58% CISO-a bi platilo otkupninu jer udaljene krajnje točke pokreću napade

58% CISO-a bi platilo otkupninu jer udaljene krajnje točke pokreću napade

Novi izvještaj tvrtke Absolute Security precizno je kvantificirao problem oko kojeg sigurnosni stručnjaci kruže već godinama: zaštita udaljenih krajnjih točaka putem VPN-a više nije neobavezna za distribuirane radne snage. Prema istraživanju, 58% glavnih direktora za informacijsku sigurnost razmotrilo bi plaćanje otkupnine kako bi zaustavili napad, pri čemu je operativni zastoj naveden kao primarni pokretač. Možda još upečatljivije, 57% anketiranih poduzeća izvijestilo je da su napadi ransomwareom potekli s udaljenih ili hibridnih krajnjih uređaja. Zajedno, te dvije brojke jasno prikazuju gdje sigurnost poduzeća zakazuje i koliko to košta kada se to dogodi.

Kako su udaljene i hibridne krajnje točke postale omiljeno ulazno mjesto ransomwarea

Prelazak na distribuirani rad stvorio je raštrkan napadački prostor koji mnoge organizacije nikada nisu u potpunosti mapirale, a kamoli zaštitile. Udaljene krajnje točke — bilo da su to prijenosna računala zaposlenika koji se spajaju s kućnih mreža, uređaji izvođača radova na javnom Wi-Fi-ju ili hibridni radnici koji se izmjenjuju između uredskog i udaljenog okruženja — često se nalaze izvan izravne vidljivosti sigurnosnih timova poduzeća. Mogu pokretati zastarjeli softver, koristiti slabu autentifikaciju ili se spajati na korporativne sustave kroz neispravno konfigurirane tunele.

Napadači su to primijetili. Vjerodajnice za Remote Desktop Protocol (RDP) i VPN i dalje su među najčešće iskorištavanim početnim vektorima pristupa u kampanjama ransomwarea, a krajnji uređaji često su prva karika koja pada. Kada se jedan udaljeni uređaj kompromitira, napadači ga koriste kao uporište za lateralno kretanje kroz mrežu, eskaliraju privilegije i postavljaju ransomware korisni teret prije nego što većina organizacija stigne detektirati upad. Nalazi tvrtke Absolute Security, koji pokazuju da 57% napada vuče porijeklo s udaljenih ili hibridnih krajnjih točaka, potvrđuju da ovo nije marginalni rizik. To je dominantni obrazac napada.

Posljedice tog obrasca sežu daleko izvan pojedinačnih organizacija. Napad ransomwareom na ChipSoft koji je izložio podatke nizozemskih pacijenata ilustrira što se događa kada napadači uspješno prijeđu s krajnje točke u sustav koji na velikoj skali čuva osjetljive zapise. Zdravstvo, financije i kritična infrastruktura suočeni su s gomilajućim rizicima kako njihove radne snage postaju sve distribuiranije.

Zašto je 58% CISO-a spremno platiti i što to govori o razini pripremljenosti

Spremnost na plaćanje otkupnine često se opisuje kao moralno ili pravno pitanje, no podaci tvrtke Absolute Security to preoblikuju u operativno pitanje. Kada 58% CISO-a kaže da bi razmotrili plaćanje, oni ne podržavaju kriminalnu aktivnost. Oni priznaju da njihove sposobnosti oporavka možda nisu dovoljne da apsorbiraju zastoj koji slijedi nakon velikog napada bez prihvaćanja značajnih financijskih i reputacijskih šteta.

To je problem pripremljenosti. Organizacije s robusnom, testiranom infrastrukturom za sigurnosno kopiranje i oporavak, u kombinaciji s čvrstim planovima odgovora na incidente, daleko su manje sklone suočiti se sa situacijom u kojoj plaćanje izgleda kao jedina opcija. Činjenica da bi više od polovice anketiranih sigurnosnih voditelja to razmatralo sugerira da mnoga poduzeća ostaju nedovoljno pripremljena, osobito kada napad potječe s krajnje točke koja se nalazi izvan tradicionalnih sigurnosnih perimetara.

To također odražava koliko je skupi zastoj postao. Opskrbni lanci, usluge prema klijentima i interne operacije ovise o kontinuiranom pristupu sustavima i podacima. Kada ransomware zaključa te sustave, svaki sat vremena oporavka ima mjerljivu novčanu vrijednost. Taj izračun — a ne moralna fleksibilnost — ono je što pokreće odluke o plaćanju otkupnine. I kao što je kompromitacija e-pošte samog direktora FBI-a jasno pokazala, nijedna organizacija ni pojedinac nisu kategorički imuni na ciljane napade.

Kako VPN infrastruktura smanjuje napadačku površinu i rizik od lateralnog kretanja

Dobro implementiran VPN nije čarobno rješenje, ali je temeljni sloj koji, kada je pravilno konfiguriran, značajno smanjuje izloženost koju udaljene krajnje točke stvaraju. Šifrirani tuneli sprječavaju presretanje vjerodajnica na nezaštićenim mrežama. Segmentacija mreže provedena kroz VPN politike ograničava koliko daleko napadač može otići jednom kada uđe unutra. A centralizirani zahtjevi za autentifikaciju znače da je kompromitiranim uređajima manje vjerojatno da će tiho prolaziti mrežom bez otkrivanja.

Ključna riječ je "pravilno." VPN konfiguracije koje se oslanjaju na jednofaktorsku autentifikaciju, koje dodjeljuju širok mrežni pristup umjesto opsegom ograničenih dopuštenja, ili koje dugo ostaju bez zakrpa, same mogu postati vektori napada. Načelo minimalnih privilegija, primijenjeno na VPN razini, znači da kompromitirana krajnja točka može pristupiti samo specifičnim resursima koje treba — a ne cijeloj korporativnoj mreži. Kombiniranje VPN pristupa s višefaktorskom autentifikacijom i provjera zdravlja krajnje točke prije spajanja stvara značajnu prepreku koja usporava napadače i daje braniteljima vremena za reagiranje.

Za hibridne radne snage posebno, dosljedno provođenje VPN politike na svim vrstama uređaja — uključujući osobne uređaje koji se koriste za posao — od ključne je važnosti. Napadačka površina koju opisuje izvještaj tvrtke Absolute Security dijelom je jednako problem provedbe politike kao i tehnički problem.

Što distribuirani timovi mogu učiniti sada kako bi ojačali svoje krajnje točke

Nalazi tvrtke Absolute Security poticaj su za djelovanje, a ne samo za razmišljanje. Organizacije s distribuiranim radnim snagama mogu poduzeti konkretne korake za smanjenje rizika koji udaljene krajnje točke predstavljaju.

Revidirajte inventar krajnjih točaka. Ne možete zaštititi ono što ne možete vidjeti. Potpuni, ažurirani inventar svakog uređaja koji se spaja na korporativne sustave — uključujući uređaje izvođača radova i osobne uređaje — polazišna je točka svake strategije sigurnosti krajnjih točaka.

Nametnite MFA na sve VPN veze. Ova jedna kontrola eliminira značajnu kategoriju napada temeljenih na vjerodajnicama. Ukradene lozinke same po sebi ne bi trebale biti dovoljne za dobivanje udaljenog pristupa.

Segmentirajte mrežni pristup prema ulozi. Umjesto davanja udaljenim korisnicima širok mrežni pristup, konfigurirajte VPN politike tako da svaki korisnik ili klasa uređaja može pristupiti samo sustavima relevantnim za njihovu funkciju. Time se ograničava lateralno kretanje ako je uređaj kompromitiran.

Dosljedno zakrpajte krajnje točke i VPN infrastrukturu. Mnogi visokoprofilni upadi ransomwarea iskorištavaju poznate ranjivosti za koje zakrpe već postoje. Automatizirano upravljanje zakrpama uklanja ljudsko kašnjenje na koje napadači računaju.

Testirajte plan oporavka. Kada bi napad ransomwareom pogodio vaše najkritičnije sustave danas, koliko bi dugo trajao oporavak? Redovito provođenje vježbi na papiru i testova vraćanja sigurnosnih kopija jedini je način da iskreno odgovorite na to pitanje i zatvorite rupe prije nego što postanu važne.

Izvještaj tvrtke Absolute Security korisna je referentna točka za to gdje trenutno stoji sigurnost poduzeća u pogledu pripravnosti na ransomware. Brojke su porazne: većina napada počinje na udaljenim krajnjim točkama, a većina sigurnosnih voditelja smatra da plaćanje može biti neizbježno. No, one također izravno ukazuju na ono što treba promijeniti. Vidljivost krajnjih točaka, provedene VPN politike i testirane sposobnosti oporavka nisu egzotične kontrole. To je osnova koju bi svaka distribuirana organizacija trebala moći verificirati. Procjena zadovoljava li vaše trenutno postavljanje zaista tu razinu pravo je mjesto za početak.