Typy kyberútoků a obrana – Ekonomická encyklopédia

Proč rozumět typům kyberútoků

Kybernetické útoky se vyvíjejí rychleji než obranné mechanismy. Kombinují technické zneužití zranitelností, sociální inženýrství a automatizaci. Cílem tohoto článku je poskytnout systematický přehled hlavních typů útoků a nabídnout osvědčené strategie prevence a detekce v podnikovém i domácím prostředí.

Klasifikace útoků podle vektoru a cíle

Útoky na uživatele – phishing, spear-phishing, vishing, smishing, business email compromise (BEC), MFA fatigue.
Útoky na aplikace – injekce (SQLi, NoSQLi), XSS, CSRF, SSRF, RCE, logické chyby.
Útoky na infrastrukturu – DDoS, útoky na DNS, BGP hijacking, ARP spoofing, MITM.
Útoky na identitu – credential stuffing, password spraying, krádež tokenů a relací, session fixation.
Útoky na dodavatelský řetězec – kompromitace buildů, balíčků, CI/CD, aktualizací a poskytovatelů služeb.
Útoky na data – ransomware, exfiltrace, wiper malware, šifrovací a dešifrovací vydírání (double/triple extortion).
Specifické domény – mobilní zařízení, IoT/OT/ICS, cloud a kontejnery, bezdrátové sítě.

Malware: rodiny a techniky

Malware zahrnuje viry, trojany, wormy, spyware, adware, botnet klienty a ransomware. Moderní kampaně používají fileless techniky (PowerShell, WMI), living-off-the-land nástroje, obfuskaci, packery a polymorfismus k obcházení detekce. Distribuce probíhá přes phishingové přílohy, kompromitované weby, pirátský software nebo škodlivé reklamy (malvertising).

Phishing a sociální inženýrství

Phishing využívá naléhavost a imitaci důvěryhodných značek. Cílený spear-phishing a whaling míří na konkrétní osoby s přístupem k financím nebo kritickým systémům. Variace zahrnují smishing (SMS), vishing (hlas) a MFA fatigue – zahlcení uživatele požadavky na potvrzení přihlášení.

Útoky na webové aplikace

Injekce (SQL/NoSQL/LDAP/OS) – vkládání škodlivých příkazů do nedostatečně validovaných vstupů.
XSS – vložení škodlivého skriptu do stránky; krádež cookie, keylogging, defacement.
CSRF – zneužití relace uživatele k provedení nežádoucí akce.
SSRF – přimění aplikace, aby volala interní služby; časté v cloudu.
RCE – vzdálené spuštění kódu kvůli chybám deserializace, šablonování či knihovnám.
Úniky tajemství – klíče, tokeny a hesla v repozitářích, logách nebo image kontejnerech.

Síťové a protokolové útoky

DDoS – volumetrické, protokolové a aplikační útoky (např. HTTP(S) flood, amplification).
MITM – odposlech a modifikace komunikace; ARP spoofing, DNS poisoning, rogue AP.
Směrovací útoky – BGP hijacking/leak, útoky na DNS (cache poisoning, NXNS).
Bezdrátové útoky – deauth vektory, slabé PSK, KRACK-like zneužití, Evil Twin.

Identity a přístup: jak útočníci obcházejí ochrany

Útočníci využívají password spraying (běžná hesla na mnoho účtů), credential stuffing (uniklé kombinace), krádež tokenů (OAuth, cookies), session hijacking a zvýšení oprávnění (privilege escalation). Častým cílem je zneužití špatně nastaveného SSO a chybějící segmentace práv.

Ransomware a exfiltrace

Moderní ransomware kombinují laterální pohyb (RDP, SMB), vypínání záloh a exfiltraci citlivých dat k nátlaku. Cíle: nemocnice, municipality, výrobní podniky. Obrana stojí na segmentaci, patchování, ochraně privilegovaných účtů a robustní strategii záloh.

APT a pokročilé vícestupňové kampaně

APT (Advanced Persistent Threat) využívají zero-day zranitelnosti, supply-chain vektory a dlouhodobé ukrývání (steganografie v protokolech, C2 přes běžné služby). Cílem je průmyslová špionáž nebo sabotáž, nikoli okamžitý zisk.

Útoky na dodavatelský řetězec

Kompromitace build serveru, CI/CD pipeline nebo závislostí (typosquatting v repozitářích) umožní distribuovat škodlivý kód do tisíců instalací. Kritické je ověřování integrity artefaktů, podepisování a transparentní SBOM.

Cloud, kontejnery a Kubernetes

Chybné konfigurace – veřejné buckety, otevřené porty, nadměrná oprávnění IAM.
Úniky tajemství – klíče v image, proměnných prostředí či logách.
Útoky na orchestraci – eskalace z Podu na node, API server exposure, supply-chain v image.

IoT, OT a průmyslové řídicí systémy

Zařízení s omezenou možností patchování, defaultními hesly a dlouhou životností jsou náchylná k botnetům, sabotáži či odposlechu. V OT/ICS je prioritou dostupnost a bezpečnost provozu (safety), což mění strategii mitigace a okna pro zásahy.

Mobilní ekosystém a bezdrátové útoky

Hrozby zahrnují škodlivé aplikace mimo oficiální obchody, zneužití oprávnění, sledování přes BTS/IMSI-catchery, útoky na Bluetooth a Wi-Fi, a záměnu MDM profilů.

Prevence: zásady bezpečného návrhu a provozu

Zero Trust – neimplicitně nevěřit žádné entitě; ověřovat identitu, kontext a stav zařízení při každém přístupu.
Least Privilege & Segregation of Duties – minimální oprávnění a oddělení rolí.
Security by Design – bezpečnostní požadavky ve všech fázích SDLC, hrozbový model (STRIDE), bezpečné defaulty.
Aktualizace a správa zranitelností – CMDB, prioritizace podle rizika, rychlé záplatování, virtuální záplaty na WAF/IPS.
Šifrování – data v klidu i přenosu, správná správa klíčů (HSM/KMS), rotace certifikátů.

Obrana na koncových bodech a v síti

EDR/XDR – detekce chování, blokace ransomwaru, IOC/IOA korelace.
Antimalware a sandboxing – heuristiky, analýza příloh, izolace prohlížeče.
NDR/IDS/IPS – viditelnost nad východním-západním provozem, detekce laterálního pohybu.
Segmentace a mikrosegmentace – oddělení zón, NAC, kontrola egress.
Ochrana perimetru a aplikací – WAF, RASP, rate-limiting, DDoS ochrana (scrubbing, anycast).

Identita, přístup a e-mail

MFA všude – ideálně phishing-resistant (FIDO2/WebAuthn, passkeys); detekce MFA fatigue.
IAM & PAM – životní cyklus účtů, JIT přístupy, zaznamenávání relací, politika silných hesel nebo bezheslové přihlášení.
E-mailová ochrana – SPF, DKIM, DMARC, detekce BEC, izolace odkazů a příloh.

Bezpečný vývoj a DevSecOps

SAST/DAST/IAST – automatizované testy během CI/CD.
Software Supply Chain – podepisování artefaktů, reproducibilní buildy, SBOM, kontrola závislostí a typosquattingu.
Secrets Management – sejfy tajemství, žádná tajemství v kódu, rotace klíčů.

Zálohování a obnova po útoku

Strategie 3-2-1-1-0: tři kopie, dva různé typy médií, jedna off-site, jedna immutable/offline, nula chyb v testu obnovy. Pravidelné testy DR/BCP, oddělení zálohovací domény od produkce a kontrola přístupu k backupům.

Monitorování, detekce a reakce

SIEM a telemetrie – centralizované logování, normalizace, korelace a použití detekčních pravidel.
Threat Intelligence – IOC feedy, TTP mapování na MITRE ATT&CK, hunting playbooky.
IR plán – jasné role, playbooky, práce s důkazy, komunikace a právní aspekty.
Table-top cvičení – simulace BEC, ransomware, cloud incidentů.

Školení uživatelů a firemní kultura

Pravidelné školení včetně simulovaných phishingových kampaní, povědomí o klasických návnadách (falešné faktury, balíčky, HR), hlášení podezřelých událostí bez obavy ze sankcí a posilování bezpečnostní kultury.

Specifická doporučení podle typu útoku

Phishing/BEC – DMARC „reject“, sandboxing příloh, brand indicators, trénink, ověřovací procesy plateb (čtyři oči).
Ransomware – segmentace, EDR s blokací, rychlé patchování, minimální oprávnění na sdílených discích, offline zálohy a test obnovy.
DDoS – upstream ochrana, anycast CDN, rate-limit, autoscaling; runbook pro blackholing.
OWASP top útoky – bezpečné frameworky, input validation, output encoding, WAF a testy během CI/CD.
MITM/bezdrát – povinné TLS 1.2+/1.3, HSTS, cert pinning tam, kde dává smysl; WPA3-Enterprise, segmentace guest Wi-Fi.

Metriky, audit a zralost bezpečnosti

Sledujte MTTD (čas do detekce), MTTR (čas do nápravy), míru záplatování dle kritičnosti, pokrytí EDR/AV, počet otevřených vysokých zranitelností, úspěšnost phishingových simulací a míru incidentů na 1000 uživatelů. Pravidelné audity proti rámcům jako NIST CSF nebo ISO/IEC 27001 pomáhají řídit zlepšování.

Právní a souladové aspekty

Zohledněte požadavky GDPR (osobní údaje), směrnici NIS2 (kritická infrastruktura a základní/služby zásadní), evidenci logů, hlášení incidentů dozorovým orgánům a smluvní ujednání s dodavateli včetně bezpečnostních dodatků (DPA, SLA, odpovědnost za incidenty).

Checklist minimálních opatření

MFA s podporou FIDO2 pro všechny kritické přístupy.
Průběžné patchování a skenování zranitelností, inventarizace aktiv.
EDR/XDR na všech strojích, SIEM pro klíčové logy, alerting 24/7.
Segmentace sítí, firewalling, WAF a ochrana DNS/DDoS.
Zálohy 3-2-1-1-0 a pravidelné testy obnovy.
Bezpečný vývoj, SAST/DAST a SBOM v CI/CD.
Školení uživatelů a jasný incident response plán.

Závěr

Neexistuje jediné stříbrné řešení. Úspěšná obrana vyžaduje kombinaci prevence, detekce a rychlé reakce, podporovanou kulturou bezpečnosti a kontinuálním zlepšováním. Pochopení typů útoků a jejich technik umožňuje prioritizovat opatření, která nejlépe chrání data, dostupnost služeb a reputaci organizace.

Samuel Salaj komentoval SCRUM
Filip Sichman komentoval Parcela
Šajno komentoval Odvolateľný akreditív
Šajto komentoval AVV
DawnBreaker komentoval Spoločnosť s ručením obmedzeným
Ellen komentoval Úverová kalkulačka
Julius Simsky komentoval Priemysel
Dwaewiel komentoval IOST (IOST)
Veronika B. komentoval Finančný trh
Peter Trnka komentoval Počítačový vírus