58 % CISO:ista maksaisi lunnaita etäpäätepisteiden ajaessa hyökkäyksiä
Absolute Securityn uusi raportti antaa tarkan luvun ongelmalle, jonka ympärillä tietoturva-ammattilaiset ovat pyörineet vuosia: kiristyshaittaohjelmilta suojaava etäpäätepisteiden VPN-suojaus ei ole enää valinnainen hajautetuille työvoimille. Tutkimuksen mukaan 58 % tietoturvajohtajista (CISO) harkitsisi lunnaiden maksamista hyökkäyksen lopettamiseksi, ja ensisijaiseksi syyksi mainittiin toiminnallinen käyttökatko. Ehkä vielä merkittävämpää on se, että 57 % tutkituista yrityksistä ilmoitti kiristyshaittaohjelmahyökkäysten lähtöisin olevan etä- tai hybridipäätepistelaitteilta. Nämä kaksi lukua yhdessä antavat selkeän kuvan siitä, missä yritystietoturva epäonnistuu ja mitä se maksaa, kun niin käy.
Kuinka etä- ja hybridipäätepisteistä tuli kiristyshaittaohjelmien suosituin sisääntulokohta
Hajautettuun työhön siirtyminen loi laajan hyökkäyspinnan, jota monet organisaatiot eivät ole koskaan täysin kartoittaneet, saati suojanneet. Etäpäätepisteet — olivatpa kyseessä kotona kotiverkoista yhdistävät työntekijöiden kannettavat tietokoneet, julkisessa Wi-Fi:ssä käytettävät alihankkijalaitteet tai hybridityöntekijöiden toimisto- ja etäympäristöjen välillä vaihtelu — sijaitsevat usein yrityksen tietoturvatiimien suoran näkyvyyden ulkopuolella. Ne saattavat käyttää vanhentunutta ohjelmistoa, heikkoa todennusta tai yhdistää yrityksen järjestelmiin väärin konfiguroitujen tunneleiden kautta.
Hyökkääjät ovat huomanneet tämän. Etätyöpöytäprotokolla (RDP) ja VPN-tunnukset ovat edelleen yleisimmin hyödynnettyjä kiristyshaittaohjelmakampanjoiden ensisijaisia pääsyvektoreita, ja päätepistelaitteet ovat usein ensimmäinen dominopalanen, joka kaatuu. Kun yksi etälaite on vaarantunut, hyökkääjät käyttävät sitä jalansijana liikkuakseen sivuttain verkon yli, eskaloidakseen oikeuksia ja ottaakseen käyttöön kiristyshaittaohjelmien hyötykuormia ennen kuin useimmilla organisaatioilla on aikaa havaita tunkeutuminen. Absolute Securityn havainnot, jotka osoittavat 57 % hyökkäyksistä jäljitettävän etä- tai hybridipäätepisteisiin, vahvistavat, että tämä ei ole marginaalinen riski. Se on hallitseva hyökkäysmalli.
Tämän mallin seuraukset ulottuvat kauas yksittäisten organisaatioiden ulkopuolelle. ChipSoftin kiristyshaittaohjelmahyökkäys, joka paljasti hollantilaisten potilaiden tietoja, havainnollistaa, mitä tapahtuu, kun hyökkääjät onnistuvat siirtymään päätepisteeltä järjestelmään, joka sisältää arkaluonteisia tietoja laajassa mittakaavassa. Terveydenhuolto, rahoitus ja kriittinen infrastruktuuri kohtaavat kaikki kasvavia riskejä, kun niiden työvoimat hajautuvat entisestään.
Miksi 58 % CISO:ista on valmis maksamaan ja mitä se kertoo valmiustasosta
Halukkuus maksaa lunnaita kehystetään usein moraaliseksi tai juridiseksi kysymykseksi, mutta Absolute Securityn data kehystää sen operatiiviseksi kysymykseksi. Kun 58 % CISO:ista sanoo harkitsevansa maksamista, he eivät tue rikollista toimintaa. He myöntävät, että heidän palautumiskykynsä ei välttämättä riitä kestämään merkittävän hyökkäyksen jälkeistä käyttökatkoa ilman huomattavia taloudellisia ja maineeseen liittyviä vahinkoja.
Kyse on valmiusongelmasta. Organisaatioilla, joilla on vankat, testatut varmuuskopiointi- ja palautusinfrastruktuurit yhdistettynä vahvoihin häiriötilanteiden hallintasuunnitelmiin, on paljon pienempi todennäköisyys joutua tilanteeseen, jossa maksaminen tuntuu ainoalta vaihtoehdolta. Se, että yli puolet tutkituista tietoturvajohtajista harkitsisi sitä, viittaa siihen, että monet yritykset ovat edelleen alivalmistelussa — erityisesti silloin, kun hyökkäys lähtee päätepisteeltä, joka sijaitsee perinteisten tietoturvaperimetrien ulkopuolella.
Se myös heijastaa sitä, kuinka kalliiksi käyttökatko on tullut. Toimitusketjut, asiakaspalvelut ja sisäinen toiminta ovat kaikki riippuvaisia jatkuvasta pääsystä järjestelmiin ja tietoihin. Kun kiristyshaittaohjelma lukitsee nämä järjestelmät, jokaisella palautumistunnilla on mitattava rahallinen arvo. Tuo laskelma — ei moraalinen joustavuus — on se, mikä ohjaa lunnasmaksupäätöksiä. Ja kuten FBI:n johtajan oman sähköpostin vaarantuminen selvästi osoitti, mikään organisaatio tai yksilö ei ole kategorisesti immuuni kohdennetuille hyökkäyksille.
Kuinka VPN-infrastruktuuri pienentää hyökkäyspintaa ja sivuttaisliikkumisen riskiä
Hyvin toteutettu VPN ei ole ihmelääke, mutta se on perustavanlaatuinen kerros, joka oikein konfiguroituna vähentää merkittävästi etäpäätepisteiden aiheuttamaa altistumista. Salatut tunnelit estävät tunnistetietojen sieppaamisen suojaamattomissa verkoissa. VPN-käytäntöjen kautta toteutettu verkon segmentointi rajoittaa hyökkääjän liikkumavaraa sisälle päästyään. Ja keskitetyt todennusvaatimukset tarkoittavat, että vaarantuneet laitteet liikkuvat verkon yli todennäköisemmin huomaamattomasti.
Kriittinen sana on "oikein." VPN-konfiguraatiot, jotka tukeutuvat yksitekijätodennukseen, myöntävät laajan verkkoyhteyden rajattujen oikeuksien sijaan tai jäävät pitkiksi ajoiksi päivittämättä, voivat itse muuttua hyökkäysvektoreiksi. Vähimpien oikeuksien periaate, sovellettuna VPN-tasolla, tarkoittaa, että vaarantunut päätepiste voi saavuttaa vain ne tietyt resurssit, joita se tarvitsee — ei koko yritysverkkoa. VPN-yhteyden yhdistäminen monitekijätodennukseen ja päätepisteiden terveystarkistuksiin ennen yhdistämistä luo merkittävän esteen, joka hidastaa hyökkääjiä ja antaa puolustajille aikaa reagoida.
Erityisesti hybridityövoimille kaikkien laitetyyppien johdonmukainen VPN-käytännön noudattaminen — mukaan lukien työhön käytettävät henkilökohtaiset laitteet — on välttämätöntä. Hyökkäyspinta, jonka Absolute Securityn raportti kuvaa, on osittain käytännön noudattamisen aukko yhtä paljon kuin tekninen ongelma.
Mitä hajautetut tiimit voivat tehdä nyt päätepisteidensä vahvistamiseksi
Absolute Securityn havainnot ovat kehotus toimia, ei pelkästään pohdiskeluun. Organisaatiot, joilla on hajautettu työvoimaa, voivat ryhtyä konkreettisiin toimiin vähentääkseen etäpäätepisteiden edustamaa riskiä.
Tarkasta päätepisteinventaariosi. Et voi suojata sitä, mitä et näe. Täydellinen, ajantasainen luettelo kaikista laitteista, jotka yhdistävät yrityksen järjestelmiin — mukaan lukien alihankkijoiden ja henkilökohtaiset laitteet — on lähtökohta mille tahansa päätepisteiden tietoturvastrategialle.
Vaadi MFA:ta kaikissa VPN-yhteyksissä. Tämä yksittäinen valvontatoimenpide eliminoi merkittävän luokan tunnistetietopohjaisia hyökkäyksiä. Varastettujen salasanojen yksinään ei pitäisi riittää etäyhteyden saamiseen.
Segmentoi verkkoyhteys roolin mukaan. Sen sijaan että myönnät etäkäyttäjille laajan verkkoyhteyden, konfiguroi VPN-käytännöt niin, että jokainen käyttäjä tai laiteluokka voi saavuttaa vain oman toimintansa kannalta olennaiset järjestelmät. Tämä rajoittaa sivuttaisliikkumista, jos laite vaarantuu.
Päivitä päätepisteet ja VPN-infrastruktuuri johdonmukaisesti. Monet näkyvät kiristyshaittaohjelmahyökkäykset hyödyntävät tunnettuja haavoittuvuuksia, joihin korjaustiedostot ovat jo olemassa. Automatisoitu korjaustiedostojen hallinta poistaa inhimillisen viiveen, johon hyökkääjät luottavat.
Testaa palautumissuunnitelmasi. Jos kiristyshaittaohjelmahyökkäys osuisi tärkeimpiin järjestelmiisi tänään, kuinka kauan palautuminen kestäisi? Taulukkoharjoitusten ja varmuuskopioiden palautustestien säännöllinen suorittaminen on ainoa tapa rehellisesti vastata tähän kysymykseen ja sulkea aukot ennen kuin niillä on merkitystä.
Absolute Securityn raportti on hyödyllinen vertailukohta sille, missä yritystietoturva tällä hetkellä seisoo kiristyshaittaohjelmien valmiuden suhteen. Luvut ovat huolestuttavia: enemmistö hyökkäyksistä alkaa etäpäätepisteiltä ja enemmistö tietoturvajohtajista kokee, että maksaminen saattaa olla väistämätöntä. Mutta ne myös osoittavat suoraan siihen, mitä on muutettava. Päätepisteiden näkyvyys, pakotetut VPN-käytännöt ja testatut palautumisvalmiudet eivät ole eksoottisia hallintakeinoja. Ne ovat perustaso, jonka jokaisen hajautetun organisaation tulisi pystyä vahvistamaan. Arvioiminen, täyttääkö nykyinen kokoonpanosi todella tämän tason, on oikea lähtökohta.
