58 % av CISOs ville betale løsepenger ettersom eksterne endepunkter driver angrep

58 % av CISOs ville betale løsepenger ettersom eksterne endepunkter driver angrep

En ny rapport fra Absolute Security har satt et presist tall på et problem som sikkerhetseksperter har sirklet rundt i årevis: beskyttelse av eksterne endepunkter og VPN mot løsepengevirus er ikke lenger valgfritt for distribuerte arbeidsstyrker. Ifølge undersøkelsen ville 58 % av Chief Information Security Officers vurdere å betale løsepenger for å avslutte et angrep, der driftsstans ble oppgitt som den viktigste årsaken. Kanskje enda mer påfallende er det at 57 % av de undersøkte virksomhetene rapporterte at løsepengevirusangrep stammet fra eksterne eller hybride endepunktenheter. Til sammen tegner disse to tallene et tydelig bilde av hvor bedriftssikkerheten svikter, og hva det koster når den gjør det.

Hvordan eksterne og hybride endepunkter ble løsepengevirusets foretrukne inngangspunkt

Overgangen til distribuert arbeid skapte en vidstrakt angrepsflate som mange organisasjoner aldri har kartlagt fullt ut, enn si sikret. Eksterne endepunkter – enten det er ansattes bærbare datamaskiner som kobler til fra hjemmenettverk, innleide arbeideres enheter på offentlig Wi-Fi, eller hybridarbeidere som veksler mellom kontor og hjemmekontor – befinner seg ofte utenfor bedriftssikkerhetsteamenes direkte synsfelt. De kan kjøre utdatert programvare, bruke svak autentisering, eller koble til bedriftssystemer gjennom feilkonfigurerte tunneler.

Angripere har lagt merke til dette. Remote Desktop Protocol (RDP) og VPN-legitimasjon er fortsatt blant de mest utnyttede innledende tilgangsvektorene i løsepengeviruskampanjer, og endepunktenheter er ofte den første brikken som faller. Når en enkelt ekstern enhet er kompromittert, bruker angripere den som fotfeste for å bevege seg sidelengs gjennom nettverket, eskalere rettigheter og distribuere løsepengevirusnyttelaster før de fleste organisasjoner rekker å oppdage innbruddet. Funnene fra Absolute Security, som viser at 57 % av angrepene kan spores tilbake til eksterne eller hybride endepunkter, bekrefter at dette ikke er en marginal risiko. Det er det dominerende angrepsmønsteret.

Konsekvensene av dette mønsteret rekker langt utover enkeltstående organisasjoner. ChipSoft-løsepengevirusangrepet som eksponerte nederlandske pasientdata illustrerer hva som skjer når angripere lykkes med å bevege seg fra et endepunkt inn i et system som inneholder sensitive opplysninger i stor skala. Helsevesen, finans og kritisk infrastruktur står alle overfor sammensatt risiko ettersom arbeidsstyrkene deres blir mer distribuerte.

Hvorfor 58 % av CISOs er villige til å betale, og hva det signaliserer om beredskap

Viljen til å betale løsepenger blir ofte fremstilt som et moralsk eller juridisk spørsmål, men dataene fra Absolute Security omformulerer det som et operasjonelt spørsmål. Når 58 % av CISOs sier at de ville vurdere å betale, støtter de ikke kriminell aktivitet. De erkjenner at gjenopprettingskapasiteten deres kanskje ikke er tilstrekkelig til å absorbere driftsstansen som følger av et større angrep, uten å pådra seg betydelig økonomisk og omdømmemessig skade.

Dette er et beredskapsproblem. Organisasjoner med robust, testet sikkerhetskopierings- og gjenopprettingsinfrastruktur, kombinert med sterke planer for hendelseshåndtering, er langt mindre tilbøyelige til å havne i en situasjon der betaling føles som det eneste alternativet. Det faktum at mer enn halvparten av de spurte sikkerhetslederne ville vurdere det, antyder at mange virksomheter fortsatt er underforberedt – særlig når angrepet stammer fra et endepunkt som befinner seg utenfor tradisjonelle sikkerhetsperimetre.

Det gjenspeiler også hvor kostbar driftsstans har blitt. Forsyningskjeder, kundevendte tjenester og interne operasjoner er alle avhengige av kontinuerlig tilgang til systemer og data. Når løsepengevirus låser disse systemene, har hver time med gjenopprettingstid en målbar pengemessig verdi. Det er denne kalkylen – ikke moralsk fleksibilitet – som driver beslutninger om å betale løsepenger. Og som FBI-direktørens egen e-postkompromittering tydelig viste, er ingen organisasjon eller enkeltperson kategorisk immun mot målrettede angrep.

Hvordan VPN-infrastruktur reduserer angrepsflaten og risikoen for sidelengs bevegelse

En godt implementert VPN er ikke en universalløsning, men det er et grunnleggende lag som, når det er riktig konfigurert, betydelig reduserer eksponeringen som eksterne endepunkter skaper. Krypterte tunneler forhindrer avlytting av legitimasjon på usikrede nettverk. Nettverkssegmentering håndhevet gjennom VPN-policyer begrenser hvor langt en angriper kan bevege seg når de først er inne. Og sentraliserte autentiseringskrav betyr at kompromitterte enheter er mindre tilbøyelige til å traversere nettverket uoppdaget.

Det kritiske ordet er «riktig konfigurert». VPN-konfigurasjoner som er basert på enfaktorautentisering, som gir bred nettverkstilgang i stedet for avgrensede tillatelser, eller som forblir uoppdatert over lengre perioder, kan selv bli angrepsvektorer. Prinsippet om minste privilegium, anvendt på VPN-laget, betyr at et kompromittert endepunkt bare kan nå de spesifikke ressursene det trenger – ikke hele bedriftsnettverket. Å kombinere VPN-tilgang med flerfaktorautentisering og helsesjekk av endepunkter før tilkobling skaper en meningsfull barriere som bremser angripere og gir forsvarerne tid til å reagere.

For hybride arbeidsstyrker spesifikt er konsekvent håndhevelse av VPN-policy på tvers av alle enhetstyper – inkludert personlige enheter brukt til arbeid – avgjørende. Angrepsflaten som Absolute Security-rapporten beskriver, er delvis et gap i policyhåndhevelse like mye som et teknisk problem.

Hva distribuerte team kan gjøre nå for å styrke endepunktene sine

Funnene fra Absolute Security er en oppfordring til handling, ikke bare til refleksjon. Organisasjoner med distribuerte arbeidsstyrker kan ta konkrete skritt for å redusere risikoen som eksterne endepunkter representerer.

Gjør en revisjon av endepunktbeholdningen din. Du kan ikke beskytte det du ikke kan se. En komplett, oppdatert oversikt over alle enheter som kobler til bedriftssystemer – inkludert innleide og personlige enheter – er utgangspunktet for enhver endepunktsikkerhetsstrategi.

Håndhev MFA på alle VPN-tilkoblinger. Denne ene kontrollen eliminerer en betydelig kategori av legitimasjonsbaserte angrep. Stjålne passord alene bør ikke være nok til å få ekstern tilgang.

Segmenter nettverkstilgang etter rolle. I stedet for å gi eksterne brukere bred nettverkstilgang, konfigurer VPN-policyer slik at hver bruker eller enhetsklasse bare kan nå systemene som er relevante for deres funksjon. Dette begrenser sidelengs bevegelse hvis en enhet kompromitteres.

Oppdater endepunkter og VPN-infrastruktur konsekvent. Mange høyprofilerte løsepengevirusinnbrudd utnytter kjente sårbarheter som det allerede finnes oppdateringer for. Automatisert oppdateringsadministrasjon fjerner den menneskelige forsinkelsen som angripere er avhengige av.

Test gjenopprettingsplanen din. Hvis et løsepengevirusangrep traff de mest kritiske systemene dine i dag, hvor lang tid ville gjenopprettingen ta? Å kjøre bordøvelser og tester for gjenoppretting av sikkerhetskopier regelmessig er den eneste måten å svare ærlig på det spørsmålet og tette hullene før de får betydning.

Absolute Security-rapporten er et nyttig referansepunkt for hvor bedriftssikkerheten står akkurat nå når det gjelder beredskap mot løsepengevirus. Tallene er alvorlige: et flertall av angrep som starter ved eksterne endepunkter, og et flertall av sikkerhetsledere som føler at betaling kan være uunngåelig. Men de peker også direkte på hva som må endres. Endepunktsynlighet, håndhevede VPN-policyer og testet gjenopprettingskapasitet er ikke eksotiske kontroller. De er grunnlinjen som alle distribuerte organisasjoner bør kunne bekrefte. Å vurdere om det nåværende oppsettet faktisk oppfyller dette nivået, er det rette stedet å begynne.