaticky. Dalšími nevýhodami vyplývá, že přibližně 82 procent příchozí a 98 pro-
této metody je, že SMTP hlavičky jsou stále čitelné cent odchozí komunikace je šifrováno.
a také, že bezpečnostní prvky, jako třeba kontrola
obsahu na e-mailovém serveru, nejsou schopné
číst samotné tělo e-mailu a najít například škodlivé
odkazy.
Druhou možností je využití šifrování na transport-

ní vrstvě, která funguje v rámci komunikace mezi
servery. V tomto případě je nešifrovaná SMTP ko-
munikace zabalena do šifrovaného tunelu. Tento
tunel využívá protokolu TLS (Transport Layer Se-
curity), a je vytvořený zvlášť pro každou komuni-
kaci mezi jednotlivými servery po cestě. Pro vy-
jednávání o sestavení tunelu se používá příkazu
STARTTLS, který dle nastavení obou serverů tunel

E-mailová komunikace šifrovaná s pomocí TLS
100 %
90 %
80 %
70 %
60 %
50 %
2017 2018 2019 2020 2021
Příchozí komunikace Odchozí komunikace
Následující grafy ukazují procentuální zastoupení šifrované a nešifrované komunikace v jednotlivých

měsících roku 2021.
Šifrování příchozího e-mailového provozu s pomocí SSL/TLS v roce 2021

100 %
92 %
84 %
76 %
68 %
60 %
1 2 3 4 5 6 7 8 9 10 11 12
Šifrovaný provoz Nešifrovaný provoz
Šifrování odchozího e-mailového provozu s pomocí SSL/TLS v roce 2021

100 %
99 %
98 %
97 %
96 %
95 %
1 2 3 4 5 6 7 8 9 10 11 12
Šifrovaný provoz Nešifrovaný provoz
V grafech si lze všimnout dlouhodobě stoupající- vě, obzvláště, pokud nemáme kontrolu nad servery
ho trendu, který byl v posledním roce, v porovnání na trase, po které SMTP provoz putuje. Proto bychom
s předchozími, poměrně patrný pro příchozí poštu. měli pro zasílání citlivých informací zvolit end-to-end
V jednotlivých měsících lze i přes kolísání pozorovat šifrování, či jiný způsob bezpečné komunikace.
lehce stoupající tendenci pro oba směry komunikace.
Lze předpokládat, že procento šifrovaného provozu Zdroje:
bude i nadále růst, ale je důležité si uvědomit, že se 1: https://transparencyreport.google.com/safer-e-
nelze plně spoléhat na šifrování na transportní vrst- mail/overview

Pro více informací kontaktujte cz-sales@alef.com

Alef Security Report 2022 WEB

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Alef Security Report 2022 WEB

Uploaded by

Copyright:

Available Formats

Security Report

Trust the Strong

4–5 Analýza událostí zachycených IPS sondami

16 – 18 Protokol DNS a analýza provozu v roce 2021

19 – 23 Kyberbezpečnostní technologie používané v reálném světě

24 – 26 Analýza dat z e-mailových bran

27 – 29 Zabezpečení webových aplikací

30 – 31 Zero-Day zranitelnosti ve světě Windows

32 – 33 Úroveň šifrování webserverů na českém internetu

34 – 39 Trendy v oblasti bezpečnostního vzdělávání

40 – 41 Zabezpečení e-mailové komunikace

Pro více informací kontaktujte cz-sales@alef.com

Klíčovým zpracovatelem bezpečnostních dat

Pokud nahlédnete do následujících stránek,

Pro více informací kontaktujte cz-sales@alef.com 3

Následující část reportu se zabývá analýzou dat

V první části analýzy se nejprve podíváme na

4 Pro více informací kontaktujte cz-sales@alef.com

Pro více informací kontaktujte cz-sales@alef.com 5

Sender Policy Framework Doporučená konfigurace využívá první (-all) nebo

Český internet a SPF záznamy

6 Pro více informací kontaktujte cz-sales@alef.com

Domény bez SPF záznamu

Domény s SPF záznamem

Poměr typů politiky SPF záznamů

Většina domén tedy používá doporučenou politiku

Domény s nedoporučenou konfigurací SPF

Domény s doporučenou konfigurací SPF

Pro více informací kontaktujte cz-sales@alef.com 7

Poměr českých domén s DMARC

Domény bez DMARC záznamu

Domény s DMARC záznamem

Poměr typů politiky DMARC záznamů

8 Pro více informací kontaktujte cz-sales@alef.com

Poměr českých domén s DMARC

Domény s jinou hodnotou

Domény s doporučenou hodnotou parametru

Závěr love-schranky/) je mimo jiné popsána povinnost

Pro více informací kontaktujte cz-sales@alef.com 9

Problematice bezpečnostního dohledu jsme se zaměstnance, a i pro sebe zajistit odpovídající

10 Pro více informací kontaktujte cz-sales@alef.com

V jakém sektoru Vaše organizace působí?

Využíváte služeb SOC (Security Operations Center)?

Pro více informací kontaktujte cz-sales@alef.com 11

Považujete SOC za nutnost?

Logy z jakých tří typů systémů považujete za

Serverové operační systémy

12 Pro více informací kontaktujte cz-sales@alef.com

Ano, ovšem v jiném režimu (např. více hodin denně)

Ano, takovou službu bychom uvítali

Ne, pro naši instituci toto nedává smysl

Zvládáte řešit každý odhalený bezpečnostní incident?

Ne, řešíme pouze ty nejkritičtější incidenty

Ano, ovšem řešení trvá delší dobu, než by bylo vhodné

Ano, a to v adekvátním čase

Díky automatizovaným skenům sítě, IPS, SIEMu

Pro více informací kontaktujte cz-sales@alef.com 13

Jakou reakční dobu na bezpečnostní (nekritický)

Jeden pracovní den

Kolik lidí v rámci Vaší organizace je oficiálně zodpovědných za reakci na incidenty?

14 Pro více informací kontaktujte cz-sales@alef.com

Ovlivnila pandemie týkající se COVID-19 nějakým způsobem oblast

Změnila se s nástupem pandemie COVID-19 výše investic do oblasti kybernetické