Labyrinth vznikl na Ukrajině, během války se přesunul do Polska a dnes o něm mluví celý region. Jeho specializací je tzv. deception technology – klamání útočníků přímo v síti. O tom, proč by měl být klam součástí moderní kyberobrany a jak se mění povaha útoků, mluvila Anastasia Dorosh, bezpečnostní expertka Labyrinthu, která vystoupila na mezinárodní konferenci Honeynet Project.
Na konferenci Honeynet Project v Praze jste měli vlastní prezentaci. Na co jste se zaměřila?
Mluvila jsem o detekci open-source honeypotů a o tom, jak se mohou neúmyslně prozradit, pokud nejsou správně nakonfigurovány. Open-source nástroje jsou neuvěřitelně mocné, ale je s nimi spojena odpovědnost. Klíčová je jejich konfigurace a údržba. Je snadné přehlédnout určitá nastavení, a to je přesně to, co útočníci hledají.
Útočníci navíc stále více automatizují své úsilí a často jsou schopni honeypot odhalit a obejít. Pokud není vaše nastavení důkladně zabezpečené, přicházíte o šanci na včasnou detekci.
Labyrinth bývá označován za přelomovou „deception technology“. Jak byste jeho princip popsala někomu mimo obor?
Tradiční přístup ke kybernetické bezpečnosti se většinou zaměřuje na prevenci nebo na reakci – tedy na chvíli, kdy už k útoku došlo. Co se ale stane, když se útočník dostane dovnitř? Tady přichází ke slovu Labyrinth. Jedná se o komplexní nástroj pro monitorování sítě, který vám dává druhou šanci. Nasadíme do vaší sítě klamné prostředky a v tomto okamžiku dáme protivníkům to, co chtějí, ale za našich podmínek. Kromě toho náš modul Seeker umožňuje aktivní testování bezpečnostních politik, konfigurací nebo procedur v SOC. Kombinujeme tedy pasivní detekci s aktivním ověřováním.
Na náš přístup měly velký vliv kořeny společnosti Labyrinth na Ukrajině. Kybernetická bezpečnost zde není jen o dodržování předpisů – jde o to být agilní, praktický a reagovat na skutečné vyvíjející se hrozby. Tento praktický přístup zaměřený na rizika je součástí DNA společnosti Labyrinth.
Labyrinth vznikl na Ukrajině, část týmu ale po začátku války přesídlila. Jak to ovlivnilo váš vývoj?
Já sama stále se svými přáteli a rodinou žiji na Ukrajině. Do Labyrintu jsem nastoupila v prvním roce invaze a toto období bylo jednou z nejintenzivnějších výzev: nejen pro náš tým, ale pro celou zemi. A přesto jsme navzdory všemu pokračovali, na což jsem nesmírně hrdá. Nyní náš tým funguje v různých zemích, včetně Ukrajiny, Polska a Německa. Jména našich klientů nemohu prozradit, ale podílíme se na posilování kybernetické odolnosti Ukrajiny.
Ráda bych také využila této příležitosti a vyzvala vás, abyste přispěli důvěryhodným nadacím na pomoc obraně Ukrajiny. Vaše podpora přímo přispívá ke schopnosti chránit naši infrastrukturu, lidi a suverenitu.
Na jaké typy útoků se Labyrinth zaměřuje nejefektivněji?
Jsme velmi silní v detekci laterálního pohybu, útoků na identitu a vnitřních hrozeb – tedy typů útoků, které běžným nástrojům snadno uniknou. Labyrinth je navržený tak, aby zachytil varovné signály už v rané fázi, aniž by zahltil systém falešnými poplachy. Pokud někdo použije falešné přihlašovací údaje nebo komunikuje s návnadou, je to jasný signál, že něco není v pořádku. Může jít o chybnou konfiguraci, nebo začátek útoku. V každém případě máte šanci včas zasáhnout.
Firmy ve střední Evropě jsou vůči „deception technologiím“ stále opatrné. Co byste vzkázala skeptickým CISO nebo IT manažerům?
Rozumím té skepsi. Dlouho byla kybernetická klamavá detekce vnímaná jako výstřelek. Ale dnes má své místo – právě díky své jednoduchosti, ceně a účinnosti.
S nedůvěrou manažerů se přesto setkávám denně. Abych ji překonala, často se jich ptám: Můžete zaručit, že právě teď nejsou ve vašem systému žádní útočníci? To, že útoky nevidíte, neznamená, že se nedějí. Deception technologie nejsou náhrada za celé zabezpečení, ale šance, jak získat výhodu dřív, než dojde ke skutečným škodám.
Jak vám spolupráce s COMGUARD pomohla v českém a slovenském prostředí?
Spolupráce s Comguardem mě opravdu baví! Comguard má výborný tým a znalosti trhu. Jejich podpora byla klíčová pro náš růst na českém i slovenském trhu. Pomáhají nám propojovat se s partnery a koncovými zákazníky. Díky nim jsme mohli naši technologii ukázat novému publiku a oslovit širší okruh klientů.
Na co se v Labyrinthu chystáte v nejbližší době?
Úzce spolupracujeme s našimi klienty a partnery, sbíráme jejich zpětnou vazbu a využíváme ji k dalšímu rozvoji. Mohu prozradit jednu exkluzivní novinku – chystáme letní verzi s novinkami. Bude obsahovat nový modul pro Active Directory, nové typy návnad a další zajímavé vylepšení. Zároveň expandujeme – hledáme strategická partnerství a chceme přivést Labyrinth do dalších zemí.