Helio Sant’Ana je lídr v oblasti kybernetické bezpečnosti s více než 15 lety mezinárodních zkušeností ve vládním, vojenském i soukromém sektoru. V současnosti působí jako manažer CSIRT a dohlíží na globální bezpečnostní operace. Dříve zastával pozici CISO a regionálního manažera pro LATAM/EMEA ve společnosti CySource, globální izraelské firmě. Byl také CIO Kanceláře prezidenta Brazílie, kde vedl vznik národního CSIRT týmu, zavedení kyberbezpečnostního řízení, IT governance a strategické modernizační iniciativy. Vystupoval jako řečník na konferencích DefCON 2021 (ICS Village), CS4CA a George C. Marshall Center. Je držitelem vysokoškolského vzdělání v oblasti kybernetické bezpečnosti a řady odborných certifikací (GCFE, GCIH, A|CISO) a je absolventem kybernetických lídrovských programů v USA i Evropě.
Ve své přednášce zdůrazňujete, že klasické EDR nástroje často nedokážou detekovat password stealery. Co konkrétně těmto nástrojům chybí a jaké typy útoků dnes nejčastěji unikají jejich detekci?
Obecně platí, že EDR řešení jsou tak dobrá, jak kvalitní jsou jejich datové zdroje a jak dobře funguje jejich engine. Pokud nejsou pravidelně aktualizovaná, pokud nedochází k vývoji nových metod detekce nebo ke spolupráci s dalšími partnery, kteří poskytují čerstvé informace o aktivitách útočníků a indikátorech kompromitace, pak prostě nebudou plnit svůj účel. Organizace by se proto měly zaměřit na to, aby si vybraly takové EDR, které nejlépe odpovídá jejich konkrétním potřebám – jak z hlediska byznysu, tak z hlediska technologické architektury. A současně je nezbytné mít jistotu, že tento nástroj pracuje s aktuálními daty a technologiemi. Jinými slovy využívejte to nejlepší, co vám EDR může nabídnout – ale pouze tehdy, pokud je správně zvolené, integrované a přizpůsobené prostředí, ve kterém funguje.
Jak může threat intelligence pomoci včas identifikovat aktivity spojené s password stealery ještě předtím, než dojde ke kompromitaci? Mluvíme o IOCs, behaviorálních vzorcích nebo jiných signálech?
Tohle je opravdu zajímavá otázka – a měl jsem příležitost se jí věnovat i během své prezentace. Threat intelligence operuje ve třech základních vrstvách: strategické, operační a taktické. Každá z nich hraje jinou roli v ochraně organizace a právě jejich propojení tvoří efektivní celek. Na strategické úrovni je cílem pochopit, kdo vás může chtít napadnout a proč. Password stealery totiž nejsou univerzální – často jsou cílené na konkrétní sektory, firmy nebo typy uživatelů. Pokud víte, že je např. určité odvětví momentálně pod tlakem APT skupiny, můžete přizpůsobit své obranné priority dřív, než se hrozba dotkne i vás. Operační rovina threat intelligence pak přináší informace o právě probíhajících kampaních, např. o konkrétním password stealeru, který se šíří e-maily zneužívajícími aktuální témata nebo který využívá nové metody maskování v síťovém provozu. Tyto informace vám umožní včas aktualizovat ochranné mechanismy nebo varovat uživatele. Na taktické úrovni se pracuje s konkrétními daty – indikátory kompromitace (IP adresy, hashe, domény), telemetry, technikami a vzorci chování. Např. určitý password stealer může při spuštění manipulovat s clipboardem nebo přistupovat k určitému souboru ve specifickém umístění – a právě to je signál, který lze detekovat dřív, než dojde ke krádeži dat.
Důležité ale je, aby threat intelligence nebyla izolovaná. Měla by být integrována do běžného provozu – do EDR, SIEM, firewallů, e-mailových filtrů. A pokud možno automatizovaně, jinak bude zůstávat „na papíře“ místo pomoci při detekci v reálném čase. Také bych zmínil hodnotu komunitních a partnerských zdrojů – threat intelligence není luxus, ale sdílená zbraň. Útok, který se stal dnes v jiné firmě, se může zítra týkat vás. Pokud máme přístup k čerstvým poznatkům a umíme je rychle přenést do praxe, máme šanci předejít škodám. Když se správně propojí všechny tři vrstvy – strategická, operační a taktická – a doplní se o automatizaci a schopnost spolupráce, threat intelligence přestává být podpůrným nástrojem. Stává se aktivní součástí vaší obrany.
Ve Vaší přednášce zmiňujete skutečné případy útoků. Co bývá nejčastější příčinou jejich úspěchu – technologická nedostatečnost, lidská chyba nebo chybějící procesy?
Ve skutečnosti je to vždy kombinace různých faktorů. Pokud bych měl vypíchnout něco konkrétního, často jde o špatně navrženou nebo nedomyšlenou architekturu – nejen v technologickém smyslu, ale i z hlediska celkové organizace obrany. Architektura bezpečnostního prostředí totiž není jen o tom, jaké nástroje použijete, ale hlavně o tom, jak je navzájem propojíte, jak komunikují a jestli se mezi nimi daří sdílet data i odpovědnosti. Pokud postavíte infrastrukturu, která je složitá, nepřehledná, bez jasných toků dat a bez jednotného místa pro řízení incidentů, vytváříte prostor pro chaos – a ten útočníci milují.
Typickým příkladem je nasazení EDR nástroje, který sice teoreticky nabízí pokročilé detekční funkce, ale není v praxi správně propojen s dalšími vrstvami – třeba s SIEM systémem nebo s incident response týmem. Pak dochází k tomu, že se sice zobrazí varování, ale nikdo ho nevnímá v širším kontextu, nikdo na něj adekvátně nereaguje. Nebo se naopak vše zahlcuje nerelevantními alerty, takže se ty důležité ztrácí. Velkým problémem je také nadužívání výchozích konfigurací – ať už v EDR, firewallu, nebo e-mailové bráně. Firmy často nechají systém běžet „tak, jak je“ v domnění, že výchozí nastavení jsou dostatečně bezpečná. Ve skutečnosti ale bývají jen obecná a nejsou přizpůsobená konkrétnímu provozu dané organizace. Výsledkem je, že technologie sice „funguje“, ale nechrání.
A pak je tu lidský faktor. To není jen o chybě kliknutí na škodlivý odkaz, jde o celkové nastavení kultury. V řadě organizací není jasné, kdo přesně má odpovědnost za daný typ incidentu, kdo rozhoduje o eskalaci, kdo komunikuje navenek. Taková nejistota během skutečného útoku zpomaluje reakci – a každá minuta hraje roli. Procesy navíc často neexistují v praxi, jen na papíře. Incident response playbook je krásný dokument, ale pokud ho nikdo netrénoval, tým neví, co má udělat při podezřelé aktivitě, nebo chybí koordinace s IT, s HR, s právním oddělením, pak žádný dokument nepomůže. To, co útokům nejvíc nahrává, je nepřipravenost – ne v tom smyslu, že chybí technologie, ale že technologie nejsou sladěné s lidmi a procesy. Bez této rovnováhy je i nejlepší nástroj jen potenciálem, který zůstane nevyužitý. A přesně tam útočníci nacházejí svou příležitost.
Jaké praktické kroky doporučujete společnostem, které chtějí začít s integrací threat intelligence do svých bezpečnostních týmů (např. SOC nebo CSIRT)?
Integrace threat intelligence do bezpečnostních týmů je víc než jen nasazení dalšího nástroje. Je to změna způsobu uvažování – od reaktivní bezpečnosti k prediktivní a strategické. Prvním krokem proto není nákup datového feedu, ale přesné pochopení, co chcete chránit, kdo vás může ohrozit a jaké kapacity máte k dispozici. Firmy často začínají sbírat data dřív, než vědí, co s nimi. Mnohem efektivnější je na začátku vytvořit základní framework – určité „TI operační centrum“, které určí, jaká data dává smysl získávat, jak se budou vyhodnocovat a kdo za to ponese odpovědnost. Může to být jednoduchá matice typu: hrozba – dopad – priorita – opatření.
Důležité je, aby threat intelligence nebyla izolovanou jednotkou. Musí být propojená s procesy ve SOCu, s prací CSIRT týmu i s managementem. Pokud např. detekujete nový typ útoku na podobné firmy ve svém odvětví, ale neexistuje mechanismus, jak tuto informaci promítnout do konfigurace detekčních nástrojů nebo do školení uživatelů, intel zůstane nevyužitý. Ideální je začít v malém – třeba s jedním nebo dvěma ověřenými zdroji threat intelligence. Z nich extrahovat to podstatné a zkoušet propojení s detekcí (SIEM, EDR), reakcí (SOAR) a prevencí (policy management, školení). Cílem není zahlcení informacemi, ale schopnost správně rozlišit, co je relevantní a co užitečné.
A samozřejmě – budování kompetencí. Jeden člověk, který umí data číst v kontextu prostředí, je cennější než pět nekonfigurovaných platforem. Threat intelligence je činnost lidská – nástroje pomáhají, ale myšlení a rozhodování zůstává na lidech.
Vzhledem k Vaší působnosti v různých regionech – LATAM, EMEA, USA – vnímáte rozdíly v přístupu ke správě hrozeb a řízení incidentů mezi těmito oblastmi?
Rozdíly jsou výrazné. Ve Spojených státech je silný důraz na automatizaci, technologické inovace a vytváření nových „playbooků“ pro incident response. Věnují se opravdu praktické integraci technologií do každodenního provozu. Evropa naopak naráží hlavně na regulatorní výzvy. Každé odvětví, každý stát má jiné předpisy. Na konferenci jsme mluvili o tom, jak DORA, NIS2 nebo GDPR ovlivňují práci kybernetických týmů. Zvláště NIS2 je náročná, protože ji každý stát musí implementovat do svého právního rámce. V Latinské Americe je situace rozvojová. Probíhá spousta iniciativ a mezinárodní spolupráce. Kolumbie je v čele, následují Brazílie a Chile. Brazilské zákony jsou už poměrně vyspělé, ale stále jim chybí centrální agentura. A např. Afrika je teprve na začátku budování vlastní kybernetické infrastruktury – čeká ji ještě dlouhá cesta, ale snaha tam rozhodně je.
Co považujete za největší výzvu pro CSIRT týmy v nadcházejících letech z hlediska technologií, lidí i procesů?
Výzvy pro CSIRT týmy se v příštích letech nebudou odehrávat jen na technologické úrovni, ale ještě více v oblasti koordinace, lidí a celkové odolnosti. Ano, technologie jsou důležité – ale nejsou samospásné. Se vzestupem AI se sice objevují nové možnosti automatizace, ale zároveň se výrazně zvyšuje objem detekovaných událostí. Více alertů neznamená větší bezpečnost, pokud na ně nemá kdo reagovat. Nástroje jako SOAR a moderní SIEM pomáhají zpracovávat data efektivněji, ale jejich přínos závisí na tom, jak dobře jsou nastavené, propojené a řízené. A tady narážíme na lidský faktor. Bez zkušeného analytika, který ví, jak si data vyložit v kontextu dané organizace, zůstane i ten nejlepší engine jen dobře vyhlížejícím dashboardem.
Lidé v CSIRT týmech často čelí enormnímu tlaku – zodpovědnost, stres, vysoká očekávání. Bez systematické péče o duševní i profesní pohodu se setkáváme s odchodem talentů, stagnací dovedností, a nakonec i s oslabováním celého bezpečnostního ekosystému. Vyhoření v této oblasti není výjimkou, ale čím dál častější realitou. Z procesního hlediska je zásadní najít rovnováhu mezi strukturou a flexibilitou. Incidenty dnes často překračují hranice jednoho týmu, jednoho státu i jedné jurisdikce. CSIRT musí být připraven jednat v nejasném prostředí, kde pravidla nejsou vždy jednoznačná. A zároveň musí být napojen na ostatní složky – IT, právní oddělení, PR i management. To vše navíc probíhá v prostředí, které je silně ovlivněné legislativními změnami. NIS2, DORA, GDPR – všechny tyto rámce mají vliv na to, jak se incidenty detekují, oznamují a řeší. Znalost právního i obchodního kontextu bude stejně důležitá jako znalost MITRE ATT&CK. A proto budoucnost CSIRT týmů nebude definovaná tím, jaké nástroje používají, ale jak chytře dokážou propojit technologii, lidi a procesy do odolného, adaptivního systému.
Jakou byste doporučil konkrétní změnu, kterou by organizace měly udělat, aby lépe čelily hrozbám jako jsou password stealery?
Dnešní uživatelé čelí stále sofistikovanějším formám útoků na přihlašovací údaje. Prvním krokem by mělo být posílení autentizačních metod, např. plošné zavedení vícefaktorové autentizace (MFA). A nejen to – MFA by měla být co nejvíce odolná, pokročilá.
Ale opět – technologie sama o sobě nestačí. Pokud neinvestujeme do kybernetického povědomí, pokud nedáme uživatelům znalosti k rozpoznání hrozeb, budeme se jen slepě spoléhat na nástroje. Je to jako když přecházíte ulici – díváte se na obě strany. Děláte to proto, že víte, že jde o váš život. A stejně tak musíme naučit uživatele, že i v kyberprostoru mají být obezřetní. Oni nejsou experti – to je náš úkol. Ale musíme je podpořit, dát jim základy. Protože v bezpečnosti platí: jsme jen tak silní, jak silný je náš nejslabší článek.
Děkuji za rozhovor.
Za DSM se ptal Martin Haloda.
