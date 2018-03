Když jsem zařizoval návštěvu bezpečnostního centra Microsoftu, dělali si ze mě kolegové legraci, že přijede neoznačená černá dodávka bez oken a na cestu nám zavážou oči. Tak to sice úplně nebylo, ale bylo nám přísně zakázáno cokoliv fotografovat, a dokonce i prozrazovat adresu budovy, kde Microsoft Cyber Defense Operations Center sídlí.

Společnost Microsoft představuje jeden z nejšťavnatějších cílů kybernetických útoků všeho druhu. Je tedy poučné se podívat, jakým způsobem přistupuje ke kybernetické bezpečnosti. Přímo v popisu práce má bezpečnost celosvětově přibližně 35 tisíc zaměstnanců z celkových přibližně 125 tisíc. Každý produkt a služba má vlastní bezpečnostní tým, ale na vrcholu hierarchie stojí a koordinaci zajišťují dvě oddělení: Digital Crime Unit (DCU) a Cyber Defense Operations Center (CDOC), která jsem měl možnost navštívit.

DCU se zabývá obecnou počítačovou kriminalitou, která se nějak dotýká zákazníků Microsoftu, a CDOC chrání infrastrukturu společnosti jako takové.

Cyber Defense Operations Center

Microsoft provozuje přes stovku datových center, v nichž je více než milion fyzických serverů. Nabízí přes 200 veřejných služeb, od vyhledávače Bing přes e-mailovou službu Outlook.com, Office 365, Skype až po Xbox Live. Jejich provoz před útočníky chrání oddělení Cyber Defense Operations Center – CDOC.

Podnětem pro vytvoření CDOC v jeho současné podobě se stal úspěšný útok na herní službu Xbox Live, který postihl miliony zákazníků Microsoftu. O Vánocích roku 2014 skupina Lizard Squad vyřadila mohutným DDoS útokem z provozu herní sítě PlayStation Network (Sony) a právě Xbox Live. Microsoft na útok nebyl schopen okamžitě reagovat, protože se v něm o bezpečnost staralo několik skupin odborníků, které byly ale vzájemně nedokonale propojené.

Proto vzniklo CDOC, které je společným koordinačním místem.

CDOC nemá žádné stálé zaměstnance, ale pravidelně se v něm v nepřetržité službě střídají zaměstnanci, kteří jinak pracují pro týmy jednotlivých služeb. Tím je zajištěna efektivní výměna informací. Maximální kapacita centra je přibližně padesát zaměstnanců, ale zpravidla jich je tam méně.

CDOC sídlí na utajeném místě v areálu Microsoft kampusu v Redmondu ve státě Washington v USA. Bylo mi umožněno jej navštívit, ale obecně se zde dodržují přísná bezpečnostní opatření. Budova je speciálně opevněna, operační místnost je vybavena neprůstřelným sklem a kolem budovy jsou rozmístěny zátarasy (ve formě květináčů), které jsou dimenzované tak, aby zabránily útoku jedoucím nákladním autem.

CDOC má k dispozici svoje vlastní zálohované napájení, dedikované komunikační linky a několik záložních pracovišť.

V CDOC se shromažďuje obrovské množství informací z pracovních stanic, serverů, síťových prvků… Jenomže sebevětší množství informací nepomůže, není-li je možné vyhodnotit. Microsoft proto vyvinul sofistikovaný systém, který dokáže pomocí strojového učení detekovat běžné chování a upozornit na anomálie. Triliony datových položek se tak filtrují na řádově stovky prověřovaných incidentů za den.

Stejně jako v řadě dalších firem i v Microsoftu pracuje "červený tým" a "modrý tým". Červený tým jsou záškodníci v řadách vlastních zaměstnanců, kteří neustále testují fyzickou i informační bezpečnost firmy. Modrý tým pak má za úkol firmu chránit před cvičnými i skutečnými útoky. Jednou ročně se pak koná předem neoznámené cvičení, kdy červený tým použije v maximální míře všechno, co má k dispozici, a je na CDOC, aby si s útokem poradilo. Do těchto cvičení je zapojena celá firma, včetně CEO Satyi Nadelly. To vše je doplněno vzděláváním zaměstnanců a nese to své ovoce.

Při nedávném interním cíleném phishingovém testu závadný software spustila jediná osoba z tisícového vzorku. To je obrovský úspěch proti obdobné akci v jisté české organizaci veřejné správy, na níž jsem se podílel – tam byla úspěšnost útoku kolem sedmdesáti procent.

Výše uvedené principy se používají obecně a řada z nich vychází ze standardů jako ISO/IEC 27001:2013 nebo NIST 800-SP61 Rev2. S něčím typově podobným se lze setkat ve většině globálních firem. Ve světě globálních kybernetických hrozeb je třeba, aby podobné principy, třeba neformálně, přijaly i menší společnosti, neboť i útok na ně může mít zásadní následky. Samozřejmě není nutné budovat operační centrum jako ze sci-fi filmu, ale vzdělávání a testování uživatelů by měly fungovat v každé firmě.

Digital Crime Unit

DCU je skupina s celosvětovou působností a několika pobočkami po celém světě. Jejím posláním je chránit zákazníky Microsoftu. Zabývá se pěti hlavními skupinami problémů.

Tech Support Fraud v České republice prakticky neznáme, ale zejména v USA je hodně rozšířený. Jde o falešné nabídky "technické podpory" buďto telefonické (což je účinné zejména na starší uživatele), nebo on-linové – reklamy a pop-up okna (což funguje u mladších uživatelů).

Podvodník oběť přesvědčí, že je z Microsoftu (nebo z partnerské firmy) a že má s počítačem nějaký problém, který podpora na dálku dokáže vyřešit – a nechá si za to dobře zaplatit.

U nás se s tímto druhem podvodů prakticky nesetkáváme, protože jazyková bariéra je u cílové skupiny značná a provozovat lokalizovanou verzi pro tak malý "trh", jako je ČR, se nevyplatí. V USA se však jedná o zásadní problém, který působí milionové škody.

On-line Child Exploitation je boj s dětskou pornografií. Microsoft vyvinul systém PhotoDNA, který dokáže s velmi malou mírou falešných poplachů identifikovat známé fotografie a videa, i když byla různým způsobem pozměněna. Kromě vlastních služeb Microsoftu využívají PhotoDNA třeba i Facebook, Twitter nebo Google.

Cloud Crime and Malware řeší klasické viry a další malware. DCU se ve spolupráci s bezpečnostními složkami na celém světě snaží vyřadit z provozu command & control sítě botnetů a vyčistit napadená zařízení. Používá k tomu jak vlastní bezpečnostní produkty (jako například Windows Defender), tak spolupráci s národními bezpečnostními koordinátory (CERT/CSIRT).

Microsoft provozuje s cílem odhalit nové škodlivé programy vlastní Malware Lab, což je laboratoř, v níž jsou honeypoty – počítače určené k tomu, aby byly nakaženy.

Část infrastruktury je virtualizovaná, ale mnohý malware na virtuálních počítačích neběží (právě proto, aby ztížil analýzu), a proto Microsoft používá i skutečné "železo".

V ideálním případě se DCU podaří zablokovat řídicí servery, které ovládají funkce příslušného malwaru, a nahradit je vlastními nástroji označovanými "sinkholes", jimiž hrozbu neutralizuje. Koncová zařízení jsou sice nadále napadená, ale bez instrukcí z řídicích serverů dále neškodí.

Provozování "sinkhole" serverů také Microsoftu dává možnost sledovat, ve kterých zemích je jaký malware populární.

V současnosti je podle těchto údajů v ČR nejrozšířenější rodina škodlivého softwaru s označením B106, známá též jako Bladabindi nebo Jenxcus. Microsoftu se podařilo tento botnet ovládnout v roce 2014, i když se to neobešlo bez menší aféry. Microsoft totiž pomocí soudního příkazu zablokoval 22 domén, které patří službě No-IP, která nabízí dynamické DNS a další služby. Druhým největším botnetem v ČR je překvapivě Conficker. Překvapivě, protože se šíří pomocí zranitelnosti, na niž existuje oprava již více než deset let.

Global Strategic Enforcement se zabývá bojem s mezinárodními kriminálními organizacemi, které jsou zapojeny do široké škály operací od krádeží osobních a finančních údajů přes zneužívání cloudových zdrojů (v současnosti je populární zejména těžba kryptoměn) až po padělání hardwaru nebo softwaru. DCU se snaží v první řadě zabránit škodám (opět třeba snahou zrušit nebo získat pod svou kontrolu řídicí servery) a ve druhé řadě pak dosáhnout potrestání viníků. To může být mnohdy značný problém, protože mnoho zemí stále ještě nemá funkční zákony počítající s kybernetickou kriminalitou.

Důležitou součástí týmu jsou tedy kromě techniků i právníci, kteří se snaží najít způsob, jak odhalené pachatele právně postihnout.

Tato činnost má občas poněkud absurdní nádech. Třeba ve Velké Británii byl v několika případech úspěšně využit pět set let starý právní princip, který se původně týkal dobytka.

V jiném případě zase Microsoft odhalil v Číně krádež 600 000 produktových klíčů od svého softwaru. Vyšetřování prokázalo, že za krádeží byli dva pachatelé, kteří sériová čísla ručně opisovali a pak je prodávali po dolaru za kus.

Nation-State Actors (státem podporovaní útočníci) je nebezpečí, které rok od roku stoupá, neboť se kyberprostor stal regulérním bojištěm.

V porovnání s kriminálními syndikáty mají státem sponzorovaní útočníci k dispozici prakticky neomezené zdroje (finanční, personální…) a zejména právní imunitu. Řeč je zejména o Rusku a KLDR, nicméně jednotky elektronického boje má dnes většina zemí. Problémem je, že "hackerské" nástroje vyvinuté pro státní hacking mají tendenci unikat na veřejnost (viz opakované úniky informací a nástroj z NSA) a pak jsou používány i proti civilním systémům.

Autor je spolupracovník redakce a do bezpečnostního centra Microsoftu se dostal díky účasti na MVP Global Summitu, který firma pořádá pro uznávané odborníky na své technologie a produkty.

Microsoft udělil status MVP pouze 3762 lidem z celého světa, v Česku jich působí 31.