Marek Vraný 
Zařízení okraje – rudové, brány firewall, VPN – se staly prioritními cíli pro kybernetické zločince. To, co kdysi bylo taktikou, kterou státní aktéři používali k infiltru skrytí, je dnes také územím zločineckých skupin, které hledají ekonomické výhody. V kontextu, kde připojení je klíčem k obchodním operacím, tato zařízení (často podceňovaná) představují kritickou a často nechráněnou bránu.
Jejich přitažlivost je, že ve srovnání s jinými oblastmi systému obvykle mají méně bezpečnostních kontrol. Kromě toho je obtížné aplikovat záplaty nebo aktualizace bez generování viditelných přerušení služeb, které často zpožďují údržbu. Tato situace z nich činí ideálním cílem pro cílené útoky.
Jednou z nejvíce znepokojujících taktik je vytvoření operačních reléových boxů (Orbs), okrajových zařízení ohrožených a znovu použity jako anonymita a komunikační infrastruktury útočníky. Tyto inteligentní brány působí jako mosty mezi sítěmi operační technologie (OT) a IT prostředími a hrají klíčovou roli v průmyslové automatizaci. Představují však také kritické kontrolní body: kompromitovaná ORB lze použít k pohybu laterálně přes síť, citlivé informace na exfiltrát nebo dokonce sabotážní procesy.
Nová slabý bod sítí
V loňském roce došlo k jasnému zvýšení využívání zranitelnosti v tomto typu zařízení. Případy, jako je Ivanti Connect Secure a Pan-OS GlobalProtect, které představovaly nedostatky, které umožňovaly provádění vzdáleného kódu a vícefaktorové ověřovací úniky, byly využívány jak ransomware skupiny, tak státními aktéry. Dilema pro společnosti je jasné: Oprava znamená operační riziko, ale nikoli oprava znamená přímou expozici.
Kromě známých vykořisťování se skupiny jako Magnet Goblin, detekované v roce 2024, specializují na využívání nově publikovaných zranitelnosti v široce používaných okrajových zařízeních, jako jsou IVanti VPN. Tato skupina používá nástroje jako Nerbianrat, meziplatformový vzdálený přístup k trojskému přístupu k infiltru sítí a nasazení Vlastní malware. Jeho schopnost rychle jednat po zveřejnění zranitelnosti ukazuje změnu strategie mezi kybernetickými zločinci, která se stále více zaměřuje na složky kritické infrastruktury.
Hranová zařízení se stala prioritními cíli pro kybernetické zločince: to, co bylo kdysi taktikou, kterou státní aktéři používali k infiltrování skrytí, je nyní také územím trestních skupin, které hledají ekonomické výhody.
„Inteligentní“ koule se schopností aplikovat zásady, organizovat pracovní postupy nebo údaje o předběžném procesu jsou ještě atraktivnější. Jejich ústřední role jim dává plnou viditelnost provozu proudícího mezi systémy. Pokud spadnou do nesprávných rukou, útočníci mohou manipulovat s hodnotami senzorů, narušit klíčové procesy nebo se otáčet do jádra sítě, to vše bez detekování.
Tento trend není omezen na organizovaný zločin. Skupiny sponzorované státem nadále fungují s vysokou úrovní sofistikovanosti. Kampaň Arcanedoor, zaměřená na zařízení Cisco ASA, umožnila svým útočníkům infiltrovat vládní a průmyslové sítě za účelem
prodloužená špionáž. Podobně Pacifik RIM, připisovaný čínským hercům, využíval nedostatky ve firewallech Sophos za účelem vytvoření skrytých kouzelných sítí schopných udržovat kanály velení a kontroly (C2) nedetekovatelné po dlouhou dobu. Techniky, jako je použití rootkits a falešné aktualizace, jim umožnily udržet přístup bez zvýšení upozornění.
Na druhé straně jsou stále aktivní tradiční hrozby, jako jsou útoky DDOS. V roce 2024 Cloudflare zmírnil největší útok na popření v historii, který byl spuštěn z tisíců kompromitovaných okrajových zařízení (směrovače Mikrotik, webových serverů, DVR atd.). Mnoho z nich bylo porušeno za to, že nepoužily základní záplaty. Botnety jako Raptor Train nebo Faceless používají decentralizované infrastruktury C2, které se pohybují mezi kompromitovanými zařízeními, aby se zabránilo detekci, což jim umožňuje udržovat přístup k kritickým sítím týdny nebo dokonce měsíce. Nějaký malware, například The Theoon, používá pokročilé vyhýbavé techniky, běží pouze v paměti a neustále se mění IPS.
V tomto novém scénáři již Edge zařízení již nejsou sekundární součástí. Jak se útoky zvyšují, potřeba chránit tyto vstupní body je naléhavá. Organizace musí podniknout okamžité kroky: Posílit autentizaci, aplikovat segmentaci sítě, provádět nepřetržité skenování zranitelnosti a okamžitě spravovat záplaty. Ignorování bezpečnosti na okraji může otevřít dveře útokům, které se dostanou do jádra podnikání.
