49% от жертвите на ransomware губят данни преди да открият атаката

49% от жертвите на ransomware губят данни преди да открият атаката

Ransomware винаги е бил болезнен проблем, но нов доклад разкрива колко сериозно се проваля откриването: почти половината от жертвите на ransomware са загубили данните си, преди дори да осъзнаят, че нападател е проникнал в мрежата им. Този дял е скочил рязко от 31% през предходната година, което показва, че хакерите не просто стават по-дръзки, а значително по-търпеливи и незабележими.

Средното време на престой преди откриване вече е около 2,5 седмици. Това са 17 или повече дни, през които нападателят може тихо да картографира системите ви, да идентифицира най-ценните ви файлове и да ги изнесе, преди да се задейства дори едно предупреждение.

Истинската заплаха е извличането на данни, а не само криптирането

Повечето хора си представят ransomware като драматично събитие: файловете се заключват, появява се бележка за откуп, операциите спират. Тази представа все повече остарява. Съвременните групи за ransomware са преминали към двуетапна стратегия. Първо, крадат данни. След това, ако и когато разгърнат криптиране, те държат две отделни заплахи над жертвите си: платете, за да възстановите достъпа, и платете отново, за да предотвратите публикуването на откраднатите данни.

Този подход, често наричан двойно изнудване, променя сметката изцяло. Дори организации с надеждни системи за архивиране, които биха могли бързо да възстановят криптирани файлове, все още са изправени пред излагане на чувствителни клиентски данни, финансови документи или интелектуална собственост. Криптирането в този момент е почти второстепенно.

Фактът, че кражбата на данни остава постоянна характеристика на изнудването в повече от половината случаи всяка година, потвърждава, че това не е преходна тенденция. Това вече е стандартният модел.

Защо откриването изостава все повече

Разгръщащата се пропаст между проникването и откриването сочи няколко сближаващи се проблема.

Първо, нападателите все по-често използват легитимни инструменти, които вече съществуват в средата на целта. Софтуерът за сигурност е проектиран да сигнализира за непознати сигнатури на зловреден код, но когато нападателят използва вградени системни помощни програми за преместване на файлове, тези действия често изглеждат неразличими от нормалното поведение на администратор.

Второ, много организации все още разчитат силно на защитата на периметъра. Защитните стени и криптираните тунели пазят данните по време на пренос, но след като нападателят разполага с валидни идентификационни данни или е установил опорна точка в мрежата, инструментите за периметър предлагат малка видимост за случващото се в страни (латерално).

Трето, изтощението от предупреждения е реален и добре документиран проблем в центровете за операции по сигурността. Когато системите за откриване генерират хиляди неточни сигнала на ден, истинските сигнали за проникване биват погребани. Нападателите знаят това и насрочват дейността си така, че да се слее с шумните периоди.

Ето защо разчитането на един-единствен инструмент, включително VPN, създава фалшиво усещане за сигурност. VPN криптира трафика между вашето устройство и интернет, което защитава данните в пренос и маскира IP адреса ви. Но той не прави нищо, за да открие или блокира зловреден код, който вече работи на компрометирана машина, и не предлага никаква видимост за поведението на нападателя, след като идентификационните данни са били откраднати. Пробивът на данни youX в Австралия, при който нападатели получиха достъп до чувствителни идентификационни данни във финтех компания, илюстрира как усъвършенствани прониквания могат да заобиколят повърхностните защити и да предизвикат каскадни реални последици.

Какво означава това за вас

Независимо дали сте отделен професионалист или част от ИТ екип на организация, средното време на престой от 2,5 седмици трябва да промени начина, по който мислите за сигурността.

Въпросът вече не е само „как да не допусна нападателите?“, а в същата степен „колко бързо бих разбрал, ако някой вече е влязъл, и какво би намерил?“

За физически лица и малкия бизнес това означава:

• Приемете, че идентификационните данни могат да бъдат компрометирани. Използвайте многофакторно удостоверяване навсякъде, особено за имейл, облачно хранилище и всякакви инструменти за отдалечен достъп. Откраднатите идентификационни данни са най-честата входна точка.
• Ограничете достъпното. Не всяка система или файлов дял трябва да бъде достъпна от всяко устройство. Ограничаването на достъпа намалява това, до което нападателят може да стигне след първоначалното проникване.
• Следете за аномалии, а не само за известни заплахи. Инструментите за откриване на крайни точки, които сигнализират за необичайно поведение, като например потребителски акаунт, който внезапно достъпва файлове, които никога не е докосвал, са по-ценни от антивирус, базиран само на сигнатури.
• Имайте план за реакция при инциденти. Това да знаете точно какви стъпки да предприемете в първия час на потвърдено нарушение значително ограничава щетите. Много организации откриват, че нямат документиран процес, докато отчаяно не се нуждаят от такъв.
• Сегментирайте своите архиви. Архиви, съхранявани в същата мрежа като основните системи, могат да бъдат криптирани или изтрити от нападателите по време на престоя им. Офлайн или неизменяеми архиви са отделен слой на защита.

VPN услугите остават наистина полезен инструмент, особено за защита на трафика в ненадеждни мрежи и опазване на личния живот от пасивно наблюдение. Но тяхната роля е само един слой сред много, а не пълна защита.

Изграждане на многослойна защитна стратегия

Най-ефективната позиция по сигурността третира откриването като равен приоритет с превенцията. Превенцията никога не е перфектна, а данните потвърждават, че нападателите стават все по-добри в заобикалянето ѝ. Организациите и лицата, които инвестират само в това да държат нападателите навън, без да правят нищо за откриването им веднъж влезли вътре, на практика са слепи през прозореца, който има най-голямо значение.

Многослойната защита означава комбиниране на инструменти за периметър, мониторинг на крайните точки, анализ на мрежовия трафик, строг контрол на достъпа и обучение на потребителите. Нито един отделен продукт не запълва всички пропуски, поради което в сигурността се говори за защита в дълбочина, а не за един универсален спасителен куршум.

Рязкото повишение на кражбата на данни преди откриване е ясен сигнал, че средата на заплахите е узряла. Нападателите действат с повече дисциплина и търпение от всякога. Подходящият отговор е да се противопоставим на тази дисциплина с еднакво обмислени, многослойни защити, вместо с реактивно закупуване на инструменти след инцидент.

Започнете с одит на чувствителните данни, които държите, къде се намират и кой има достъп до тях. Самата тази видимост ви поставя пред повечето цели.