58% от директорите по информационна сигурност биха платили откуп, тъй като отдалечените крайни точки движат атаките

58% от директорите по информационна сигурност биха платили откуп, тъй като отдалечените крайни точки движат атаките

Нов доклад на Absolute Security постави точна цифра на проблем, около който специалистите по сигурност се въртят от години: защитата на отдалечени крайни точки чрез VPN срещу ransomware вече не е по избор за разпределените работни сили. Според проучването 58% от главните директори по информационна сигурност биха обмислили плащането на откуп, за да прекратят атака, като оперативният престой е посочен като основен движещ фактор. Може би още по-поразително е, че 57% от анкетираните предприятия са съобщили, че ransomware атаките са произхождали от отдалечени или хибридни крайни устройства. Взети заедно, тези две цифри рисуват ясна картина на това къде корпоративната сигурност се проваля и какво струва, когато това се случи.

Как отдалечените и хибридните крайни точки се превърнаха в любимата входна точка за ransomware

Преходът към разпределена работа създаде обширна повърхност за атаки, която много организации никога не са картографирали напълно, камо ли защитили. Отдалечените крайни точки — независимо дали са лаптопи на служители, свързващи се от домашни мрежи, устройства на изпълнители в обществени Wi-Fi мрежи, или хибридни работници, превключващи между офис и отдалечена среда — често остават извън прякото наблюдение на корпоративните екипи по сигурност. Те могат да използват остарял софтуер, слабо удостоверяване на самоличността или да се свързват към корпоративни системи чрез неправилно конфигурирани тунели.

Нападателите са го забелязали. Идентификационните данни за Remote Desktop Protocol (RDP) и VPN остават сред най-често експлоатираните вектори за първоначален достъп в ransomware кампании, а крайните устройства са честото първо домино, което пада. Веднъж щом едно отдалечено устройство е компрометирано, нападателите го използват като опорна точка за странично движение в мрежата, ескалирайки привилегии и разполагайки ransomware полезни товари, преди повечето организации да имат време да открият проникването. Констатациите на Absolute Security, показващи, че 57% от атаките могат да бъдат проследени до отдалечени или хибридни крайни точки, потвърждават, че това не е маргинален риск. Той е доминиращият модел на атака.

Последствията от този модел се простират далеч отвъд отделните организации. Ransomware атаката срещу ChipSoft, която изложи нидерландски данни на пациенти, илюстрира какво се случва, когато нападателите успешно преминат от крайна точка в система, съдържаща чувствителни данни в голям мащаб. Здравеопазването, финансите и критичната инфраструктура са изправени пред нарастващ риск, тъй като техните работни сили стават все по-разпределени.

Защо 58% от директорите по информационна сигурност са готови да платят и какво сигнализира това за готовността им

Готовността за плащане на откуп често се представя като морален или правен въпрос, но данните на Absolute Security го преформулират като оперативен. Когато 58% от директорите по информационна сигурност казват, че биха обмислили плащането, те не одобряват престъпна дейност. Те признават, че техните възможности за възстановяване може да не са достатъчни, за да поемат престоя след голяма атака, без да претърпят значителни финансови и репутационни щети.

Това е проблем с готовността. Организациите с надеждна, тествана инфраструктура за архивиране и възстановяване, съчетана с ясни планове за реакция при инциденти, са много по-малко склонни да се окажат в ситуация, в която плащането изглежда като единствената опция. Фактът, че повече от половината от анкетираните ръководители по сигурността биха го обмислили, подсказва, че много предприятия остават неподготвени, особено когато атаката произхожда от крайна точка, намираща се извън традиционните периметри на сигурността.

Това отразява и колко скъп е станал престоят. Веригите за доставки, услугите за клиенти и вътрешните операции зависят от непрекъснат достъп до системи и данни. Когато ransomware блокира тези системи, всеки час на възстановяване има измерима парична стойност. Именно тази калкулация — а не морална гъвкавост — е движещата сила зад решенията за плащане на откуп. И както компрометираната електронна поща на директора на ФБР ясно показа, никоя организация или отделно лице не е категорично имунизирано срещу целенасочени атаки.

Как VPN инфраструктурата намалява повърхността за атака и риска от странично движение

Добре внедреният VPN не е универсално решение, но е основополагащ слой, който при правилна конфигурация значително намалява уязвимостта, създавана от отдалечените крайни точки. Шифрованите тунели предотвратяват прихващането на идентификационни данни в незащитени мрежи. Мрежовата сегментация, прилагана чрез VPN политики, ограничава докъде може да стигне нападателят след проникването. А централизираните изисквания за удостоверяване на самоличността означават, че компрометираните устройства е по-малко вероятно да преминават незабелязано из мрежата.

Ключовата дума е „правилна". VPN конфигурации, разчитащи на еднофакторно удостоверяване, предоставящи широк достъп до мрежата вместо ограничени разрешения, или остаряващи без пачове за продължителни периоди, сами по себе си могат да се превърнат в вектори за атака. Принципът на минималните привилегии, приложен на ниво VPN, означава, че компрометирана крайна точка може да достига само до специфичните ресурси, от които се нуждае, а не до цялата корпоративна мрежа. Съчетаването на VPN достъп с многофакторно удостоверяване и проверки на здравето на крайните точки преди свързването създава значима бариера, която забавя нападателите и дава на защитниците време за реакция.

За хибридните работни сили в частност последователното прилагане на VPN политиките за всички видове устройства — включително лични устройства, използвани за работа — е от съществено значение. Повърхността за атака, описана в доклада на Absolute Security, е отчасти пропуск в прилагането на политиките, не по-малко от технически проблем.

Какво могат да направят разпределените екипи сега, за да защитят своите крайни точки

Констатациите на Absolute Security са подтик за действие, а не само за размисъл. Организациите с разпределени работни сили могат да предприемат конкретни стъпки за намаляване на риска, който представляват отдалечените крайни точки.

Извършете одит на инвентара от крайни точки. Не можете да защитите това, което не виждате. Пълен, актуален опис на всяко устройство, свързващо се с корпоративните системи — включително устройства на изпълнители и лични устройства — е отправна точка за всяка стратегия за сигурност на крайните точки.

Наложете MFA за всички VPN връзки. Тази единична мярка за контрол елиминира значителна категория атаки, базирани на идентификационни данни. Само откраднатите пароли не трябва да са достатъчни за получаване на отдалечен достъп.

Сегментирайте мрежовия достъп по роли. Вместо да предоставяте на отдалечените потребители широк мрежов достъп, конфигурирайте VPN политиките така, че всеки потребител или клас устройства да може да достига само до системите, свързани с неговата функция. Това ограничава страничното движение при компрометиране на устройство.

Прилагайте последователно пачове за крайни точки и VPN инфраструктура. Много широко известни ransomware проникванияексплоатират известни уязвимости, за които вече съществуват пачове. Автоматизираното управление на пачовете премахва човешкото забавяне, на което разчитат нападателите.

Тествайте плана си за възстановяване. Ако ransomware атака удари най-критичните ви системи днес, колко дълго ще отнеме възстановяването? Редовното провеждане на таблетни упражнения и тестове за възстановяване от архив е единственият начин честно да отговорите на този въпрос и да запълните пропуските, преди да са от значение.

Докладът на Absolute Security е полезен показател за текущото състояние на корпоративната сигурност по отношение на готовността срещу ransomware. Числата са отрезвяващи: мнозинството от атаките започват от отдалечени крайни точки, а мнозинството от ръководителите по сигурността смятат, че плащането може да е неизбежно. Но те също така сочат директно към това, което трябва да се промени. Видимостта на крайните точки, прилаганите VPN политики и тестваните възможности за възстановяване не са екзотични мерки за контрол. Те са базовото ниво, което всяка разпределена организация трябва да може да потвърди. Оценката дали текущата ви конфигурация действително отговаря на тази планка е правилното място за начало.