A zsarolóvírus áldozatainak 49%-a már azelőtt elveszíti adatait, hogy észlelnék a támadást

A zsarolóvírus áldozatainak 49%-a már azelőtt elveszíti adatait, hogy észlelnék a támadást

A zsarolóvírus mindig is fájdalmas probléma volt, de egy új jelentés rávilágít, milyen súlyosan csődöt mond a felderítés: a zsarolóvírus-áldozatok közel fele elveszítette adatait, mielőtt egyáltalán észrevette volna, hogy egy támadó bejutott a hálózatukba. Ez a szám a korábbi évi 31%-ról ugrott meg meredeken, jelezve, hogy a hackerek nem csupán merészebbek lettek, hanem lényegesen türelmesebbek és észrevehetetlenebbek is.

Az észlelés előtti átlagos bent tartózkodási idő jelenleg körülbelül 2,5 hét. Ez 17 vagy több nap, amely alatt a támadó csendben feltérképezheti a rendszereidet, azonosíthatja a legértékesebb fájljaidat, és kijuttathatja azokat – mindezt egyetlen riasztás nélkül.

Az igazi fenyegetés az adatkiszivárogtatás, nem csupán a titkosítás

A legtöbben úgy képzelik el a zsarolóvírust, mint egy drámai eseményt: a fájlok lezárulnak, megjelenik egy váltságdíjjegyzék, a működés leáll. Ez a kép egyre inkább elavult. A modern zsarolóvírus-csoportok kétlépcsős stratégiára váltottak. Először adatokat lopnak. Majd, ha és amikor titkosítanak, két külön fenyegetést tartanak az áldozat feje fölött: fizess a hozzáférés helyreállításáért, és fizess azért is, hogy az ellopott adatok ne kerüljenek nyilvánosságra.

Ez a megközelítés, amelyet gyakran kettős zsarolásnak neveznek, teljesen megváltoztatja a számítást. Még azok a szervezetek is, amelyek szilárd mentési rendszerekkel rendelkeznek, és gyorsan vissza tudnák állítani a titkosított fájlokat, ki vannak téve az érzékeny ügyféladatok, pénzügyi dokumentumok vagy szellemi tulajdon nyilvánosságra kerülésének. A titkosítás ekkor már szinte másodlagos.

Az adatlopás évről évre az esetek több mint felében a zsarolási tevékenység következetes eleme marad, ami megerősíti, hogy ez nem múló trend. Ez ma már az alapértelmezett forgatókönyv.

Miért marad el egyre inkább a felderítés?

A behatolás és az észlelés közötti növekvő szakadék néhány összefonódó problémára utal.

Először is, a támadók egyre gyakrabban használnak olyan legitim eszközöket, amelyek már eleve megtalálhatók a célpont környezetében. A biztonsági szoftverek arra vannak tervezve, hogy az ismeretlen rosszindulatú szoftverek aláírásait jelezzék, de amikor a támadó beépített rendszersegédprogramokat használ fájlok mozgatására, ezek a műveletek gyakran megkülönböztethetetlenek a normál rendszergazdai tevékenységtől.

Másodszor, sok szervezet még mindig nagymértékben a peremvédelmi rendszerekre támaszkodik. A tűzfalak és a titkosított alagutak védik az átvitel alatt lévő adatokat, de amint a támadó érvényes hitelesítő adatokkal rendelkezik, vagy megvetette a lábát a hálózaton belül, a peremvédelmi eszközök alig nyújtanak betekintést a belső hálózati mozgásokba.

Harmadszor, a riasztási fáradtság valódi és jól dokumentált probléma a biztonsági műveleti központokban. Amikor a felderítő rendszerek naponta több ezer alacsony megbízhatóságú riasztást generálnak, a valódi behatolási jelek eltemetődnek. A támadók ismerik ezt, és tevékenységüket a zajos időszakokkal egyező időpontra időzítik.

Emiatt teremt hamis biztonságérzetet, ha egyetlen eszközre, például VPN-re hagyatkozunk. A VPN titkosítja az eszközöd és az internet közötti forgalmat, ami védi az átvitel alatt lévő adatokat, és elrejti az IP-címedet. De semmit sem tesz a már fertőzött gépen futó kártevők észleléséért vagy blokkolásáért, és nem nyújt betekintést a támadó viselkedésébe a hitelesítő adatok ellopása után. Az ausztráliai youX adatszivárgás, amely során a támadók érzékeny személyazonosító adatokhoz fértek hozzá egy fintech cégnél, jól szemlélteti, hogy a kifinomult behatolások hogyan tudják megkerülni a felszíni védelmeket, és kaszkádszerű valós következményeket okozni.

Mit jelent ez neked?

Akár egyéni szakember vagy, akár egy szervezet informatikai csapatának tagja, az átlagosan 2,5 hetes benntartózkodási időnek át kell formálnia a biztonságról alkotott gondolkodásodat.

A kérdés már nem csupán az: „Hogyan tartsam kint a támadókat?”. Ugyanolyan fontos, hogy: „Milyen gyorsan tudnám meg, ha valaki már bent van, és mit találna?”

Egyének és kisvállalkozások számára ez a következőket jelenti:

• Tételezd fel, hogy a hitelesítő adatok kompromittálódhatnak. Használj többtényezős hitelesítést mindenhol, különösen e-mailen, felhőtárhelyen és minden távoli hozzáférési eszközön. Az ellopott hitelesítő adatok a leggyakoribb belépési pontok.
• Korlátozd, hogy mi érhető el. Nem minden rendszernek vagy fájlmegosztásnak kell elérhetőnek lennie minden eszközről. A hozzáférés korlátozása csökkenti, hogy mit érhet el a támadó az első behatolás után.
• Figyeld a rendellenességeket, ne csak az ismert fenyegetéseket. Azok a végpontfelderítő eszközök, amelyek szokatlan viselkedést jeleznek – például ha egy felhasználói fiók hirtelen olyan fájlokhoz fér hozzá, amelyeket korábban sosem érintett –, értékesebbek, mint kizárólag az aláírás-alapú vírusirtók.
• Legyen incidenskezelési terved. Az, hogy pontosan tudd, milyen lépéseket kell tenni egy igazolt adatvédelmi incidens első órájában, jelentősen korlátozza a kárt. Sok szervezet csak akkor döbben rá, hogy nincs dokumentált folyamata, amikor már nagy szüksége lenne rá.
• Szegmentáld a mentéseidet. Az elsődleges rendszerekkel azonos hálózaton tárolt mentéseket a támadók a bent tartózkodásuk során titkosíthatják vagy törölhetik. Az offline vagy megváltoztathatatlan mentések egy külön védelmi réteget jelentenek.

A VPN-ek továbbra is valóban hasznos eszközök, különösen a forgalom nem megbízható hálózatokon való védelmére és a passzív megfigyeléssel szembeni adatvédelemre. De a szerepük csupán egy réteg a sok közül, nem teljes körű védelem.

Többrétegű védelmi stratégia kiépítése

A leghatékonyabb biztonsági szemlélet az észlelést a megelőzéssel egyenrangú prioritásként kezeli. A megelőzés sosem tökéletes, és az adatok azt igazolják, hogy a támadók egyre jobban kijátsszák. Azok a szervezetek és egyének, akik csak a támadók kint tartásába fektetnek, de semmit sem tesznek a bent lévők észleléséért, gyakorlatilag vakok a legfontosabb időszak alatt.

A többrétegű védelem a perimétervédelmi eszközök, a végpontfelügyelet, a hálózati forgalom elemzése, a szigorú hozzáférés-szabályozás és a felhasználók oktatásának kombinálását jelenti. Egyetlen termék sem zár be minden rést, ezért beszél a biztonsági iparág a mélységi védelemről, nem pedig egyetlen csodafegyverről.

Az észlelés előtti adatlopások meredek növekedése egyértelmű jele annak, hogy a fenyegetettségi környezet kiforrott. A támadók fegyelmezettebben és türelmesebben dolgoznak, mint valaha. A megfelelő válasz az, hogy ezt a fegyelmet ugyanolyan megfontolt, többrétegű védelemmel párosítsuk, ahelyett, hogy egy incidens bekövetkezte után reaktív eszközvásárlásokba kezdenénk.

Kezdd azzal, hogy felméred, milyen érzékeny adatokkal rendelkezel, hol találhatók, és ki férhet hozzájuk. Már ez a láthatóság is a legtöbb célpont elé helyez.