Jak efektivně předcházet kompromitaci přístupů?
Jak poznáte, že se právě někdo přihlásil pod identitou vašeho kolegy – a jak mu v tom včas zabráníte?
Proč dnes nestačí mít jen MFA – a jaké kroky skutečně chrání před útoky v roce 2025?
Identita jako nová hranice obrany
Na perimetr zapomeňte. V digitálním světě rozptýleném do cloudu, hybridních pracovišť a BYOD zařízení představuje právě identita hlavní vektor útoku.
Stačí kompromitace jediného přístupového údaje – a útočník se stává „oprávněným“ uživatelem.
Právě na této realitě staví koncept Zero Trust, podle kterého:
- žádný uživatel,
- žádné zařízení,
- žádná lokalita
…nejsou z principu důvěryhodné.
Proto nestačí chránit vstup. Musíte rozumět chování uvnitř.
MFA: Nedostatečné, ale nezbytné minimum
Vícefaktorové ověření dnes nasadila většina firem – často ve formě SMS kódu nebo push notifikace. Je to správný začátek. Ale z hlediska dnešních útoků už zdaleka nestačí.
Moderní útoky MFA obejdou:
- pomocí phishingových proxy nástrojů,
- technikou man-in-the-middle,
- krádeží session tokenů.
Silnější přístup:
- Phishing-resistant MFA: FIDO2 tokeny, Windows Hello for Business
- Podmíněný přístup (Conditional Access): Různá úroveň důvěry podle kontextu přístupu
🔐 MFA dnes není cíl. Je to základ, na kterém musíte stavět.
Kontext je klíč: Adaptive Access & Risk-Based Authentication
Moderní nástroje jako Microsoft Entra ID nebo Okta umožňují vyhodnocovat přihlášení nejen podle identity, ale i podle jejího kontextu. Říkáme tomu risk-based authentication.
Příklady signálů rizika:
- Neobvyklá geolokace (např. Asie, ale zaměstnanec je v Brně)
- Neznámé zařízení nebo nekompatibilní OS
- Podezřelá IP adresa – třeba veřejná VPN nebo anonymizér
- Historie přístupů, která nekoresponduje s běžným chováním
Co dělá systém?
- Vyžádá silnější ověření
- Zablokuje přístup do citlivých aplikací
- Nebo rovnou celé přihlášení zastaví
➡️ Neposuzujte jen to, kdo se přihlašuje, ale jak a proč.
Kompromitace není vždy hlasitá – právě proto ji musíte hledat
Útočníci v roce 2025 nejsou hluční. Neposílají e-maily s lebkou, nespouští červené poplachy. Postupují tiše a metodicky. Pracují s kompromitovanými přístupy a testují, co si mohou dovolit.
Abyste je odhalili, potřebujete analýzu uživatelského chování (UEBA), která:
- porovnává aktuální chování se standardním vzorcem,
- hledá odchylky v přístupových datech,
- detekuje i tzv. „tiché“ útoky – insider threat, delegované přístupy, nové aplikace bez schválení.
Co by měl dobrý monitoring zahrnovat:
- Nárůst pokusů o přihlášení nebo selhání MFA
- Podezřelé kombinace rolí a aplikací
- Přístup ze zařízení, které uživatel nikdy předtím nepoužil
- Využívání globálních oprávnění bez důvodu
🔍 Přesně takto funguje i SecuRadar Complete, který využívá Microsoft Sentinel, MITRE ATT&CK klasifikaci a automatickou detekci anomálií v reálném čase.
Automatizovaná reakce: Když systém nečeká na lidské rozhodnutí
Detekce je jen první krok. V reálném světě máte na reakci vteřiny – a v tu chvíli musíte mít nástroje, které nečekají na analýzu.
Automatizovaná reakce zahrnuje:
- Izolaci kompromitovaného zařízení
- Vynucený sign-out a blokaci tokenu
- Reset hesla
- Aktivaci bezpečnostního playbooku (např. přes Microsoft Sentinel)
✅ Klíčem je předem připravený scénář. Incident nesmí být překvapením – musí být očekávanou variantou.
Doporučení pro firmy: Jak chránit identity strategicky
Přestaňte spoléhat jen na hesla a běžné MFA
Nasazení phishing-resistant ověření je dnes naprostý základ.
Vsaďte na kontextové řízení přístupu
Podmíněný přístup s granularitou podle rizika výrazně zvyšuje bezpečnost bez zbytečné zátěže pro uživatele.
Analyzujte chování – nejen technická data
UEBA a datová korelace odhalí to, co se z logů nepozná.
Automatizujte reakce – zkraťte čas rozhodování
Rychlost je často jediným rozdílem mezi úspěšnou ochranou a incidentem.
V prostředí plném mobilní práce, cloudových aplikací a decentralizovaných týmů představuje identita nejcitlivější i nejzranitelnější místo vaší infrastruktury.
