Mi a zsarolóvírus-támadások leggyakoribb kiindulópontja a jelentés szerint?

A jelentés megállapította, hogy a zsarolóvírus-támadások 57%-a távoli vagy hibrid végponteszközökről indult. Ez teszi a távoli végpontokat a vállalati zsarolóvírus-incidensek uralkodó támadási mintájává.

A CISO-k 58%-a fizetne váltságdíjat, miközben a távoli végpontok hajtják az támadásokat

Q: A CISO-k hány százaléka mondta, hogy fontolóra venné a váltságdíj kifizetését?

Az Absolute Security jelentése szerint a Chief Information Security Officerek 58%-a mondta, hogy fontolóra venné a váltságdíj kifizetését egy támadás leállítása érdekében. Az elsődleges motiváló tényezőként az üzemelési leállást jelölték meg.

Q: Miért mondja a cikk, hogy a CISO-k váltságdíj fizetésére való hajlandósága operatív probléma, nem erkölcsi?

A cikk azzal érvel, hogy amikor a CISO-k azt mondják, hogy fizetnének, elismerik, hogy helyreállítási képességeik esetleg nem elegendők ahhoz, hogy egy nagyobb támadást követő leállást átvészeljék. Ez a kérdést felkészültségi problémává értelmezi át, nem csupán erkölcsi vagy jogi kérdéssé.

A CISO-k 58%-a fizetne váltságdíjat, miközben a távoli végpontok hajtják a támadásokat

Az Absolute Security új jelentése pontos számot rendelt egy olyan problémához, amelyet a biztonsági szakemberek már évek óta körülírnak: a zsarolóvírusok elleni távoli végpont VPN-védelem többé nem opcionális az elosztott munkaerő számára. A kutatás szerint a Chief Information Security Officerek 58%-a fontolóra venné a váltságdíj kifizetését egy támadás leállítása érdekében, és az elsődleges motiváló tényezőként az üzemelési leállást jelölték meg. Talán még megdöbbentőbb, hogy a megkérdezett vállalatok 57%-a számolt be arról, hogy a zsarolóvírus-támadások távoli vagy hibrid végponteszközökről indultak. E két szám együtt egyértelmű képet fest arról, hol vallanak kudarcot a vállalati biztonsági rendszerek, és ez mekkora költséggel jár.

Hogyan váltak a távoli és hibrid végpontok a zsarolóvírusok kedvenc belépési pontjává

Az elosztott munkavégzésre való átállás kiterjedt támadási felületet hozott létre, amelyet sok szervezet soha nem térképezett fel teljes mértékben, nemhogy biztosított volna. A távoli végpontok – legyenek azok otthoni hálózatokról csatlakozó munkavállalói laptopok, nyilvános Wi-Fi-n lévő vállalkozói eszközök, vagy irodai és otthoni környezet között váltakozó hibrid dolgozók eszközei – gyakran kívül esnek a vállalati biztonsági csapatok közvetlen látókörén. Elavult szoftvereket futtathatnak, gyenge hitelesítést alkalmazhatnak, vagy nem megfelelően konfigurált alagutakon keresztül csatlakozhatnak a vállalati rendszerekhez.

A támadók ezt észrevették. A Remote Desktop Protocol (RDP) és a VPN-hitelesítő adatok a zsarolóvírus-kampányok leggyakrabban kihasznált kezdeti hozzáférési vektorai közé tartoznak, és a végponteszközök gyakran az első dominóként esnek el. Amint egyetlen távoli eszköz kompromittálódik, a támadók ugródeszkának használják, hogy oldalirányban mozogjanak a hálózaton, jogosultságokat emeljenek, és zsarolóvírus-csomagokat telepítsenek, mielőtt a legtöbb szervezetnek ideje lenne észlelni a behatolást. Az Absolute Security megállapításai – miszerint a támadások 57%-a visszavezethető távoli vagy hibrid végpontokra – megerősítik, hogy ez nem marginális kockázat. Ez az uralkodó támadási minta.

Ennek a mintának a következményei messze túlmutatnak az egyes szervezeteken. A ChipSoft zsarolóvírus-támadás, amely holland betegadatokat tett közzé, szemlélteti, mi történik, amikor a támadóknak sikerül egy végpontból áthatolni egy olyan rendszerbe, amely nagy léptékben tárol érzékeny adatokat. Az egészségügy, a pénzügyek és a kritikus infrastruktúra mind fokozódó kockázattal szembesül, ahogy munkaerőjük egyre elosztottabbá válik.

Miért hajlandó a CISO-k 58%-a fizetni, és mit árul ez el a felkészültségről

A váltságdíj fizetésének hajlandóságát általában erkölcsi vagy jogi kérdésként kezelik, de az Absolute Security adatai operatív kérdésként értelmezik újra. Amikor a CISO-k 58%-a azt mondja, hogy fontolóra venné a fizetést, nem bűnözői tevékenységet helyesel. Elismerik, hogy helyreállítási képességeik esetleg nem elegendők ahhoz, hogy egy nagyobb támadást követő leállást jelentős pénzügyi és hírnévbeli károk nélkül átvészeljék.

Ez felkészültségi probléma. Azok a szervezetek, amelyek robusztus, tesztelt biztonsági mentési és helyreállítási infrastruktúrával rendelkeznek, erős incidensreagálási tervekkel kombinálva, sokkal kevésbé valószínű, hogy olyan helyzetbe kerülnek, ahol a fizetés tűnik az egyetlen lehetőségnek. Az a tény, hogy a megkérdezett biztonsági vezetők több mint fele fontolóra venné ezt, arra utal, hogy sok vállalat továbbra is felkészületlen – különösen akkor, ha a támadás egy olyan végpontból indul, amely a hagyományos biztonsági határvonalakon kívül helyezkedik el.

Ez azt is tükrözi, mennyire költségessé vált a leállás. Az ellátási láncok, az ügyfélfelé irányuló szolgáltatások és a belső működés mind a rendszerekhez és adatokhoz való folyamatos hozzáféréstől függenek. Amikor a zsarolóvírus lezárja ezeket a rendszereket, a helyreállítás minden egyes órájának mérhető dollárértéke van. Ez a kalkuláció – nem az erkölcsi rugalmasság – az, ami a váltságdíj-fizetési döntéseket mozgatja. És ahogyan az FBI igazgatójának e-mail kompromittálása is megmutatta, egyetlen szervezet vagy személy sem mentes kategorikusan a célzott támadásoktól.

Hogyan csökkenti a VPN-infrastruktúra a támadási felületet és az oldalirányú mozgás kockázatát

A jól megvalósított VPN nem csodaszer, de olyan alapvető réteg, amely megfelelő konfiguráció esetén jelentősen csökkenti a távoli végpontok által teremtett kitettséget. A titkosított alagutak megakadályozzák a hitelesítő adatok lehallgatását nem biztonságos hálózatokon. A VPN-szabályzatokon keresztül érvényesített hálózati szegmentálás korlátozza, hogy a támadó milyen messzire juthat, ha egyszer belépett. A centralizált hitelesítési követelmények pedig azt jelentik, hogy a kompromittált eszközök kevésbé valószínű, hogy észrevétlenül átjárják a hálózatot.

A kulcsszó a „megfelelő." Az egyfaktoros hitelesítésre támaszkodó, széles hálózati hozzáférést biztosító – nem pedig hatókörbe zárt jogosultságokat alkalmazó –, vagy hosszú ideig javítatlanul hagyott VPN-konfigurációk maguk is támadási vektorrá válhatnak. A legkisebb jogosultság elve, a VPN-rétegen alkalmazva, azt jelenti, hogy egy kompromittált végpont csak azokhoz az erőforrásokhoz férhet hozzá, amelyekre szüksége van – nem pedig a teljes vállalati hálózathoz. A VPN-hozzáférés többfaktoros hitelesítéssel és csatlakozás előtti végponti egészség-ellenőrzéssel való párosítása értelmes akadályt teremt, amely lassítja a támadókat és időt biztosít a védőknek a reagáláshoz.

Hibrid munkaerő esetén különösen fontos a következetes VPN-szabályzat érvényesítése minden eszköztípuson – beleértve a munkához használt személyes eszközöket is. Az Absolute Security jelentés által leírt támadási felület részben egy szabályzatérvényesítési rés, nem csupán technikai probléma.

Mit tehetnek most az elosztott csapatok a végpontjaik megerősítéséért

Az Absolute Security megállapításai cselekvésre ösztönöznek, nem csupán elmélkedésre. Az elosztott munkaerővel rendelkező szervezetek konkrét lépéseket tehetnek annak érdekében, hogy csökkentsék a távoli végpontok által képviselt kockázatot.

Auditálja a végpontkészletet. Amit nem lát, azt nem tudja megvédeni. Minden vállalati rendszerhez csatlakozó eszköz – beleértve a vállalkozói és személyes eszközöket is – teljes, naprakész nyilvántartása kiindulópontja minden végponti biztonsági stratégiának.

Kényszerítse ki az MFA-t minden VPN-kapcsolaton. Ez az egyetlen vezérlő a hitelesítő adatokon alapuló támadások egy jelentős kategóriáját eliminálja. Az ellopott jelszavaknak önmagukban nem szabadna elegendőnek lenniük a távoli hozzáférés megszerzéséhez.

Szegmentálja a hálózati hozzáférést szerepkör szerint. Ahelyett, hogy széles hálózati hozzáférést adna a távoli felhasználóknak, konfigurálja úgy a VPN-szabályzatokat, hogy minden felhasználó vagy eszközosztály csak a funkciójához releváns rendszereket érhesse el. Ez korlátozza az oldalirányú mozgást, ha egy eszköz kompromittálódik.

Javítsa következetesen a végpontokat és a VPN-infrastruktúrát. Sok nagy horderejű zsarolóvírus-behatolás olyan ismert sebezhetőségeket használ ki, amelyekhez már léteznek javítások. Az automatizált javításkezelés eltávolítja azt az emberi késedelmet, amelyre a támadók számítanak.

Tesztelje a helyreállítási tervet. Ha egy zsarolóvírus-támadás ma érné a legkritikusabb rendszereit, mennyi ideig tartana a helyreállítás? A táblagépes gyakorlatok és a biztonsági mentés visszaállítási tesztek rendszeres elvégzése az egyetlen módja annak, hogy őszintén megválaszolja ezt a kérdést, és a hiányosságokat még azelőtt zárja be, mielőtt azok számítanának.

Az Absolute Security jelentés hasznos viszonyítási alap ahhoz, hogy hol tart most a vállalati biztonság a zsarolóvírus-felkészültség tekintetében. A számok kijózanítóak: a támadások többsége távoli végpontokon kezdődik, és a biztonsági vezetők többsége úgy érzi, hogy a fizetés elkerülhetetlen lehet. De közvetlenül rámutatnak arra is, minek kell megváltoznia. A végponti láthatóság, az érvényesített VPN-szabályzatok és a tesztelt helyreállítási képességek nem egzotikus vezérlők. Ezek az alap, amelyet minden elosztott szervezetnek képesnek kell lennie igazolni. A megfelelő kiindulópont annak értékelése, hogy jelenlegi felállása valóban megfelel-e ennek a mércének.

A CISO-k 58%-a fizetne váltságdíjat, miközben a távoli végpontok hajtják a támadásokat

Hogyan váltak a távoli és hibrid végpontok a zsarolóvírusok kedvenc belépési pontjává

Miért hajlandó a CISO-k 58%-a fizetni, és mit árul ez el a felkészültségről

Hogyan csökkenti a VPN-infrastruktúra a támadási felületet és az oldalirányú mozgás kockázatát

Mit tehetnek most az elosztott csapatok a végpontjaik megerősítéséért

// GYIK

// Kapcsolódó