Hvilken procentdel af CISO'er sagde, at de ville overveje at betale en løsesum?

Ifølge Absolute Security-rapporten sagde 58% af Chief Information Security Officers, at de ville overveje at betale en løsesum for at stoppe et angreb. Driftsstop blev nævnt som den primære årsag til denne villighed.

Hvad er det mest almindelige udgangspunkt for ransomware-angreb ifølge rapporten?

Rapporten fandt, at 57% af ransomware-angrebene opstod fra fjern- eller hybridendepunktsenheder. Dette gør fjernendepunkter til det dominerende angrebsmønster i virksomheders ransomware-hændelser.

Hvorfor siger artiklen, at CISO'ernes villighed til at betale løsesum er et operationelt problem snarere end et moralsk?

Artiklen argumenterer for, at når CISO'er siger, at de ville betale, erkender de, at deres genoprettelseskapacitet måske ikke er tilstrækkelig til at absorbere driftsstoppet efter et større angreb. Dette omformulerer spørgsmålet som et beredskabsproblem snarere end blot et moralsk eller juridisk spørgsmål.

58% af CISO'er ville betale løsesum, mens fjernendepunkter driver angreb

En ny rapport fra Absolute Security har sat et præcist tal på et problem, som sikkerhedsprofessionelle har kredset om i årevis: ransomware-beskyttelse af fjernendepunkter via VPN er ikke længere valgfrit for distribuerede arbejdsstyrker. Ifølge undersøgelsen ville 58% af Chief Information Security Officers overveje at betale en løsesum for at stoppe et angreb, hvor driftsstop blev nævnt som den primære årsag. Måske endnu mere slående er det, at 57% af de adspurgte virksomheder rapporterede, at ransomware-angreb opstod fra fjern- eller hybridendepunktsenheder. Tilsammen tegner disse to tal et klart billede af, hvor virksomhedssikkerheden svigter, og hvad det koster, når den gør det.

Hvordan fjern- og hybridendepunkter blev ransomwares foretrukne indgangspunkt

Overgangen til distribueret arbejde skabte en enorm angrebsflade, som mange organisationer aldrig fuldt ud har kortlagt, endsige sikret. Fjernendepunkter – hvad enten det drejer sig om medarbejderlaptops, der forbinder fra hjemmenetværk, leverandørenheder på offentligt Wi-Fi, eller hybridmedarbejdere, der skifter mellem kontor- og fjernmiljøer – befinder sig ofte uden for enterprise-sikkerhedsteamenes direkte synsfelt. De kan køre forældet software, anvende svag godkendelse eller forbinde til virksomhedssystemer via ukorrekt konfigurerede tunneler.

Angriberne har bemærket dette. Remote Desktop Protocol (RDP) og VPN-legitimationsoplysninger er fortsat blandt de mest udnyttede indledende adgangsvektorer i ransomware-kampagner, og endepunktsenheder er ofte den første brik, der falder. Når en enkelt fjernenhed er kompromitteret, bruger angriberne den som et fodfæste til at bevæge sig lateralt på tværs af netværket, eskalere rettigheder og udrulle ransomware-nyttelaster, inden de fleste organisationer har tid til at opdage indtrængen. Absolute Securitys fund, der viser, at 57% af angrebene kan spores tilbage til fjern- eller hybridendepunkter, bekræfter, at dette ikke er en marginal risiko. Det er det dominerende angrebsmønster.

Konsekvenserne af dette mønster rækker langt ud over individuelle organisationer. ChipSoft ransomware-angrebet, der eksponerede hollandske patientdata, illustrerer, hvad der sker, når angribere med succes bevæger sig fra et endepunkt ind i et system, der indeholder følsomme oplysninger i stor skala. Sundhedsvæsen, finans og kritisk infrastruktur er alle udsat for forøget risiko, efterhånden som deres arbejdsstyrker bliver mere distribuerede.

Hvorfor 58% af CISO'er er villige til at betale, og hvad det signalerer om beredskabet

Villigheden til at betale løsesum fremstilles ofte som et moralsk eller juridisk spørgsmål, men Absolute Securitys data omformulerer det som et operationelt spørgsmål. Når 58% af CISO'erne siger, at de ville overveje at betale, godkender de ikke kriminelle handlinger. De erkender, at deres genoprettelseskapacitet måske ikke er tilstrækkelig til at absorbere det driftsstop, der følger af et større angreb, uden at pådrage sig betydelig finansiel og omdømmemæssig skade.

Det er et beredskabsproblem. Organisationer med robuste, testede backup- og genoprettelsesinfrastrukturer kombineret med stærke hændelsesresponsplaner er langt mindre tilbøjelige til at stå i en situation, hvor betaling føles som den eneste mulighed. Det faktum, at mere end halvdelen af de adspurgte sikkerhedsledere ville overveje det, antyder, at mange virksomheder fortsat er utilstrækkeligt forberedte – særligt når angrebet stammer fra et endepunkt, der befinder sig uden for traditionelle sikkerhedsperimeter.

Det afspejler også, hvor kostbart driftsstop er blevet. Forsyningskæder, kundevendte tjenester og interne operationer er alle afhængige af kontinuerlig adgang til systemer og data. Når ransomware låser disse systemer, har hver time af genoprettelsestiden en målbar pengeværdi. Det er denne beregning – ikke moralsk fleksibilitet – der driver beslutninger om løsesumsbetalinger. Og som FBI-direktørens egen e-mail-kompromittering gjorde klart, er ingen organisation eller enkeltperson kategorisk immun over for målrettede angreb.

Hvordan VPN-infrastruktur reducerer angrebsfladen og risikoen for lateral bevægelse

En velimplementeret VPN er ingen vidundermedicin, men den er et grundlæggende lag, der, når den er korrekt konfigureret, væsentligt reducerer den eksponering, som fjernendepunkter skaber. Krypterede tunneler forhindrer aflytning af legitimationsoplysninger på usikrede netværk. Netværkssegmentering håndhævet via VPN-politikker begrænser, hvor langt en angriber kan bevæge sig, når denne er kommet indenfor. Og centraliserede godkendelseskrav betyder, at kompromitterede enheder er mindre tilbøjelige til at bevæge sig lydløst rundt på netværket uden at blive opdaget.

Det afgørende ord er "korrekt konfigureret." VPN-konfigurationer, der er afhængige af enkeltfaktorgodkendelse, giver bred netværksadgang frem for afgrænsede tilladelser, eller forbliver upatchede i længere perioder, kan selv blive angrebsvektorer. Princippet om mindst mulig rettighed, anvendt på VPN-laget, betyder, at et kompromitteret endepunkt kun kan nå de specifikke ressourcer, det har brug for – ikke hele virksomhedsnetværket. Kombinationen af VPN-adgang med multifaktorgodkendelse og sundhedstjek af endepunkter inden forbindelsen skaber en meningsfuld barriere, der bremser angribere og giver forsvarerne tid til at reagere.

For hybridarbejdsstyrker specifikt er konsekvent håndhævelse af VPN-politikker på tværs af alle enhedstyper – herunder personlige enheder brugt til arbejde – afgørende. Den angrebsflade, som Absolute Security-rapporten beskriver, er delvist et håndhævelsesmæssigt hul i politikken såvel som et teknisk hul.

Hvad distribuerede teams kan gøre nu for at styrke deres endepunkter

Absolute Securitys fund er en opfordring til handling, ikke blot til eftertanke. Organisationer med distribuerede arbejdsstyrker kan tage konkrete skridt til at reducere den risiko, som fjernendepunkter repræsenterer.

Auditér jeres endepunktsinventar. Man kan ikke beskytte det, man ikke kan se. Et komplet, aktuelt inventar over enhver enhed, der forbinder til virksomhedssystemer – herunder leverandør- og personlige enheder – er udgangspunktet for enhver endepunktssikkerhedsstrategi.

Håndhæv MFA på alle VPN-forbindelser. Denne ene kontrol eliminerer en betydelig kategori af legitimationsbaserede angreb. Stjålne adgangskoder alene bør ikke være tilstrækkelige til at opnå fjernadgang.

Segmentér netværksadgang efter rolle. I stedet for at give fjernbrugere bred netværksadgang bør VPN-politikker konfigureres, så hver bruger eller enhedsklasse kun kan nå de systemer, der er relevante for deres funktion. Dette begrænser lateral bevægelse, hvis en enhed kompromitteres.

Patch endepunkter og VPN-infrastruktur konsekvent. Mange højprofilerede ransomware-indtrængen udnytter kendte sårbarheder, som der allerede findes patches til. Automatiseret patch-styring eliminerer den menneskelige forsinkelse, som angribere er afhængige af.

Test jeres genoprettelsesplan. Hvis et ransomware-angreb ramte jeres mest kritiske systemer i dag, hvor lang tid ville genopretningen så tage? Regelmæssig gennemførelse af bordøvelser og tests af backup-gendannelse er den eneste måde ærligt at besvare dette spørgsmål og lukke hullerne, inden de bliver kritiske.

Absolute Security-rapporten er et nyttigt referencepunkt for, hvor virksomhedssikkerheden befinder sig lige nu med hensyn til ransomware-beredskab. Tallene er nedslående: et flertal af angrebene starter ved fjernendepunkter, og et flertal af sikkerhedslederne mener, at betaling kan være uundgåelig. Men de peger også direkte på, hvad der skal ændres. Endepunktssynlighed, håndhævede VPN-politikker og testede genoprettelseskapaciteter er ikke eksotiske kontroller. De er den grundlinje, som enhver distribueret organisation bør kunne verificere. At vurdere, om jeres nuværende opsætning faktisk lever op til denne standard, er det rette sted at starte.