Eno največjih nevarnosti pomenijo napadi, ki jih tradicionalni varnostni sistemi sploh ne zaznajo: namesto zlonamerne kode napadalci uporabljajo povsem legitimna orodja, ki jih ima v računalniku vsak sistemski administrator.

 

Kibernetski napadi so danes tišji kot kdaj prej. Namesto da bi v sisteme pošiljali viruse ali trojance, napadalci izkoriščajo orodja, ki so v sistemih že nameščena. Gre za pristop, imenovan Living off the Land, pri katerem se uporabljajo legitimna sistemska orodja, kot so PowerShell, WMI ali Certutil. »Napadalci ne iščejo več vrat v sistem, za vstop uporabijo kar ključe, ki jih imate sami,« je na Tehnološki konferenci podjetja Smart Com poudaril Janko Kersnik, vodja kibernetske varnosti v podjetju.

 

Napadi, ki temeljijo na uporabi legitimnih orodij, so težko zaznavni, saj jih klasični protivirusni mehanizmi pogosto ne prepoznajo. Kersnik je pojasnil, da napadalci začenjajo z nečim povsem običajnim – ukazom ali dokumentom –, nato pa s postopnim širjenjem pridobijo nadzor nad sistemom. »Napad se začne z nečim, kar ne zbudi suma. Ko pa se razveja po sistemu, so škoda in posledice lahko velike,« je dejal.

 

Korelacija, ne alarmi

Pri pravočasnem zaznavanju tako glavno vlogo igra korelacija dogodkov. En sam posamezen varnostni zapis ni dovolj za prepoznavo napada; šele povezava več drobnih dogodkov razkrije vzorec, ki kaže na zlorabo. Rešitve Trend Micro zato temeljijo na analizi vedenja in na združevanju signalov iz različnih virov: omrežja, poštnih strežnikov, oblačnih storitev in končnih naprav. Tako je mogoče zaznati tudi tiste napade, ki bi jih posamezen sistem spregledal. »Če povežemo dogodke iz različnih okolij, lahko napad odkrijemo veliko prej in natančno razumemo, kaj se dogaja,« je pojasnil Kersnik.

 

Odkrivanje ranljivosti, še preden so javne

Pomemben del Kersnikove predstavitve je bil namenjen tudi projektu Zero Day Initiative (ZDI), ki ga vodi Trend Micro in šteje za največjo bazo prijavljenih ranljivosti na svetu. Po njegovih besedah je bilo v zadnjem letu s to iniciativo prijavljenih več kot tisoč ranljivosti, kar pomeni, da uporabniki zaščito prejmejo še pred javno objavo. »ZDI deluje po načelu odgovornega razkrivanja, torej je proizvajalec o ranljivosti obveščen, ima nekaj mesecev časa za popravek, nato pa zaščita že deluje v sistemih Trend Micra,« je pojasnil.

 

27TKSC-Rimske-Terme-035-Photo-Ales-Rosa_Smart_Com

Janko Kersnik, Smart Com: »Napadalci ne iščejo več vrat v sistem, za vstop uporabijo kar ključe, ki jih imate sami.«

 

Prednost takega pristopa je v tem, da zaščitni mehanizmi prepoznajo ranljivosti, še preden jih napadalci poskusijo izkoristiti. Kersnik je poudaril, da so prav podatki iz ZDI osnova za številne varnostne funkcije, ki delujejo samodejno v ozadju.

 

Kako poteka napad v praksi

Zanimiv je konkreten primer napada, kjer napadalci v sistem vstopijo prek zastarelih poverilnic. »Najprej preverijo, ali so v virtualnem okolju, nato ustvarijo novega uporabnika, mu dodelijo administratorske pravice, izklopijo zaščito in prenesejo dodatna orodja,« je opisal. Vse to izvedejo z legitimnimi ukazi sistema Windows, zato varnostni sistemi brez napredne analize pogosto ne zaznajo nič sumljivega.

 

V predstavljenem primeru je Trend Microv sistem korelacije dogodkov zaznal neobičajne procese in zaporedje ukazov, kar je omogočilo izolacijo napada še pred širjenjem. »Samo s pogledom v celotno časovno linijo dogajanja lahko razumemo, kaj se dogaja. Če gledamo posamezne dogodke, napadalec ostane neopažen,« je dejal Kersnik.

 

Od detekcije do odziva

Sodobni varnostni sistemi ne temeljijo več le na zaznavi grožnje, temveč tudi na avtomatiziranem odzivu. Ko sistem zazna sumljivo vedenje, lahko samodejno izolira okužene naprave, prekine povezave in sproži obvestila varnostnemu centru. »Čas je odločilen. Če se na napad odzovemo v nekaj minutah, imamo možnost, da preprečimo širjenje. Če mine nekaj ur, je škoda že narejena,« je opozoril Kersnik.

 

Janko Kersnik, Smart Com:»Samo s pogledom v celotno časovno linijo dogajanja lahko razumemo, kaj se dogaja. Če gledamo posamezne dogodke, napadalec ostane neopažen.«

 

V podjetju Smart Com zato poudarjajo pomen povezovanja tehnologij in človeške presoje, pri čemer umetna inteligenca omogoča hitrejše odkrivanje in predlaga ukrepe, končno odločitev pa sprejme analitik. Tak pristop omogoča učinkovitejši nadzor, manj lažnih alarmov in boljše razumevanje groženj.

 

Varnost ni izdelek, temveč proces

»Varnost ni nekaj, kar enkrat vzpostaviš in pozabiš,« je končal Kersnik. »Gre za stalen proces, ki vključuje spremljanje, ocenjevanje in učenje.« Po njegovem mnenju podjetja še vedno preveč časa posvečajo tehnologiji, premalo pa kulturi in znanju zaposlenih. Brez razumevanja, zakaj so določeni postopki pomembni, tudi najnaprednejša zaščita ne pomaga.

 

Zato mora biti pristop k varnosti celosten – od preverjanja identitet in segmentacije omrežja do nadzora nad končnimi napravami in oblačnimi storitvami. »Napadalci iščejo najšibkejši člen, mi pa moramo poskrbeti, da takih členov ni več,« je sklenil.

 

Članek je bil objavljen 20.11.2025 na spletnem portalu Financ Kibernetska varnost.