58% dyrektorów ds. bezpieczeństwa zapłaciłoby okup, gdy zdalne punkty końcowe napędzają ataki

58% dyrektorów ds. bezpieczeństwa zapłaciłoby okup, gdy zdalne punkty końcowe napędzają ataki

Nowy raport firmy Absolute Security podał precyzyjną liczbę dotyczącą problemu, wokół którego specjaliści ds. bezpieczeństwa krążą od lat: ochrona zdalnych punktów końcowych przez VPN przed ransomware nie jest już opcjonalna dla rozproszonych zespołów. Zgodnie z badaniem, 58% Chief Information Security Officers rozważyłoby zapłacenie okupu w celu zakończenia ataku, przy czym jako główny czynnik wskazywano przestoje operacyjne. Być może jeszcze bardziej uderzające jest to, że 57% ankietowanych przedsiębiorstw zgłosiło, iż ataki ransomware pochodziły z zdalnych lub hybrydowych urządzeń końcowych. Razem te dwie liczby malują wyraźny obraz tego, gdzie bezpieczeństwo przedsiębiorstw zawodzi i ile kosztuje, gdy do tego dochodzi.

Jak zdalne i hybrydowe punkty końcowe stały się ulubionym wektorem ataku ransomware

Przejście na pracę rozproszoną stworzyło rozległą powierzchnię ataku, której wiele organizacji nigdy w pełni nie zmapowało, nie mówiąc już o jej zabezpieczeniu. Zdalne punkty końcowe — czy to laptopy pracowników łączących się z sieci domowych, urządzenia kontrahentów w publicznych sieciach Wi-Fi, czy pracownicy hybrydowi przełączający się między biurem a środowiskiem zdalnym — często znajdują się poza bezpośrednią widocznością zespołów bezpieczeństwa przedsiębiorstw. Mogą działać na przestarzałym oprogramowaniu, używać słabego uwierzytelniania lub łączyć się z systemami firmowymi przez nieprawidłowo skonfigurowane tunele.

Atakujący to zauważyli. Protokół Remote Desktop Protocol (RDP) i dane uwierzytelniające VPN pozostają jednymi z najczęściej wykorzystywanych wektorów początkowego dostępu w kampaniach ransomware, a urządzenia końcowe są często pierwszą kostką domina, która upada. Gdy jedno zdalne urządzenie zostaje skompromitowane, atakujący używają go jako przyczółka do poruszania się lateralnie po sieci, eskalując uprawnienia i wdrażając ładunki ransomware, zanim większość organizacji zdąży wykryć włamanie. Wyniki Absolute Security, pokazujące, że 57% ataków można prześledzić do zdalnych lub hybrydowych punktów końcowych, potwierdzają, że nie jest to marginalne ryzyko. Jest to dominujący wzorzec ataku.

Konsekwencje tego wzorca wykraczają daleko poza poszczególne organizacje. Atak ransomware na ChipSoft, który ujawnił dane holenderskich pacjentów ilustruje, co się dzieje, gdy atakującym udaje się przejść z punktu końcowego do systemu przechowującego wrażliwe dane na dużą skalę. Służba zdrowia, finanse i infrastruktura krytyczna — wszystkie napotykają narastające ryzyko wraz z tym, jak ich siły robocze stają się coraz bardziej rozproszone.

Dlaczego 58% dyrektorów ds. bezpieczeństwa jest gotowych zapłacić i co to mówi o poziomie przygotowania

Gotowość do zapłacenia okupu jest często ujmowana jako kwestia moralna lub prawna, lecz dane Absolute Security przeformułowują ją jako operacyjną. Gdy 58% dyrektorów ds. bezpieczeństwa mówi, że rozważyłoby zapłatę, nie popierają działalności przestępczej. Przyznają, że ich zdolności odtworzeniowe mogą nie być wystarczające do wchłonięcia przestojów następujących po poważnym ataku bez poniesienia znacznych szkód finansowych i wizerunkowych.

To jest problem gotowości. Organizacje dysponujące solidną, przetestowaną infrastrukturą tworzenia kopii zapasowych i odtwarzania, w połączeniu z silnymi planami reagowania na incydenty, są znacznie mniej narażone na sytuację, w której zapłata wydaje się jedyną opcją. Fakt, że ponad połowa ankietowanych liderów bezpieczeństwa rozważyłaby tę możliwość, sugeruje, że wiele przedsiębiorstw pozostaje niedostatecznie przygotowanych — szczególnie gdy atak pochodzi z punktu końcowego znajdującego się poza tradycyjnymi perymetrami bezpieczeństwa.

Odzwierciedla to również, jak kosztowne stały się przestoje. Łańcuchy dostaw, usługi skierowane do klientów i wewnętrzne operacje — wszystkie zależą od ciągłego dostępu do systemów i danych. Gdy ransomware blokuje te systemy, każda godzina czasu odtwarzania ma wymierną wartość pieniężną. To właśnie ta kalkulacja — a nie elastyczność moralna — napędza decyzje o płaceniu okupu. I jak jasno pokazał przypadek włamania na e-mail dyrektora FBI, żadna organizacja ani osoba nie jest kategorycznie odporna na ukierunkowane ataki.

Jak infrastruktura VPN zmniejsza powierzchnię ataku i ryzyko ruchu lateralnego

Dobrze wdrożony VPN nie jest złotym środkiem, ale stanowi fundamentalną warstwę, która — gdy jest prawidłowo skonfigurowana — znacząco zmniejsza narażenie, jakie tworzą zdalne punkty końcowe. Szyfrowane tunele zapobiegają przechwyceniu danych uwierzytelniających w niezabezpieczonych sieciach. Segmentacja sieci egzekwowana przez zasady VPN ogranicza zasięg ruchu atakującego po dostaniu się do środka. A scentralizowane wymagania uwierzytelniania oznaczają, że skompromitowane urządzenia są mniej skłonne do cichego przemierzania sieci bez wykrycia.

Kluczowym słowem jest „prawidłowo". Konfiguracje VPN opierające się na jednoskładnikowym uwierzytelnianiu, przyznające szeroki dostęp do sieci zamiast ograniczonych uprawnień lub pozostawiane bez aktualizacji przez dłuższy czas, same mogą stać się wektorami ataku. Zasada minimalnych uprawnień zastosowana na poziomie VPN oznacza, że skompromitowany punkt końcowy może dotrzeć tylko do konkretnych zasobów, których potrzebuje — a nie do całej sieci firmowej. Połączenie dostępu VPN z uwierzytelnianiem wieloskładnikowym i kontrolami stanu punktu końcowego przed nawiązaniem połączenia tworzy znaczącą barierę, która spowalnia atakujących i daje obrońcom czas na reakcję.

W przypadku hybrydowych sił roboczych w szczególności kluczowe jest spójne egzekwowanie zasad VPN na wszystkich typach urządzeń, w tym na urządzeniach osobistych używanych do pracy. Powierzchnia ataku opisana w raporcie Absolute Security jest po części luką w egzekwowaniu zasad w równym stopniu co techniczną.

Co mogą teraz zrobić rozproszone zespoły, aby wzmocnić swoje punkty końcowe

Wyniki Absolute Security są impulsem do działania, a nie tylko do refleksji. Organizacje z rozproszonymi siłami roboczymi mogą podjąć konkretne kroki w celu zmniejszenia ryzyka, jakie stanowią zdalne punkty końcowe.

Przeprowadź audyt inwentarza punktów końcowych. Nie możesz chronić tego, czego nie widzisz. Kompletny, aktualny inwentarz każdego urządzenia łączącego się z systemami firmowymi — w tym urządzeń kontrahentów i osobistych — jest punktem wyjścia dla każdej strategii bezpieczeństwa punktów końcowych.

Wymuś MFA na wszystkich połączeniach VPN. Ta pojedyncza kontrola eliminuje znaczną kategorię ataków opartych na danych uwierzytelniających. Same skradzione hasła nie powinny wystarczać do uzyskania zdalnego dostępu.

Segmentuj dostęp do sieci według roli. Zamiast przyznawać zdalnym użytkownikom szeroki dostęp do sieci, skonfiguruj zasady VPN tak, aby każdy użytkownik lub klasa urządzeń miała dostęp tylko do systemów związanych z jej funkcją. Ogranicza to ruch lateralny w przypadku skompromitowania urządzenia.

Aktualizuj punkty końcowe i infrastrukturę VPN w sposób ciągły. Wiele głośnych włamań ransomware wykorzystuje znane podatności, dla których łatki już istnieją. Zautomatyzowane zarządzanie aktualizacjami eliminuje ludzkie opóźnienie, na którym polegają atakujący.

Przetestuj swój plan odtwarzania. Gdyby atak ransomware uderzył dziś w Twoje najbardziej krytyczne systemy, jak długo trwałoby odtworzenie? Regularne przeprowadzanie ćwiczeń symulacyjnych i testów przywracania kopii zapasowych jest jedynym sposobem na uczciwe odpowiedzenie na to pytanie i zamknięcie luk, zanim staną się istotne.

Raport Absolute Security stanowi użyteczny punkt odniesienia dla oceny aktualnego stanu gotowości przedsiębiorstw na ataki ransomware. Liczby są trzeźwe: większość ataków rozpoczyna się od zdalnych punktów końcowych, a większość liderów bezpieczeństwa uważa, że zapłata może być nieunikniona. Wskazują one jednak bezpośrednio na to, co wymaga zmiany. Widoczność punktów końcowych, egzekwowane zasady VPN i przetestowane możliwości odtwarzania to nie są egzotyczne mechanizmy kontrolne. Są to standardy bazowe, które każda rozproszona organizacja powinna być w stanie zweryfikować. Ocena, czy Twoja obecna konfiguracja faktycznie spełnia te wymagania, to właściwe miejsce, od którego należy zacząć.