49 % kiristysohjelmien uhreista menettää tietonsa ennen hyökkäyksen havaitsemista

49 % kiristysohjelmien uhreista menettää tietonsa ennen hyökkäyksen havaitsemista

Kiristysohjelmat ovat aina olleet kivulias ongelma, mutta uusi raportti paljastaa, kuinka pahasti havaitseminen epäonnistuu: lähes puolet kaikista kiristysohjelmien uhreista menetti tietonsa ennen kuin he edes huomasivat hyökkääjän olevan verkossaan. Tämä luku on noussut jyrkästi edellisvuoden 31 prosentista, mikä viestii siitä, että hakkerit eivät ole vain rohkeampia vaan huomattavasti kärsivällisempiä ja huomaamattomampia.

Keskimääräinen viipymäaika ennen havaitsemista on nyt noin 2,5 viikkoa. Se tarkoittaa 17 päivää tai enemmän, jonka aikana hyökkääjä voi rauhassa kartoittaa järjestelmäsi, tunnistaa arvokkaimmat tiedostosi ja siirtää ne ulos, kaikki ennen kuin yksikään hälytys laukeaa.

Todellinen uhka on tiedon vienti, ei pelkkä salaus

Useimmat ihmiset mieltävät kiristysohjelmat dramaattisena tapahtumana: tiedostot lukittuvat, lunnasviesti ilmestyy, toiminnot pysähtyvät. Tämä mielikuva on yhä vanhentuneempi. Nykyaikaiset kiristysohjelmaryhmät ovat siirtyneet kaksivaiheiseen strategiaan. Ensin ne varastavat tiedot. Sitten, jos ja kun ne ottavat käyttöön salauksen, ne pitävät uhrejaan kahden erillisen uhan edessä: maksa palauttaaksesi pääsyn tiedostoihin, ja maksa uudelleen estääksesi varastettujen tietojen julkaisun.

Tämä lähestymistapa, jota kutsutaan usein kaksoiskiristykseksi, muuttaa laskelmoinnin täysin. Jopa organisaatiot, joilla on vankat varmuuskopiojärjestelmät ja jotka voisivat palauttaa salatut tiedostot nopeasti, joutuvat silti kohtaamaan arkaluonteisten asiakastietojen, talousasiakirjojen tai immateriaalioikeuksien paljastumisen. Salaus on siinä vaiheessa lähes toissijaista.

Tietovarkaus on pysynyt kiristystoiminnan jatkuvana piirteenä yli puolessa tapauksista vuodesta toiseen, mikä vahvistaa, ettei kyseessä ole ohimenevä trendi. Se on nyt vakiintunut toimintamalli.

Miksi havaitseminen jää yhä enemmän jälkeen

Kasvava kuilu tunkeutumisen ja havaitsemisen välillä viittaa muutamaan toisiaan vahvistavaan ongelmaan.

Ensinnäkin hyökkääjät käyttävät yhä useammin valmiita, laillisia työkaluja, jotka jo ovat kohdeympäristössä. Tietoturvaohjelmistot on suunniteltu merkitsemään tuntemattomat haittaohjelmien allekirjoitukset, mutta kun hyökkääjä käyttää sisäänrakennettuja järjestelmätyökaluja tiedostojen siirtämiseen, nämä toimet näyttävät usein samalta kuin normaali järjestelmänvalvojan toiminta.

Toiseksi monet organisaatiot luottavat edelleen vahvasti reunapuolustuksiin. Palomuurit ja salatut tunnelit suojaavat siirrettävää tietoa, mutta kun hyökkääjällä on voimassa olevat tunnukset tai hän on saanut jalansijan verkon sisällä, reunatyökalut tarjoavat vain vähän näkyvyyttä siihen, mitä lateraalisesti tapahtuu.

Kolmanneksi hälytysväsymys on todellinen ja hyvin dokumentoitu ongelma tietoturvakeskuksissa. Kun havaitsemisjärjestelmät tuottavat tuhansia epätarkkoja hälytyksiä päivässä, aidot tunkeutumissignaalit hautautuvat. Hyökkääjät tietävät tämän ja ajoittavat toimintansa sulautuakseen meluisiin jaksoihin.

Tästä syystä myös yhteen työkaluun, kuten VPN:ään, luottaminen luo väärän turvallisuudentunteen. VPN salaa liikenteen laitteesi ja internetin välillä, mikä suojaa siirrettävää tietoa ja peittää IP-osoitteesi. Se ei kuitenkaan tee mitään havaitakseen tai estääkseen haittaohjelmia, jotka jo toimivat tartunnan saaneella koneella, eikä se tarjoa näkyvyyttä hyökkääjän toimintaan sen jälkeen, kun tunnukset on varastettu. youX-tietomurto Australiassa, jossa hyökkääjät pääsivät käsiksi arkaluonteisiin henkilötietoihin fintech-yrityksessä, havainnollistaa, kuinka kehittyneet tunkeutumiset voivat ohittaa pintatason suojaukset ja aiheuttaa ketjureaktion kaltaisia todellisia seurauksia.

Mitä tämä tarkoittaa sinulle

Olitpa sitten itsenäinen ammattilainen tai osa organisaation IT-tiimiä, keskimääräinen 2,5 viikon viipymäaika muuttaa tapaa, jolla sinun tulisi ajatella tietoturvaa.

Kysymys ei ole enää pelkästään "kuinka pidän hyökkääjät ulkona?" vaan yhtä lailla "kuinka nopeasti tietäisin, jos joku olisi jo sisällä, ja mitä hän löytäisi?"

Yksityishenkilöille ja pienyrityksille tämä tarkoittaa:

• Oleta, että tunnukset voivat vaarantua. Käytä monivaiheista todennusta kaikkialla, erityisesti sähköpostissa, pilvitallennuksessa ja kaikissa etäkäyttötyökaluissa. Varastetut tunnukset ovat yleisin sisäänpääsyreitti.
• Rajoita sitä, mihin pääsee käsiksi. Kaikkien järjestelmien tai tiedostojakojen ei tarvitse olla tavoitettavissa jokaiselta laitteelta. Pääsyn rajoittaminen vähentää sitä, mitä hyökkääjä voi tavoittaa saatuaan alkuvaiheen pääsyn.
• Tarkkaile poikkeavuuksia, älä vain tunnettuja uhkia. Päätepisteiden havaitsemistyökalut, jotka merkitsevät epätavallisen toiminnan, kuten käyttäjätilin, joka yhtäkkiä käyttää tiedostoja, joita se ei koskaan koske, ovat arvokkaampia kuin pelkkä allekirjoituksiin perustuva virustorjunta.
• Laadi toimintasuunnitelma tietoturvapoikkeamia varten. Tieto siitä, mitä toimenpiteitä tehdä vahvistetun tietomurron ensimmäisen tunnin aikana, rajoittaa vahinkoja merkittävästi. Monet organisaatiot huomaavat, ettei heillä ole dokumentoitua prosessia ennen kuin he tarvitsevat sitä kipeästi.
• Segmentoi varmuuskopiosi. Varmuuskopiot, jotka on tallennettu samaan verkkoon kuin ensisijaiset järjestelmät, voivat joutua hyökkääjien salaamiksi tai tuhoamiksi heidän viipymäaikansa aikana. Verkosta irrotetut tai muuttumattomat varmuuskopiot muodostavat erillisen suojakerroksen.

VPN:t ovat edelleen aidosti hyödyllinen työkalu erityisesti liikenteen turvaamiseen epäluotettavissa verkoissa ja yksityisyyden suojaamiseen passiiviselta valvonnalta. Niiden rooli on kuitenkin yksi kerros monien joukossa, ei täydellinen puolustus.

Kerroksellisen puolustusstrategian rakentaminen

Tehokkain tietoturva-asenne pitää havaitsemista yhtä tärkeänä kuin ennaltaehkäisyä. Ennaltaehkäisy ei ole koskaan täydellistä, ja tiedot vahvistavat, että hyökkääjät ovat yhä parempia kiertämään sen. Organisaatiot ja yksityishenkilöt, jotka panostavat vain hyökkääjien ulkona pitämiseen, mutta eivät tee mitään havaitakseen heidät sisällä ollessaan, ovat käytännössä sokeita kaikkein tärkeimmän aikaikkunan aikana.

Kerroksellinen puolustus tarkoittaa reunatyökalujen, päätepistevalvonnan, verkkoliikenteen analysoinnin, tiukkojen pääsynvalvontatoimien ja käyttäjäkoulutuksen yhdistämistä. Yksikään yksittäinen tuote ei sulje kaikkia aukkoja, minkä vuoksi tietoturva-alalla puhutaan syvyyspuolustuksesta eikä yhdestäkään hopealuodista.

Ennen havaitsemista tapahtuvien tietovarkauksien jyrkkä kasvu on selvä merkki siitä, että uhkaympäristö on kypsynyt. Hyökkääjät toimivat kurinalaisemmin ja kärsivällisemmin kuin koskaan. Asianmukainen vastaus on vastata samalla kurinalaisuudella yhtä harkituilla, kerroksellisilla puolustuksilla sen sijaan, että hankkisimme reagoivasti uusia työkaluja tapahtuman jälkeen.

Aloita kartoittamalla, mitä arkaluonteisia tietoja sinulla on, missä ne sijaitsevat ja kuka niihin pääsee käsiksi. Pelkkä tämä näkyvyys asettaa sinut useimpia kohteita edelle.