Útočník typicky nehledá technicky nejzajímavější slabinu, ale nejslabší článek celého řetězce. Může kompromitovat identitu přes phishing, reuse hesel nebo MFA fatigue, zneužít špatně nastavené přístupy, chybějící segmentaci, dodavatele nebo cloudovou konfiguraci. Jakmile se dostane dovnitř, jeho priorita se rychle přesune z průniku na pohyb v prostředí: eskalaci oprávnění, laterální pohyb, vyhledání citlivých systémů a exfiltraci nebo šifrování dat.
Úspěch útoku proto často neurčuje to, zda organizace „má nějaké bezpečnostní opatření“, ale zda jsou tato opatření umístěná a nastavená tak, aby narušila klíčové kroky útoku.
Právě proto dává smysl dívat se na bezpečnost očima útočníka. Když rozumíme tomu, jak se útočí v reálném světě, dokážeme budovat obranu, která skutečně snižuje riziko – nikoli tu, která jen formálně plní požadavky. Tento přístup se v praxi označuje jako threat-informed security, tedy bezpečnost informovaná reálnými hrozbami.
Jde o lepší alokaci úsilí: soustředit se na několik rozhodujících míst, která útočník prakticky vždy potřebuje překonat.
Typicky to lze srozumitelně popsat třemi kroky:
1) Zkomplikovat získání prvního přístupu
Většina incidentů dnes začíná u identity – uživatelské, servisní nebo privilegované. Největší návratnost proto často přináší opatření jako důsledné MFA, ideálně odolné proti phishingu tam, kde to dává smysl, správa privilegovaných účtů, minimální oprávnění, kontrola a rotace přístupových údajů, hardening přihlašovacích toků, ochrana e-mailu a schopnost rychle izolovat kompromitovaný účet. Smyslem není „udělat průnik nemožným“, ale udělat ho drahým, nejistým a nápadným.
2) Zkrátit čas do detekce
Když už k průniku dojde, rozhoduje rychlost. Čím déle útočník v prostředí zůstane, tím větší škodu obvykle způsobí. Threat-informed obrana proto klade důraz na detekční schopnosti odpovídající reálným technikám útočníků: kvalitní logování, korelaci událostí, detekci anomálií v identitách a privilegovaných akcích a procesní připravenost v podobě triage, eskalace a playbooků. Praktický cíl je jasný: zkrátit dwell time (dobu od průniku do odhalení) z dnů a týdnů na hodiny, ideálně minuty.
3) Omezit rozsah dopadu
Třetí krok se soustředí na to, aby jeden kompromitovaný bod neznamenal kompromitaci celé organizace. Sem patří segmentace a oddělení prostředí, řízení přístupů mezi systémy, ochrana klíčových datových toků, izolace záloh, omezení laterálního pohybu a schopnost rychle obnovit kritické služby. Jinými slovy: i když se útočník dostane dovnitř, neměl by být schopen projít všude ani způsobit nevratný dopad.
Tento rámec je zároveň velmi praktickou odpovědí na otázku, kterou si klade management i regulace: jak prokázat, že bezpečnost je skutečná schopnost organizace odolat incidentům a zvládat je. Dokumentace a politiky jsou nutný základ, ale samy o sobě negarantují odolnost. Threat-informed přístup umožňuje propojit požadavky na opatření s jejich prokazatelným účinkem: ukazuje, které scénáře považujeme za relevantní, kde je umíme narušit, jak rychle je umíme detekovat a jak omezíme dopad, když prevence selže. To je argumentace, která je srozumitelná pro vedení a zároveň auditovatelná a obhajitelná vůči regulatorním očekáváním.
Útočník nehraje technickou hru: hraje hru o přístup, čas a pozornost
Moderní incidenty se stále častěji odehrávají uvnitř legitimního provozu. Útočník se snaží vypadat jako běžný uživatel, dodavatel nebo administrátor a pokud může, raději se přihlásí, než aby se „vloupal“. Je to logické. Validní přístup má nižší pravděpodobnost okamžitého odhalení a zároveň často obejde části tradičního perimetru.
Pro obranu z toho plyne důležitý posun. Nestačí mít „silné technologie“, pokud současně existují slabá místa v procesech, odpovědnostech a každodenních návycích běžných uživatelů. Útočník totiž dobře chápe, že organizace je živý systém: lidé pracují pod tlakem, rozhodují se rychle, používají zkratky a hledají workarounds. A právě na tom lze postavit úspěšný útok.
Jeho uvažování se dá zjednodušit do tří otázek:
- Jak získám první přístup co nejrychleji a nejlevněji?
- Jak se po získání přístupu dostanu k hodnotě?
- Jak minimalizovat riziko odhalení při maximalizaci dopadu?
Obrana je účinná tehdy, když útočníkovi zvýší náklady a současně zvýší šanci, že bude včas odhalen. A to se neděje jen na úrovni technologií. Velmi často to stojí na tom, jak organizace funguje v praxi a na poučených uživatelích.
Nejčastější slabina: identity a důvěra v legitimní přístup
Když se organizace dívá na své největší riziko, je užitečné přestat si útok představovat jako „virus“. V reálných scénářích má útočník obrovskou motivaci získat přístup způsobem, který vypadá legitimně: přes kompromitované přihlašovací údaje, zneužité relace, dodavatelskou identitu, zneužití OAuth souhlasu v SaaS nebo špatně řízený servisní účet.
Odpovídá to trendům v incident response i threat intelligence. Důsledkem je, že bezpečnost identity, tedy autentizace, správa oprávnění a revize přístupů, není „jedna z mnoha oblastí“. Je to páteř toho, zda organizace dokáže útok zastavit v nejranější fázi.
V praxi se vyplatí dívat na identitu jako na tři propojené vrstvy:
- Autentizace – jak se přihlašuji
- Autorizace – co po přihlášení smím
- Viditelnost – co z toho je auditovatelné a detekovatelné.
Jeden kompromitovaný účet nemusí znamenat katastrofu, pokud má organizace rozumně nastavené hranice oprávnění, oddělené privilegované účty a schopnost včas rozpoznat anomálii v přístupech. Naopak v prostředí, kde je běžné „mít přístup skoro všude“, existují sdílené administrátorské účty a privilegia se kumulují bez průběžné revize, se i malý průnik dokáže velmi rychle proměnit ve velký dopad.
Rychlost útoků roste: když má útočník hodiny, vy potřebujete minuty
Útočníci zkracují dobu mezi prvním přístupem a dalším pohybem v prostředí. To zásadně mění nároky na detekci a reakci. Incidenty už nejsou „něco, co uvidíme za týden v auditu“. Jsou to situace, kde rozhodují minuty a hodiny – jak na technické úrovni, tak na úrovni procesní.
Technicky to znamená schopnost rychle omezit účet, odvolat relace nebo izolovat systém. Procesně to znamená mít jasně určené pravomoci, eskalační cestu a první kroky reakce. Tady se velmi zřetelně ukazuje, proč bezpečnost není jen technologie. Pokud organizace nemá jasnou odpovědnost, jasné postupy a kulturu reportingu, ztratí nejcennější komoditu: čas. A čas je přesně to, co útočník potřebuje.
Perimetr a okrajové zranitelnosti: okno mezi „víme“ a „napravili jsme“
Zranitelnosti na internet-facing systémech a okrajových zařízeních, jako jsou VPN, firewally, webové aplikace apod., se pravidelně stávají snadným vstupním bodem útoků kvůli praktickým překážkám tohoto procesu: identifikaci aktiv, určení odpovědnosti, testování změn, plánování údržbových oken, řešení závislostí a nevyhnutelným provozním kompromisům.
Útočník se na to dívá jednoduše: existuje mezi zveřejněním nebo weaponizací zranitelnosti a její opravou okno, ve kterém to stihnu? Pokud ano, proč to nezkusit – zvláště u cíle, kde je slabší viditelnost a monitoring než například na koncových stanicích.
Threat-informed obrana spočívá v disciplíně: vědět, co je vystavené, kdo za to odpovídá, jaké jsou časy nápravy a jaká jsou měřitelná SLA. Právě to je typ opatření, který je bezpečnostně smysluplný a zároveň regulatorně dobře prokazatelný.
Třetí strany a dodavatelé: multiplikátor, ne detail
Dalším opakujícím se patternem je přístup přes dodavatele. Z technického pohledu to často vypadá banálně: kompromitovaná dodavatelská identita, trvalý VPN přístup, příliš široká oprávnění, sdílené účty nebo servisní identity bez rotace a bez vlastníka.
Z procesního pohledu je problém většinou v tom, že organizace sice „má dodavatelský přístup“, ale nemá ho skutečně řízený. Rozdíl nestojí na dokumentu, ale na třech principech:
- Least privilege – dodavatel má jen to, co skutečně potřebuje,
- Časové omezení / JIT – přístup má jen tehdy, když je potřeba
- Auditovatelnost – existují logy, dohledatelnost, revize a recertifikace.
Jakmile dodavatelský přístup propojíte s řízením rizik – tedy s vlastnictvím rizik, jejich evidencí a bezpečnostními opatřeními, přestává být samotný risk management „nepříjemným tématem“ a stává se součástí provozně zvládnutelné reality.
Chcete vědět více o tom, jak řídit dodavatelský řetězed z pohledy kybernetický bezpečnosti? Přihlaste se na 2hodinový webinář s Radimem Trávníčkem.
Kde organizace nejčastěji selhávají
Když se podíváme na typické incidenty napříč odvětvími, většinou nejde o „jednu díru“. Jde o slabinu v rozhodovací smyčce. Útočník hledá místa, kde lze spojit důvěryhodně vypadající podnět s rychlým rozhodnutím a nedokonalým ověřením.
Klasickým příkladem jsou schvalování a změny v procesech: změna bankovních údajů, urgentní fakturace, požadavek „pošlete to hned“, „jsem na cestě“. Útočník nepotřebuje prolomit šifrování. Potřebuje dostat člověka do režimu autopilota, ve kterém se schválí něco, co se za normálních okolností schvaluje správně. Opatření, které tu často udělá největší rozdíl, je přitom poměrně jednoduché: pevný postup ověřování změn mimo původní komunikační kanál a jasné stop pravidlo, kdy se transakce pozastaví.
Druhým častým hřištěm jsou komunikační návyky a tlak v e-mailu, chatu nebo po telefonu. Útočníci umí zvýšit důvěryhodnost komunikace – někdy napodobením značky a tónu, jindy kompromitací skutečného účtu. A právě zde vzniká zásadní rozdíl pro obranu: jinak řešíte situaci, kdy útočník pouze hraje roli přes podvodný e-mail, a jinak situaci, kdy má reálný přístup do schránky nebo chatu. Organizace proto potřebuje jak technické signály, například anomální přihlášení, nová zařízení nebo změny pravidel, tak procesní normu, že „urgentní“ nikdy neznamená „bez ověření“.
Velmi rychlým eskalátorem dopadu bývají přístupová práva. Pokud útočník získá běžný účet, rozhoduje o výsledku to, zda narazí na hranice. Separaci rolí, segmentaci, oddělení administrátorských účtů nebo omezený přístup k finančním workflow a citlivým datům. V praxi se vyplatí položit si nepříjemnou otázku: co všechno dnes umí „normální účet“ a je to opravdu nutné?
Silným slabým místem bývá také onboarding, offboarding a změny rolí. Zapomenuté účty, externí uživatelé v SaaS, servisní účty bez vlastníka, tokeny a integrace, které nikdo nereviduje – to všechno jsou cesty, které se obvykle netestují a dlouho zůstávají bez pozornosti. Threat-informed přístup zde znamená systematiku, například centralizaci identity (sjednocení správy uživatelských identit), pravidelnou recertifikaci oprávnění, rychlou deaktivaci a auditní stopu.
Další realitou jsou workarounds kvůli produktivitě. Lidé obcházejí pravidla, když je pravidlo brzdí. Útočník toho využije, protože workaround bývá typicky kombinací ztráty kontroly nad přístupem a ztráty viditelnosti. Obrana spočívá v nastavení bezpečných výchozích cest, které jsou zároveň použitelné.
A nakonec je tu reporting. Útočník získává náskok, když zaměstnanci váhají nahlásit podezření, protože „to bude trapas“. V prostředí, kde se chyby trestají, incidenty eskalují potichu. V prostředí, kde je reporting norma, se incidenty řeší rychleji a levněji. Právě proto není bezpečnostní kultura „měkké téma“. Je to faktor, který přímo ovlivňuje dobu detekce i rozsah dopadu.
Proč je bezpečnostní kultura součástí systematického řízení rizik
Regulační a normativní rámce, jako jsou nZKB, ISO 27001 nebo TISAX, bývají někdy vnímány jako compliance checklist. Ve skutečnosti ale stojí na jednoduché zkušenosti: bezpečnost není stav, ale schopnost organizace řídit rizika, učit se z událostí a průběžně zvyšovat odolnost. Organizační a vzdělávací opatření v tom mají pevné místo, protože útoky v praxi míří na rozhodování, odpovědnosti a návyky.
Bezpečnostní kultura v tomto pojetí odpovídá na otázky:
- Kdo má odpovědnost a pravomoc zastavit rizikovou situaci?
- Jak se ověřují citlivé změny?
- Jak se reportují podezření a incidenty?
- Jak se z incidentů učíme a co skutečně měníme?
Kultura je tedy praktický operační systém bezpečnosti. A pokud ji propojíte s řízením rizik, vznikne něco, co organizace potřebuje i kvůli důvěryhodnosti: prokazatelná bezpečnost.
Jak propojit vzdělávání zaměstnanců s řízením rizik
Největší chyba, kterou firmy ve vzdělávání dělají, je izolace. „Měli jsme školení, splněno.“
Threat-informed přístup naopak překládá vzdělávání do jazyka rizik a opatření:
- Školení má jasný účel – snížit pravděpodobnost konkrétních scénářů
- Obsah je role-based – finance, HR, management i IT řeší jiné situace
- Výstupy jsou měřitelné – například míra reportingu, doba ověření nebo kvalita eskalace
- Zlepšování je kontinuální – přes lessons learned, aktualizace pravidel a vazbu na registr rizik.
Tím se vzdělávání přirozeně stává součástí ISMS.
