49 % av ransomware-ofre mister data før angrepet oppdages

49 % av ransomware-ofre mister data før angrepet oppdages

Ransomware har alltid vært et smertefullt problem, men en ny rapport avslører hvor dårlig deteksjonen svikter: nesten halvparten av alle ransomware-ofre fikk dataene sine stjålet før de i det hele tatt oppdaget at en angriper var inne i nettverket deres. Dette tallet har hoppet kraftig fra 31 % året før, noe som signaliserer at hackere ikke bare blir dristigere, men betydelig mer tålmodige og snikende.

Den gjennomsnittlige liggetiden før deteksjon er nå omtrent 2,5 uker. Det vil si 17 eller flere dager der en angriper stille kan kartlegge systemene dine, identifisere de mest verdifulle filene dine og flytte dem ut døren, alt før en eneste alarm utløses.

Den virkelige trusselen er eksfiltrering, ikke bare kryptering

De fleste ser for seg ransomware som en dramatisk hendelse: filer låses, en løsepengebeskjed dukker opp, driften stopper. Dette bildet er i økende grad utdatert. Moderne ransomware-grupper har gått over til en to-trinns strategi. Først stjeler de data. Deretter, hvis og når de utplasserer kryptering, holder de to separate trusler over ofrene sine: betal for å gjenopprette tilgang, og betal igjen for å forhindre at de stjålne dataene blir publisert.

Denne tilnærmingen, ofte kalt dobbel utpressing, endrer kalkylen fullstendig. Selv organisasjoner med solide sikkerhetskopier som raskt kunne gjenopprette krypterte filer, står fortsatt overfor eksponering av sensitive kundeopplysninger, økonomiske dokumenter eller immaterielle rettigheter. Krypteringen er nesten sekundær på det tidspunktet.

Datatyveri forblir et konsekvent trekk ved utpressingsaktivitet i mer enn halvparten av tilfellene år over år, noe som bekrefter at dette ikke er en forbigående trend. Det er nå standard spillebok.

Hvorfor deteksjon faller ytterligere bak

Det voksende gapet mellom inntrenging og deteksjon peker på noen få samløpende problemer.

For det første bruker angripere i økende grad legitime verktøy som allerede finnes i målets miljø. Sikkerhetsprogramvare er designet for å flagge ukjente malware-signaturer, men når en angriper bruker innebygde systemverktøy for å flytte filer, ser disse handlingene ofte umulige å skille fra vanlig administratoradferd.

For det andre stoler mange organisasjoner fortsatt tungt på perimetersikkerhet. Brannmurer og krypterte tunneler beskytter data under overføring, men når en angriper har gyldige påloggingsdetaljer eller har etablert et fotfeste inne i nettverket, gir perimeterverktøy liten synlighet inn i hva som skjer lateralt.

For det tredje er alarmtretthet et reelt og veldokumentert problem i sikkerhetsoperasjonssenter. Når deteksjonssystemer genererer tusenvis av varsler med lav pålitelighet per dag, drukner ekte inntrengningssignaler. Angripere vet dette og tidsplanlegger sin aktivitet for å gli inn i støyende perioder.

Dette er også grunnen til at det å stole på et enkelt verktøy, inkludert en VPN, skaper en falsk trygghetsfølelse. En VPN krypterer trafikk mellom enheten din og internett, noe som beskytter data under overføring og maskerer IP-adressen din. Men den gjør ingenting for å oppdage eller blokkere skadevare som allerede kjører på en infisert maskin, og den gir ingen synlighet inn i angriperadferd når påloggingsdetaljer først er stjålet. Datainnbruddet youX i Australia, der angripere fikk tilgang til sensitive identitetsdata hos et fintech-selskap, illustrerer hvordan sofistikerte inntrengninger kan omgå overflatebeskyttelse og forårsake ringvirkninger i den virkelige verden.

Hva dette betyr for deg

Enten du er en individuell profesjonell eller en del av et IT-team i en organisasjon, bør den gjennomsnittlige liggetiden på 2,5 uker endre hvordan du tenker om sikkerhet.

Spørsmålet er ikke lenger bare «hvordan holder jeg angripere ute?» Det er like mye «hvor raskt ville jeg vite om noen allerede var inne, og hva ville de finne?»

For enkeltpersoner og små bedrifter betyr dette:

• Anta at påloggingsdetaljer kan bli kompromittert. Bruk flerfaktorautentisering overalt, spesielt på e-post, skylagring og eventuelle ekstern tilgangsverktøy. Stjålne påloggingsdetaljer er det vanligste inngangspunktet.
• Begrens hva som er tilgjengelig. Ikke ethvert system eller fildeling trenger å være tilgjengelig fra enhver enhet. Å begrense tilgang reduserer hva en angriper kan nå etter å ha fått innledende adgang.
• Overvåk for anomalier, ikke bare kjente trusler. Sluttpunktdeteksjonsverktøy som flagger uvanlig adferd, for eksempel en brukerkonto som plutselig får tilgang til filer den aldri rører, er mer verdifulle enn signaturbasert antivirus alene.
• Ha en plan for hendelseshåndtering. Å vite nøyaktig hvilke skritt du skal ta i den første timen av et bekreftet innbrudd begrenser skaden betydelig. Mange organisasjoner oppdager at de ikke har noen dokumentert prosess før de sårt trenger en.
• Segmenter sikkerhetskopiene dine. Sikkerhetskopier som lagres på samme nettverk som primærsystemer kan bli kryptert eller slettet av angripere i løpet av liggetiden. Offline eller uforanderlige sikkerhetskopier er et separat beskyttelseslag.

VPN-er er fortsatt et genuint nyttig verktøy, spesielt for å sikre trafikk på upålitelige nettverk og beskytte personvern mot passiv overvåking. Men deres rolle er ett lag blant mange, ikke et fullstendig forsvar.

Bygge en lagdelt forsvarsstrategi

Den mest effektive sikkerhetsposisjonen behandler deteksjon som en likeverdig prioritet til forebygging. Forebygging er aldri perfekt, og dataene bekrefter at angripere blir flinkere til å omgå det. Organisasjoner og enkeltpersoner som bare investerer i å holde angripere ute, uten å gjøre noe for å oppdage dem når de først er inne, er effektivt blinde i det vinduet som betyr mest.

Lagdelt forsvar betyr å kombinere perimeterverktøy, sluttpunktovervåking, nettverkstrafikkanalyse, strenge tilgangskontroller og brukeropplæring. Ikke noe enkeltprodukt tetter alle hullene, og det er derfor sikkerhetsbransjen snakker om forsvar i dybden i stedet for én enkelt sølvkule.

Den kraftige økningen i datatyveri før deteksjon er et tydelig signal om at trusselmiljøet har modnet. Angripere opererer med mer disiplin og tålmodighet enn noen gang. Den passende responsen er å matche den disiplinen med like gjennomtenkte, lagdelte forsvar fremfor reaktive verktøykjøp etter at en hendelse har inntruffet.

Begynn med å revidere hvilke sensitive data du har, hvor de befinner seg, og hvem som har tilgang til dem. Den synligheten alene setter deg foran de fleste mål.