49 % obětí ransomwaru přichází o data dříve, než útok odhalí

Ransomware byl vždy bolestivým problémem, ale nová zpráva odhaluje, jak zásadně detekce selhává: téměř polovina všech obětí ransomwaru přišla o data dříve, než si vůbec uvědomily, že útočník je uvnitř jejich sítě. Tento podíl prudce vyskočil z 31 % v předchozím roce, což signalizuje, že hackeři nejsou jen odvážnější, ale také podstatně trpělivější a nenápadnější.

Průměrná doba setrvání před odhalením nyní činí přibližně 2,5 týdne. To je 17 nebo více dní, během nichž může útočník v klidu zmapovat vaše systémy, identifikovat nejcennější soubory a odeslat je pryč, a to vše ještě před spuštěním jediného upozornění.

Skutečnou hrozbou je exfiltrace, nejen šifrování

Většina lidí si ransomware představuje jako dramatickou událost: soubory se zamknou, objeví se výkupné a provoz se zastaví. Tento obrázek je stále zastaralejší. Moderní ransomwarové skupiny přešly na dvoufázovou strategii. Nejprve kradou data. Poté, pokud a když nasadí šifrování, drží nad oběťmi dvě samostatné hrozby: zaplaťte za obnovení přístupu a zaplaťte znovu, aby se zabránilo zveřejnění ukradených dat.

Tento přístup, často označovaný jako dvojité vydírání, zcela mění situaci. Dokonce i organizace se solidními zálohovacími systémy, které by mohly rychle obnovit zašifrované soubory, stále čelí úniku citlivých záznamů o klientech, finančních dokumentů nebo duševního vlastnictví. Šifrování je v tu chvíli téměř podružné.

Skutečnost, že krádež dat zůstává trvalou součástí vyděračské činnosti ve více než polovině případů rok co rok, potvrzuje, že se nejedná o přechodný trend. Je to nyní výchozí scénář.

Proč detekce stále více zaostává

Rostoucí prodleva mezi průnikem a detekcí poukazuje na několik souběžných problémů.

Zaprvé, útočníci stále častěji využívají legitimní nástroje, které již v prostředí cíle existují. Bezpečnostní software je navržen tak, aby označoval neznámé signatury malwaru, ale když útočník použije k přesunu souborů vestavěné systémové nástroje, vypadají tyto akce často k nerozeznání od běžného chování administrátora.

Zadruhé, mnoho organizací se stále výrazně spoléhá na perimetrovou obranu. Firewally a šifrované tunely chrání data při přenosu, ale jakmile útočník získá platné přihlašovací údaje nebo se uchytí uvnitř sítě, perimetrové nástroje poskytují jen malý přehled o tom, co se děje laterálně.

Zatřetí, únava z upozornění je reálný a dobře zdokumentovaný problém v bezpečnostních operačních centrech. Když detekční systémy generují tisíce nízkověrohodných upozornění denně, skutečné signály o průniku se ztratí. Útočníci to vědí a načasují svou aktivitu tak, aby splynula s hlučnými obdobími.

To je také důvod, proč spoléhání se na jediný nástroj, včetně VPN, vytváří falešný pocit bezpečí. VPN šifruje provoz mezi vaším zařízením a internetem, čímž chrání data při přenosu a maskuje vaši IP adresu. Nicméně nijak nedetekuje ani neblokuje malware, který již běží na kompromitovaném počítači, a neposkytuje žádný přehled o chování útočníka poté, co byly odcizeny přihlašovací údaje. Únik dat youX v Austrálii, při němž útočníci získali přístup k citlivým identitním údajům ve fintech společnosti, ukazuje, jak sofistikované průniky mohou obejít povrchové ochrany a způsobit kaskádovité dopady v reálném světě.

Co to znamená pro vás

Ať už jste samostatný profesionál nebo součást IT týmu organizace, průměrná doba setrvání 2,5 týdne by měla změnit váš pohled na bezpečnost.

Otázka už nezní pouze „jak udržet útočníky venku?“. Stejně tak zní „jak rychle bych poznal, že už je někdo uvnitř, a co by tam našel?“

Pro jednotlivce a malé firmy to znamená:

  • Předpokládejte, že přihlašovací údaje mohou být kompromitovány. Používejte vícefaktorové ověřování všude, zejména u e-mailu, cloudových úložišť a nástrojů pro vzdálený přístup. Odcizené přihlašovací údaje jsou nejčastějším vstupním bodem.
  • Omezte, co je dostupné. Ne každý systém nebo sdílená složka musí být dostupná z každého zařízení. Omezení přístupu snižuje, kam může útočník po získání počátečního přístupu dosáhnout.
  • Sledujte anomálie, nejen známé hrozby. Nástroje pro detekci na koncových bodech, které označí neobvyklé chování, například když uživatelský účet najednou přistupuje k souborům, s nimiž nikdy nepracoval, jsou cennější než samotný antivirus založený na signaturách.
  • Mějte plán reakce na incidenty. Vědět přesně, jaké kroky podniknout v první hodině po potvrzeném průniku, výrazně omezuje škody. Mnoho organizací zjistí, že nemají žádný zdokumentovaný postup, dokud jej zoufale nepotřebují.
  • Segmentujte své zálohy. Zálohy uložené ve stejné síti jako primární systémy mohou útočníci během doby svého setrvání zašifrovat nebo smazat. Offline nebo neměnné zálohy představují samostatnou vrstvu ochrany.

VPN zůstávají skutečně užitečným nástrojem, zejména pro zabezpečení provozu v nedůvěryhodných sítích a ochranu soukromí před pasivním sledováním. Jejich role je však jednou z mnoha vrstev, nikoli úplnou obranou.

Budování strategie vrstvené obrany

Nejefektivnější bezpečnostní postoj považuje detekci za stejně důležitou jako prevenci. Prevence není nikdy dokonalá a data potvrzují, že útočníci ji stále lépe obcházejí. Organizace a jednotlivci, kteří investují pouze do udržení útočníků venku a nedělají nic pro jejich odhalení, jakmile jsou uvnitř, jsou během toho nejkritičtějšího okna prakticky slepí.

Vrstvená obrana znamená kombinovat perimetrové nástroje, monitorování koncových bodů, analýzu síťového provozu, přísné řízení přístupu a vzdělávání uživatelů. Žádný jednotlivý produkt neodstraní všechny mezery, proto bezpečnostní branže hovoří o hloubkové obraně, nikoli o jediném zázračném řešení.

Prudký nárůst krádeží dat před odhalením je jasným signálem, že prostředí hrozeb dospělo. Útočníci jednají s větší disciplínou a trpělivostí než kdy dříve. Správnou reakcí je čelit této disciplíně stejně promyšlenou, vrstvenou obranou, nikoli reaktivními nákupy nástrojů po vzniku incidentu.

Začněte auditem toho, jaká citlivá data uchováváte, kde se nacházejí a kdo k nim má přístup. Už jen tento přehled vás staví před většinu cílů.