Το 49% των θυμάτων ransomware χάνουν δεδομένα πριν ανιχνεύσουν την επίθεση

Το 49% των θυμάτων ransomware χάνουν δεδομένα πριν ανιχνεύσουν την επίθεση

Το ransomware ήταν πάντα ένα επίπονο πρόβλημα, αλλά μια νέα αναφορά αποκαλύπτει πόσο άσχημα αποτυγχάνει η ανίχνευση: σχεδόν τα μισά θύματα ransomware είχαν κλαπεί τα δεδομένα τους πριν καν αντιληφθούν ότι ένας εισβολέας βρισκόταν μέσα στο δίκτυό τους. Το ποσοστό αυτό εκτινάχθηκε από το 31% της προηγούμενης χρονιάς, σηματοδοτώντας ότι οι χάκερ δεν γίνονται απλώς πιο τολμηροί αλλά σημαντικά πιο υπομονετικοί και κρυφίως δρώντες.

Ο μέσος χρόνος παραμονής πριν την ανίχνευση ανέρχεται πλέον σε περίπου 2,5 εβδομάδες. Πρόκειται για 17 ή περισσότερες ημέρες κατά τη διάρκεια των οποίων ένας εισβολέας μπορεί να χαρτογραφήσει αθόρυβα τα συστήματά σας, να εντοπίσει τα πολυτιμότερα αρχεία σας και να τα μεταφέρει εκτός δικτύου, όλα πριν ενεργοποιηθεί μια μόνο ειδοποίηση.

Η πραγματική απειλή είναι η εξαγωγή δεδομένων, όχι μόνο η κρυπτογράφηση

Οι περισσότεροι άνθρωποι φαντάζονται το ransomware ως ένα δραματικό γεγονός: τα αρχεία κλειδώνουν, εμφανίζεται ένα σημείωμα λύτρων, οι λειτουργίες παραλύουν. Αυτή η εικόνα είναι όλο και πιο ξεπερασμένη. Οι σύγχρονες ομάδες ransomware έχουν μετατοπιστεί σε μια στρατηγική δύο σταδίων. Πρώτα, κλέβουν δεδομένα. Στη συνέχεια, εάν και όταν εφαρμόσουν κρυπτογράφηση, κρατούν δύο ξεχωριστές απειλές πάνω από τα θύματά τους: πληρώστε για να αποκαταστήσετε την πρόσβαση και πληρώστε ξανά για να αποτρέψετε τη δημοσίευση των κλεμμένων δεδομένων.

Αυτή η προσέγγιση, που συχνά αποκαλείται διπλός εκβιασμός, αλλάζει εντελώς τον υπολογισμό. Ακόμη και οργανισμοί με αξιόπιστα συστήματα αντιγράφων ασφαλείας που θα μπορούσαν να επαναφέρουν γρήγορα κρυπτογραφημένα αρχεία εξακολουθούν να αντιμετωπίζουν την έκθεση ευαίσθητων αρχείων πελατών, οικονομικών εγγράφων ή πνευματικής ιδιοκτησίας. Η κρυπτογράφηση είναι σχεδόν δευτερεύουσα σε αυτό το σημείο.

Η κλοπή δεδομένων παραμένει ένα σταθερό χαρακτηριστικό της εκβιαστικής δραστηριότητας σε περισσότερες από τις μισές περιπτώσεις από χρόνο σε χρόνο, επιβεβαιώνοντας ότι δεν πρόκειται για μια περαστική τάση. Είναι πλέον το προεπιλεγμένο εγχειρίδιο τακτικής.

Γιατί η ανίχνευση υστερεί ακόμη περισσότερο

Το αυξανόμενο χάσμα μεταξύ εισβολής και ανίχνευσης οφείλεται σε ορισμένα προβλήματα που συγκλίνουν.

Πρώτον, οι εισβολείς χρησιμοποιούν όλο και περισσότερο νόμιμα εργαλεία που υπάρχουν ήδη μέσα στο περιβάλλον του στόχου. Το λογισμικό ασφαλείας έχει σχεδιαστεί για να επισημαίνει άγνωστες υπογραφές κακόβουλου λογισμικού, αλλά όταν ένας εισβολέας χρησιμοποιεί ενσωματωμένα βοηθητικά προγράμματα συστήματος για να μετακινήσει αρχεία, αυτές οι ενέργειες συχνά μοιάζουν αδιαχώριστες από την κανονική συμπεριφορά διαχειριστή.

Δεύτερον, πολλοί οργανισμοί εξακολουθούν να βασίζονται σε μεγάλο βαθμό σε περιμετρικές άμυνες. Τα τείχη προστασίας και οι κρυπτογραφημένες σήραγγες προστατεύουν τα δεδομένα κατά τη μεταφορά, αλλά μόλις ένας εισβολέας αποκτήσει έγκυρα διαπιστευτήρια ή αποκτήσει ένα πάτημα μέσα στο δίκτυο, τα περιμετρικά εργαλεία προσφέρουν ελάχιστη ορατότητα στο τι συμβαίνει σε πλευρικό επίπεδο.

Τρίτον, η κόπωση από ειδοποιήσεις είναι ένα πραγματικό και καλά τεκμηριωμένο πρόβλημα στα κέντρα επιχειρήσεων ασφαλείας. Όταν τα συστήματα ανίχνευσης παράγουν χιλιάδες ειδοποιήσεις χαμηλής πιστότητας την ημέρα, τα γνήσια σήματα εισβολής θάβονται. Οι εισβολείς το γνωρίζουν αυτό και χρονομετρούν τη δραστηριότητά τους για να συνδυαστούν με θορυβώδεις περιόδους.

Αυτός είναι επίσης ο λόγος για τον οποίο η εξάρτηση από ένα μόνο εργαλείο, συμπεριλαμβανομένου ενός VPN, δημιουργεί μια ψευδή αίσθηση ασφάλειας. Ένα VPN κρυπτογραφεί την κίνηση μεταξύ της συσκευής σας και του διαδικτύου, η οποία προστατεύει τα δεδομένα κατά τη μεταφορά και αποκρύπτει τη διεύθυνση IP σας. Αλλά δεν κάνει τίποτα για να ανιχνεύσει ή να αποκλείσει κακόβουλο λογισμικό που εκτελείται ήδη σε μια παραβιασμένη μηχανή και δεν προσφέρει ορατότητα στη συμπεριφορά του εισβολέα μόλις κλαπούν τα διαπιστευτήρια. Η παραβίαση δεδομένων youX στην Αυστραλία, όπου εισβολείς απέκτησαν πρόσβαση σε ευαίσθητα δεδομένα ταυτότητας σε μια εταιρεία fintech, δείχνει πώς οι εξελιγμένες εισβολές μπορούν να παρακάμψουν προστασίες επιφανειακού επιπέδου και να προκαλέσουν αλυσιδωτές συνέπειες στον πραγματικό κόσμο.

Τι σημαίνει αυτό για εσάς

Είτε είστε μεμονωμένος επαγγελματίας είτε μέλος της ομάδας IT ενός οργανισμού, ο μέσος χρόνος παραμονής των 2,5 εβδομάδων θα πρέπει να αναπλαισιώσει τον τρόπο με τον οποίο σκέφτεστε την ασφάλεια.

Το ερώτημα δεν είναι πλέον μόνο "πώς κρατάω έξω τους εισβολείς;" Είναι εξίσου "πόσο γρήγορα θα ήξερα αν κάποιος ήταν ήδη μέσα και τι θα έβρισκε;"

Για ιδιώτες και μικρές επιχειρήσεις, αυτό σημαίνει:

• Υποθέστε ότι τα διαπιστευτήρια μπορούν να παραβιαστούν. Χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων παντού, ειδικά σε email, αποθήκευση cloud και οποιαδήποτε εργαλεία απομακρυσμένης πρόσβασης. Τα κλεμμένα διαπιστευτήρια είναι το πιο κοινό σημείο εισόδου.
• Περιορίστε ό,τι είναι προσβάσιμο. Δεν χρειάζεται κάθε σύστημα ή κοινόχρηστος φάκελος να είναι προσβάσιμος από κάθε συσκευή. Ο περιορισμός της πρόσβασης μειώνει ό,τι μπορεί να φτάσει ένας εισβολέας μετά την αρχική είσοδο.
• Παρακολουθήστε για ανωμαλίες, όχι μόνο για γνωστές απειλές. Τα εργαλεία ανίχνευσης τελικών σημείων που επισημαίνουν ασυνήθιστη συμπεριφορά, όπως ένας λογαριασμός χρήστη που ξαφνικά αποκτά πρόσβαση σε αρχεία που δεν αγγίζει ποτέ, είναι πιο πολύτιμα από το antivirus που βασίζεται μόνο σε υπογραφές.
• Έχετε ένα σχέδιο αντιμετώπισης συμβάντων. Το να γνωρίζετε ακριβώς ποια βήματα πρέπει να κάνετε την πρώτη ώρα μιας επιβεβαιωμένης παραβίασης περιορίζει σημαντικά τη ζημιά. Πολλοί οργανισμοί ανακαλύπτουν ότι δεν έχουν τεκμηριωμένη διαδικασία μέχρι τη στιγμή που τη χρειάζονται απεγνωσμένα.
• Κατατμήστε τα αντίγραφα ασφαλείας σας. Τα αντίγραφα ασφαλείας που είναι αποθηκευμένα στο ίδιο δίκτυο με τα κύρια συστήματα μπορούν να κρυπτογραφηθούν ή να διαγραφούν από εισβολείς κατά τη διάρκεια της περιόδου παραμονής τους. Τα εκτός σύνδεσης ή αμετάβλητα αντίγραφα ασφαλείας είναι ένα ξεχωριστό επίπεδο προστασίας.

Τα VPN παραμένουν ένα πραγματικά χρήσιμο εργαλείο, ιδιαίτερα για την ασφάλεια της κίνησης σε αναξιόπιστα δίκτυα και την προστασία της ιδιωτικότητας από παθητική παρακολούθηση. Αλλά ο ρόλος τους είναι ένα στρώμα μεταξύ πολλών, όχι μια πλήρης άμυνα.

Οικοδόμηση μιας στρατηγικής πολυεπίπεδης άμυνας

Η πιο αποτελεσματική στάση ασφαλείας αντιμετωπίζει την ανίχνευση ως ισότιμη προτεραιότητα με την πρόληψη. Η πρόληψη δεν είναι ποτέ τέλεια και τα δεδομένα επιβεβαιώνουν ότι οι εισβολείς γίνονται καλύτεροι στην παράκαμψή της. Οι οργανισμοί και τα άτομα που επενδύουν μόνο στο να κρατούν τους εισβολείς έξω, χωρίς να κάνουν τίποτα για να τους ανιχνεύσουν μόλις βρεθούν μέσα, είναι ουσιαστικά τυφλοί κατά τη διάρκεια του παραθύρου που έχει μεγαλύτερη σημασία.

Πολυεπίπεδη άμυνα σημαίνει συνδυασμός περιμετρικών εργαλείων, παρακολούθηση τελικών σημείων, ανάλυση κίνησης δικτύου, αυστηροί έλεγχοι πρόσβασης και εκπαίδευση χρηστών. Κανένα μεμονωμένο προϊόν δεν κλείνει όλα τα κενά, γι' αυτό και ο κλάδος της ασφάλειας μιλά για άμυνα σε βάθος παρά για οποιαδήποτε μαγική λύση.

Η απότομη αύξηση της κλοπής δεδομένων πριν από την ανίχνευση είναι ένα σαφές σήμα ότι το περιβάλλον απειλών έχει ωριμάσει. Οι εισβολείς επιχειρούν με μεγαλύτερη πειθαρχία και υπομονή από ποτέ. Η κατάλληλη απάντηση είναι να αντιστοιχίσουμε αυτή την πειθαρχία με εξίσου σκόπιμες, πολυεπίπεδες άμυνες παρά με αντιδραστικές αγορές εργαλείων μετά από ένα συμβάν.

Ξεκινήστε ελέγχοντας ποια ευαίσθητα δεδομένα διαθέτετε, πού βρίσκονται και ποιος μπορεί να έχει πρόσβαση σε αυτά. Αυτή η ορατότητα από μόνη της σας βάζει μπροστά από τους περισσότερους στόχους.