58 % CISO by zaplatilo výkupné, protože vzdálené koncové body pohánějí útoky

58 % CISO by zaplatilo výkupné, protože vzdálené koncové body pohánějí útoky

Nová zpráva společnosti Absolute Security přesně vyčíslila problém, kolem kterého se bezpečnostní profesionálové pohybují již léta: ochrana vzdálených koncových bodů pomocí VPN před ransomwarem již není pro distribuované pracovní síly volitelná. Podle tohoto výzkumu by 58 % ředitelů pro informační bezpečnost zvážilo zaplacení výkupného za ukončení útoku, přičemž jako hlavní důvod byl uveden výpadek provozu. Možná ještě překvapivější je, že 57 % dotázaných podniků uvedlo, že ransomwarové útoky pocházely ze vzdálených nebo hybridních koncových zařízení. Tato dvě čísla dohromady jasně ukazují, kde podnikové zabezpečení selhává a co to stojí, když k tomu dojde.

Jak se vzdálené a hybridní koncové body staly oblíbeným vstupním bodem ransomwaru

Přechod na distribuovanou práci vytvořil rozsáhlou útočnou plochu, kterou mnoho organizací nikdy plně nezamapovalo, natož aby ji zabezpečilo. Vzdálené koncové body – ať už jde o notebooky zaměstnanců připojující se z domácích sítí, zařízení dodavatelů na veřejné Wi-Fi nebo hybridní pracovníky přepínající mezi kancelářským a vzdáleným prostředím – často leží mimo přímou viditelnost podnikových bezpečnostních týmů. Mohou na nich běžet zastaralý software, slabá autentizace nebo se mohou připojovat k podnikovým systémům přes nesprávně nakonfigurované tunely.

Útočníci si toho všimli. Přihlašovací údaje pro protokol RDP (Remote Desktop Protocol) a VPN patří k nejčastěji zneužívaným vektorům počátečního přístupu v ransomwarových kampaních a koncová zařízení jsou obvykle prvním dominem, které padne. Jakmile je jediné vzdálené zařízení kompromitováno, útočníci ho využijí jako základnu pro laterální pohyb po síti, eskalaci oprávnění a nasazení ransomwarového obsahu, a to dříve, než má většina organizací čas intrusi odhalit. Zjištění společnosti Absolute Security, podle nichž 57 % útoků pochází ze vzdálených nebo hybridních koncových bodů, potvrzuje, že se nejedná o okrajové riziko. Jde o dominantní vzorec útoku.

Důsledky tohoto vzorce sahají daleko za hranice jednotlivých organizací. Ransomwarový útok na ChipSoft, který odhalil data nizozemských pacientů, ilustruje, co se stane, když útočníci úspěšně proniknou z koncového bodu do systému, který ve velkém měřítku uchovává citlivé záznamy. Zdravotnictví, finance a kritická infrastruktura čelí rostoucímu riziku, protože jejich pracovní síly jsou stále více distribuované.

Proč je 58 % CISO ochotno zaplatit a co to vypovídá o připravenosti

Ochota zaplatit výkupné je často rámována jako morální nebo právní otázka, ale data společnosti Absolute Security ji přerámovávají jako otázku provozní. Když 58 % CISO říká, že by zaplacení zvážilo, neschvalují tím trestnou činnost. Přiznávají tím, že jejich schopnosti obnovy nemusí být dostatečné k tomu, aby absorbovaly výpadek provozu po závažném útoku bez přijetí značných finančních a reputačních škod.

To je problém připravenosti. Organizace s robustní a otestovanou infrastrukturou pro zálohování a obnovu v kombinaci se silnými plány reakce na incidenty se mnohem méně pravděpodobně ocitnou v situaci, kdy zaplacení výkupného připadá jako jediná možnost. Skutečnost, že více než polovina dotázaných bezpečnostních lídrů by to zvážila, naznačuje, že mnoho podniků zůstává nepřipravených, zejména pokud útok pochází z koncového bodu, který leží mimo tradiční bezpečnostní perimetry.

Odráží se v tom také to, jak nákladnými se výpadky staly. Dodavatelské řetězce, služby orientované na zákazníky a interní provoz závisí na nepřetržitém přístupu k systémům a datům. Když ransomware tyto systémy zablokuje, každá hodina doby obnovy má měřitelnou peněžní hodnotu. Právě tento výpočet – nikoli morální flexibilita – je tím, co pohání rozhodnutí o platbě výkupného. A jak jasně ukázal kompromitovaný e-mail ředitele FBI, žádná organizace ani jednotlivec není kategoricky imunní vůči cíleným útokům.

Jak VPN infrastruktura snižuje útočnou plochu a riziko laterálního pohybu

Dobře implementovaná VPN není všelékem, ale je základní vrstvou, která při správné konfiguraci výrazně snižuje expozici způsobenou vzdálenými koncovými body. Šifrované tunely zabraňují zachycení přihlašovacích údajů v nezabezpečených sítích. Segmentace sítě vynucovaná prostřednictvím zásad VPN omezuje, jak daleko se útočník po průniku může pohybovat. A centralizované požadavky na autentizaci znamenají, že kompromitovaná zařízení s menší pravděpodobností tiše procházejí sítí bez odhalení.

Klíčovým slovem je „správné". Konfigurace VPN spoléhající na jednofaktorovou autentizaci, udělující široký přístup k síti místo přesně vymezených oprávnění nebo po delší dobu bez záplat se samy mohou stát útočnými vektory. Princip nejmenších oprávnění aplikovaný na vrstvě VPN znamená, že kompromitovaný koncový bod může dosáhnout pouze na konkrétní zdroje, které potřebuje – nikoli na celou podnikovou síť. Kombinace přístupu přes VPN s vícefaktorovou autentizací a kontrolou stavu koncového bodu před připojením vytváří smysluplnou bariéru, která útočníky zpomaluje a dává obráncům čas na reakci.

Zejména pro hybridní pracovní síly je nezbytné konzistentní vynucování zásad VPN napříč všemi typy zařízení, včetně osobních zařízení používaných pro práci. Útočná plocha popsaná ve zprávě Absolute Security je zčásti stejně tak mezerou ve vynucování zásad jako problémem technickým.

Co mohou distribuované týmy udělat nyní pro posílení zabezpečení svých koncových bodů

Zjištění společnosti Absolute Security jsou výzvou k akci, nejen k zamyšlení. Organizace s distribuovanými pracovními silami mohou podniknout konkrétní kroky ke snížení rizika, které vzdálené koncové body představují.

Proveďte audit inventáře koncových bodů. Nemůžete chránit to, co nevidíte. Úplný a aktuální přehled každého zařízení, které se připojuje k podnikovým systémům – včetně zařízení dodavatelů a osobních zařízení – je výchozím bodem každé strategie zabezpečení koncových bodů.

Vynuťte MFA na všech VPN připojeních. Toto jediné opatření eliminuje významnou kategorii útoků založených na přihlašovacích údajích. Samotné odcizené heslo by nemělo stačit k získání vzdáleného přístupu.

Segmentujte přístup k síti podle rolí. Místo udělování širokého síťového přístupu vzdáleným uživatelům nakonfigurujte zásady VPN tak, aby každý uživatel nebo třída zařízení mohla dosáhnout pouze na systémy relevantní pro jejich funkci. To omezí laterální pohyb v případě kompromitace zařízení.

Konzistentně záplatujte koncové body a VPN infrastrukturu. Mnoho vysoce profilovaných ransomwarových průniků zneužívá známé zranitelnosti, pro které záplaty již existují. Automatizovaná správa záplat odstraňuje lidské prodlevy, na které útočníci spoléhají.

Otestujte svůj plán obnovy. Kdyby ransomwarový útok zasáhl vaše nejkritičtější systémy dnes, jak dlouho by obnova trvala? Pravidelné provádění stolních cvičení a testů obnovy ze zálohy je jediným způsobem, jak na tuto otázku upřímně odpovědět a uzavřít mezery dříve, než se projeví.

Zpráva společnosti Absolute Security je užitečným měřítkem toho, kde podnikové zabezpečení v současnosti stojí, pokud jde o připravenost na ransomware. Čísla jsou střízlivá: většina útoků začíná u vzdálených koncových bodů a většina bezpečnostních lídrů považuje platbu za nevyhnutelnou. Zároveň však přímo ukazují na to, co je třeba změnit. Viditelnost koncových bodů, vynucované zásady VPN a otestované schopnosti obnovy nejsou exotické kontrolní mechanismy. Jsou to základní požadavky, které by každá distribuovaná organizace měla být schopna doložit. Zhodnotit, zda vaše aktuální nastavení skutečně splňuje tuto úroveň, je správným místem, kde začít.