49% ofiar oprogramowania ransomware traci dane przed wykryciem ataku

49% ofiar oprogramowania ransomware traci dane przed wykryciem ataku

Ransomware zawsze był bolesnym problemem, ale nowy raport ujawnia, jak bardzo zawodzi wykrywanie: prawie połowa ofiar ransomware straciła swoje dane, zanim w ogóle zorientowała się, że atakujący jest w ich sieci. Liczba ta gwałtownie wzrosła z 31% w poprzednim roku, co sygnalizuje, że hakerzy nie tylko stają się odważniejsi, ale też znacznie bardziej cierpliwi i skrycie działający.

Średni czas przebywania w sieci przed wykryciem wynosi obecnie około 2,5 tygodnia. To 17 lub więcej dni, podczas których atakujący może po cichu zmapować twoje systemy, zidentyfikować najcenniejsze pliki i wynieść je na zewnątrz, zanim jeszcze pojawi się choćby jeden alert.

Prawdziwym zagrożeniem jest eksfiltracja danych, a nie tylko szyfrowanie

Większość ludzi wyobraża sobie ransomware jako dramatyczne wydarzenie: pliki zostają zablokowane, pojawia się żądanie okupu, operacje stają w miejscu. Ten obraz jest coraz bardziej nieaktualny. Współczesne grupy ransomware przeszły na dwuetapową strategię. Najpierw kradną dane. Następnie, jeśli i kiedy uruchamiają szyfrowanie, trzymają nad ofiarami dwie osobne groźby: zapłać za przywrócenie dostępu i zapłać ponownie, aby zapobiec publikacji skradzionych danych.

To podejście, często nazywane podwójnym wymuszeniem (double extortion), całkowicie zmienia rachubę. Nawet organizacje z solidnymi systemami kopii zapasowych, które mogłyby szybko odtworzyć zaszyfrowane pliki, wciąż stoją przed ryzykiem ujawnienia wrażliwych danych klientów, dokumentów finansowych lub własności intelektualnej. Szyfrowanie jest w tym momencie niemal drugorzędne.

Utrzymująca się obecność kradzieży danych jako stałego elementu działań wymuszających w ponad połowie przypadków rok do roku potwierdza, że to nie chwilowy trend. To teraz domyślny podręcznik ataku.

Dlaczego wykrywanie pozostaje coraz bardziej w tyle

Rosnąca przepaść między włamaniem a wykryciem wskazuje na kilka zbiegających się problemów.

Po pierwsze, atakujący coraz częściej wykorzystują legalne narzędzia, które już istnieją w środowisku celu. Oprogramowanie zabezpieczające jest zaprojektowane do wykrywania nieznanych sygnatur złośliwego oprogramowania, ale gdy atakujący używa wbudowanych narzędzi systemowych do przenoszenia plików, działania te często wyglądają nie do odróżnienia od normalnego zachowania administratora.

Po drugie, wiele organizacji wciąż polega głównie na zabezpieczeniach peryferyjnych. Zapory sieciowe i tunele szyfrowane chronią dane w tranzycie, ale gdy atakujący zdobędzie prawidłowe poświadczenia lub zdobędzie przyczółek w sieci, narzędzia peryferyjne oferują niewielką widoczność na to, co dzieje się w ruchu bocznym (lateral movement).

Po trzecie, zmęczenie alertami to realny i dobrze udokumentowany problem w centrach operacji bezpieczeństwa (SOC). Gdy systemy detekcji generują tysiące ostrzeżeń o niskiej wierności każdego dnia, prawdziwe sygnały włamań zostają pogrzebane. Atakujący wiedzą o tym i planują swoje działania tak, aby wtopiły się w hałaśliwe okresy.

Dlatego właśnie poleganie na pojedynczym narzędziu, w tym VPN, daje fałszywe poczucie bezpieczeństwa. VPN szyfruje ruch między twoim urządzeniem a internetem, co chroni dane w tranzycie i maskuje twój adres IP. Nie robi jednak nic, aby wykryć lub zablokować złośliwe oprogramowanie działające już na zainfekowanej maszynie, i nie daje żadnej widoczności na zachowanie atakującego po kradzieży poświadczeń. Naruszenie danych youX w Australii, gdzie atakujący uzyskali dostęp do wrażliwych danych tożsamości w firmie fintech, ilustruje, jak wyrafinowane włamania mogą obchodzić powierzchniowe zabezpieczenia i powodować kaskadowe konsekwencje w rzeczywistym świecie.

Co to oznacza dla Ciebie

Niezależnie od tego, czy jesteś indywidualnym profesjonalistą, czy częścią zespołu IT w organizacji, średni 2,5-tygodniowy czas przebywania w sieci powinien zmienić twój sposób myślenia o bezpieczeństwie.

Pytanie nie brzmi już tylko „jak powstrzymać atakujących przed dostaniem się do środka?”. Równie ważne jest „jak szybko dowiedziałbym się, że ktoś już jest w środku i co by znalazł?”.

Dla osób prywatnych i małych firm oznacza to:

• Zakładaj, że poświadczenia mogą zostać skompromitowane. Stosuj uwierzytelnianie wieloskładnikowe wszędzie, zwłaszcza w poczcie e-mail, przechowywaniu w chmurze i wszelkich narzędziach zdalnego dostępu. Skradzione poświadczenia to najczęstszy punkt wejścia.
• Ogranicz to, co jest dostępne. Nie każdy system czy udział plików musi być osiągalny z każdego urządzenia. Ograniczenie dostępu zmniejsza to, co atakujący może osiągnąć po uzyskaniu pierwszego dostępu.
• Monitoruj anomalie, a nie tylko znane zagrożenia. Narzędzia do wykrywania na punktach końcowych, które wyłapują nietypowe zachowania – np. konto użytkownika nagle sięgające do plików, których normalnie nie dotyka – są bardziej wartościowe niż samo antywirus oparty na sygnaturach.
• Miej plan reagowania na incydenty. Dokładne określenie, jakie kroki podjąć w pierwszej godzinie potwierdzonego naruszenia, znacząco ogranicza szkody. Wiele organizacji odkrywa, że nie ma udokumentowanego procesu, dopóki nie potrzebuje go pilnie.
• Segmentuj kopie zapasowe. Kopie przechowywane w tej samej sieci co główne systemy mogą zostać zaszyfrowane lub usunięte przez atakujących podczas okresu ich przebywania. Kopie offline lub niezmienne (immutable) stanowią osobną warstwę ochrony.

VPN pozostają naprawdę użytecznym narzędziem, szczególnie do zabezpieczania ruchu w niezaufanych sieciach i ochrony prywatności przed pasywną inwigilacją. Ale ich rola to jedna warstwa z wielu, a nie kompletna obrona.

Budowanie warstwowej strategii obrony

Najskuteczniejsze podejście do bezpieczeństwa traktuje detekcję na równi z prewencją. Prewencja nigdy nie jest doskonała, a dane potwierdzają, że atakujący stają się coraz lepsi w jej omijaniu. Organizacje i osoby, które inwestują tylko w powstrzymywanie atakujących przed dostaniem się do środka, nie robiąc nic, by wykryć ich w środku, są praktycznie ślepe w tym najważniejszym oknie czasu.

Warstwowa obrona oznacza łączenie narzędzi peryferyjnych, monitorowania punktów końcowych, analizy ruchu sieciowego, ścisłej kontroli dostępu i edukacji użytkowników. Żaden pojedynczy produkt nie zamyka wszystkich luk, dlatego branża bezpieczeństwa mówi o głębokiej obronie (defense in depth), a nie o jakiejś jednej srebrnej kuli.

Gwałtowny wzrost kradzieży danych przed wykryciem jest wyraźnym sygnałem, że środowisko zagrożeń dojrzało. Atakujący działają z większą dyscypliną i cierpliwością niż kiedykolwiek. Właściwą odpowiedzią jest dopasowanie tej dyscypliny równie przemyślaną, warstwową obroną, a nie reaktywnym zakupem narzędzi po incydencie.

Zacznij od audytu – jakie wrażliwe dane posiadasz, gdzie się one znajdują i kto ma do nich dostęp. Już sama ta widoczność daje ci przewagę nad większością celów.