49 % af ransomware-ofre mister data, før de opdager angrebet

49 % af ransomware-ofre mister data, før de opdager angrebet

Ransomware har altid været et smertefuldt problem, men en ny rapport afslører, hvor dårligt detektionen svigter: næsten halvdelen af alle ransomware-ofre fik stjålet deres data, før de overhovedet opdagede, at en angriber var inde i deres netværk. Dette tal er steget markant fra 31 % året før, hvilket signalerer, at hackere ikke blot bliver mere dristige, men også betydeligt mere tålmodige og snigende.

Den gennemsnitlige opholdstid før detektion ligger nu på omkring 2,5 uger. Det er 17 dage eller mere, hvor en angriber i stilhed kan kortlægge dine systemer, identificere dine mest værdifulde filer og flytte dem ud af døren – alt sammen før en eneste alarm udløses.

Den virkelige trussel er eksfiltrering, ikke kun kryptering

De fleste forestiller sig ransomware som en dramatisk begivenhed: filer låses, en løsesumsseddel dukker op, og driften går i stå. Dette billede er i stigende grad forældet. Moderne ransomware-grupper er gået over til en to-trins strategi. Først stjæler de data. Derefter, hvis og når de anvender kryptering, truer de deres ofre med to separate ting: betal for at få adgang igen, og betal igen for at forhindre, at de stjålne data offentliggøres.

Denne fremgangsmåde, ofte kaldet dobbeltafpresning, ændrer regnestykket fuldstændigt. Selv organisationer med solide backupsystemer, der hurtigt kunne genskabe krypterede filer, står stadig over for eksponering af følsomme kundedata, økonomiske dokumenter eller intellektuel ejendom. Krypteringen er næsten sekundær på det tidspunkt.

At datatyveri forbliver et fast element i afpresningsaktiviteten i mere end halvdelen af sagerne år efter år, bekræfter, at dette ikke er en forbigående tendens. Det er nu standarddrejebogen.

Hvorfor detektionen sakker yderligere bagud

Den voksende kløft mellem indtrængen og detektion peger på nogle få sammenfaldende problemer.

For det første bruger angribere i stigende grad legitime værktøjer, der allerede findes i målets miljø. Sikkerhedssoftware er designet til at markere ukendte malware-signaturer, men når en angriber bruger indbyggede systemværktøjer til at flytte filer, ser disse handlinger ofte ikke til at skelne fra normal administratoradfærd.

For det andet er mange organisationer stadig stærkt afhængige af perimeterforsvar. Firewalls og krypterede tunneller beskytter data under overførsel, men når en angriber har gyldige legitimationsoplysninger eller har etableret et fodfæste inde i netværket, giver perimeter-værktøjer kun ringe synlighed i, hvad der foregår sideværs.

For det tredje er alarmtræthed et reelt og veldokumenteret problem i sikkerhedsoperationscentre. Når detektionssystemer genererer tusindvis af upræcise alarmer om dagen, bliver ægte indtrængningssignaler begravet. Angribere ved dette og timinger deres aktiviteter for at falde i med støjende perioder.

Det er også grunden til, at det at stole på et enkelt værktøj, herunder en VPN, skaber en falsk følelse af sikkerhed. En VPN krypterer trafik mellem din enhed og internettet, hvilket beskytter data under overførsel og maskerer din IP-adresse. Men den gør intet for at opdage eller blokere malware, der allerede kører på en kompromitteret maskine, og den giver ingen synlighed i angriberens adfærd, når legitimationsoplysninger først er blevet stjålet. Databruddet youX i Australien, hvor angribere fik adgang til følsomme identitetsdata hos en fintech-virksomhed, illustrerer, hvordan sofistikerede indtrængninger kan omgå overfladebeskyttelse og forårsage kaskaderende konsekvenser i den virkelige verden.

Hvad dette betyder for dig

Uanset om du er en individuel professionel eller en del af en organisations it-team, bør den gennemsnitlige opholdstid på 2,5 uger ændre, hvordan du tænker på sikkerhed.

Spørgsmålet er ikke længere kun "hvordan holder jeg angribere ude?" Det er i lige så høj grad "hvor hurtigt ville jeg vide, om nogen allerede var inde, og hvad ville de finde?"

For enkeltpersoner og små virksomheder betyder dette:

• Gå ud fra, at legitimationsoplysninger kan blive kompromitteret. Brug multifaktor-godkendelse overalt, især på e-mail, cloud-lagring og alle fjernadgangsværktøjer. Stjålne legitimationsoplysninger er det mest almindelige indgangspunkt.
• Begræns, hvad der er tilgængeligt. Ikke alle systemer eller fildelinger behøver at kunne nås fra enhver enhed. Begrænsning af adgang reducerer, hvad en angriber kan nå efter at have opnået første adgang.
• Overvåg for uregelmæssigheder, ikke kun kendte trusler. Endpoint-detektionsværktøjer, der markerer usædvanlig adfærd, f.eks. en brugerkonto der pludselig får adgang til filer, den normalt aldrig rører, er mere værdifulde end signaturbaseret antivirus alene.
• Hav en beredskabsplan for hændelser. At vide præcis, hvilke skridt der skal tages i den første time efter et bekræftet brud, begrænser skaden betydeligt. Mange organisationer opdager, at de ikke har nogen dokumenteret proces, før de har hårdt brug for den.
• Segmenter dine backups. Backups, der er gemt på det samme netværk som primære systemer, kan blive krypteret eller slettet af angribere i løbet af deres opholdsperiode. Offline eller uforanderlige backups er et separat beskyttelseslag.

VPN'er forbliver et reelt nyttigt værktøj, især til at sikre trafik på utroværdige netværk og beskytte privatlivet mod passiv overvågning. Men deres rolle er ét lag blandt mange, ikke et komplet forsvar.

Opbygning af en lagdelt forsvarsstrategi

Den mest effektive sikkerhedsholdning behandler detektion som en lige så høj prioritet som forebyggelse. Forebyggelse er aldrig perfekt, og dataene bekræfter, at angribere bliver bedre til at omgå den. Organisationer og enkeltpersoner, der kun investerer i at holde angribere ude, men intet gør for at opdage dem, når de først er inde, er reelt blinde i det tidsvindue, der betyder mest.

Lagdelt forsvar betyder at kombinere perimeter-værktøjer, endpoint-overvågning, analyse af netværkstrafik, streng adgangskontrol og brugeruddannelse. Intet enkelt produkt lukker alle huller, hvilket er grunden til, at sikkerhedsbranchen taler om forsvar i dybden snarere end en enkelt mirakelkur.

Den kraftige stigning i datatyveri før detektion er et klart signal om, at trusselsmiljøet er blevet mere modent. Angribere opererer med mere disciplin og tålmodighed end nogensinde før. Det passende svar er at matche denne disciplin med lige så bevidste, lagdelte forsvar snarere end reaktive værktøjsindkøb efter en hændelse.

Start med at revidere, hvilke følsomme data du har, hvor de befinder sig, og hvem der har adgang til dem. Den synlighed alene placerer dig foran de fleste mål.