49% žrtava ransomwarea izgubi podatke prije otkrivanja napada

49% žrtava ransomwarea izgubi podatke prije otkrivanja napada

Ransomware je oduvijek bio bolan problem, ali novo izvješće otkriva koliko jako zakazuje otkrivanje: gotovo polovica svih žrtava ransomwarea izgubila je podatke prije nego što su uopće shvatile da je napadač unutar njihove mreže. Ta je brojka naglo porasla s 31% prethodne godine, što signalizira da hakeri ne postaju samo odvažniji, već i znatno strpljiviji i prikriveniji.

Prosječno vrijeme zadržavanja prije otkrivanja sada iznosi otprilike 2,5 tjedana. To je 17 ili više dana tijekom kojih napadač može neprimjetno mapirati vaše sustave, identificirati najvrjednije datoteke i iznijeti ih, sve prije nego što se aktivira ijedno upozorenje.

Stvarna prijetnja je eksfiltracija, a ne samo enkripcija

Većina ljudi zamišlja ransomware kao dramatičan događaj: datoteke se zaključavaju, pojavljuje se poruka s otkupninom, poslovanje staje. Ta je slika sve zastarjelija. Suvremene ransomware skupine prešle su na dvofaznu strategiju. Prvo kradu podatke. Zatim, ako i kada aktiviraju enkripciju, drže dvije odvojene prijetnje nad žrtvama: platite za vraćanje pristupa i platite ponovno kako biste spriječili objavu ukradenih podataka.

Ovaj pristup, često nazvan dvostrukom iznudom, potpuno mijenja računicu. Čak i organizacije s pouzdanim sustavima sigurnosnog kopiranja koje bi mogle brzo obnoviti šifrirane datoteke i dalje se suočavaju s izlaganjem osjetljivih podataka o klijentima, financijskih dokumenata ili intelektualnog vlasništva. Enkripcija je u tom trenutku gotovo sekundarna.

Činjenica da krađa podataka ostaje trajno obilježje iznudnih aktivnosti u više od polovice slučajeva iz godine u godinu potvrđuje da ovo nije prolazni trend. To je sada zadani obrazac ponašanja.

Zašto otkrivanje sve više zaostaje

Sve veći jaz između upada i otkrivanja ukazuje na nekoliko problema koji se međusobno preklapaju.

Prvo, napadači sve više koriste legitimne alate koji već postoje u okruženju mete. Sigurnosni softver osmišljen je da prepozna nepoznate potpise zlonamjernog softvera, ali kada napadač koristi ugrađene sistemske alate za premještanje datoteka, te radnje često izgledaju nerazlučivo od uobičajenog ponašanja administratora.

Drugo, mnoge se organizacije još uvijek uvelike oslanjaju na zaštitu perimetra. Vatrozidi i šifrirani tuneli štite podatke u prijenosu, ali nakon što napadač posjeduje valjane vjerodajnice ili se učvrsti unutar mreže, alati za perimetar pružaju vrlo malu vidljivost lateralnih kretanja.

Treće, premor od upozorenja stvaran je i dobro dokumentiran problem u sigurnosnim operativnim centrima. Kada sustavi za otkrivanje generiraju tisuće upozorenja niske vjernosti dnevno, stvarni signali upada bivaju zakopani. Napadači to znaju i vremenski usklađuju svoje aktivnosti kako bi se stopili s bučnim razdobljima.

Zbog toga i oslanjanje na jedan alat, uključujući VPN, stvara lažan osjećaj sigurnosti. VPN šifrira promet između vašeg uređaja i interneta, štiteći podatke u prijenosu i maskirajući vašu IP adresu. No, ne čini ništa da otkrije ili blokira zlonamjerni softver koji već radi na kompromitiranom uređaju i ne pruža nikakvu vidljivost u ponašanje napadača nakon što su vjerodajnice ukradene. Povreda podataka youX u Australiji, gdje su napadači pristupili osjetljivim identifikacijskim podacima u fintech tvrtki, pokazuje kako sofisticirani upadi mogu zaobići površinske zaštite i uzrokovati kaskadne posljedice u stvarnom svijetu.

Što to znači za vas

Bez obzira jeste li pojedinac zaposlenik ili dio IT tima neke organizacije, prosječnih 2,5 tjedana zadržavanja trebalo bi promijeniti način na koji razmišljate o sigurnosti.

Pitanje više nije samo "kako spriječiti napadače da uđu?" Jednako je važno i "koliko brzo bih znao da je netko već unutra i što bi tamo pronašao?"

Za pojedince i mala poduzeća to znači:

• Pretpostavite da vjerodajnice mogu biti kompromitirane. Koristite višefaktorsku autentifikaciju svugdje, posebno na e-pošti, pohrani u oblaku i svim alatima za udaljeni pristup. Ukradene vjerodajnice najčešća su ulazna točka.
• Ograničite što je dostupno. Ne mora svaki sustav ili dijeljenje datoteka biti dostupno sa svakog uređaja. Ograničavanje pristupa smanjuje ono što napadač može dosegnuti nakon početnog ulaska.
• Nadzirite anomalije, a ne samo poznate prijetnje. Alati za nadzor krajnjih točaka koji označavaju neuobičajeno ponašanje, poput korisničkog računa koji iznenada pristupa datotekama koje nikada ne dira, vrjedniji su od samog antivirusnog programa temeljenog na potpisima.
• Imajte plan odgovora na incident. Znanje točno kojih koraka poduzeti u prvom satu potvrđenog proboja znatno ograničava štetu. Mnoge organizacije otkriju da nemaju dokumentirani proces sve dok im očajnički ne zatreba.
• Segmentirajte sigurnosne kopije. Sigurnosne kopije pohranjene na istoj mreži kao i primarni sustavi napadači mogu šifrirati ili izbrisati tijekom svojeg razdoblja zadržavanja. Izvanmrežne ili nepromjenjive sigurnosne kopije zaseban su sloj zaštite.

VPN-ovi ostaju doista koristan alat, osobito za zaštitu prometa na nepouzdanim mrežama i očuvanje privatnosti od pasivnog nadzora. No, njihova je uloga samo jedan sloj među mnogima, a ne potpuna obrana.

Izgradnja slojevite obrambene strategije

Najučinkovitiji sigurnosni stav tretira otkrivanje jednako važnim kao i prevenciju. Prevencija nikada nije savršena, a podaci potvrđuju da napadači postaju sve bolji u njenom zaobilaženju. Organizacije i pojedinci koji ulažu samo u sprječavanje ulaska napadača, a ne čine ništa da ih otkriju kad su već unutra, zapravo su slijepi tijekom najvažnijeg vremenskog okvira.

Slojevita obrana znači kombinirati alate za zaštitu perimetra, nadzor krajnjih točaka, analizu mrežnog prometa, stroge kontrole pristupa i edukaciju korisnika. Niti jedan proizvod ne zatvara sve praznine, zbog čega sigurnosna industrija govori o dubinskoj obrani, a ne o jednom čarobnom rješenju.

Nagao porast krađe podataka prije otkrivanja jasan je signal da je okruženje prijetnji sazrelo. Napadači djeluju s više discipline i strpljenja nego ikad. Prikladan odgovor je uskladiti tu disciplinu s jednako promišljenom, slojevitom obranom, umjesto reaktivne kupnje alata nakon što se incident dogodi.

Započnite revizijom koje osjetljive podatke posjedujete, gdje se nalaze i tko im može pristupiti. Sama ta vidljivost stavlja vas ispred većine meta.