49% dintre victimele ransomware pierd date înainte de a detecta atacul

49% dintre victimele ransomware pierd date înainte de a detecta atacul

Ransomware-ul a fost întotdeauna o problemă dureroasă, dar un nou raport dezvăluie cât de grav eșuează detectarea: aproape jumătate dintre victimele ransomware au avut datele furate înainte să realizeze măcar că un atacator se afla în rețeaua lor. Această cifră a crescut brusc de la 31% în anul precedent, semnalând că hackerii nu doar că devin mai îndrăzneți, ci considerabil mai răbdători și mai discreți.

Timpul mediu de persistență înainte de detectare se situează acum la aproximativ 2,5 săptămâni. Asta înseamnă 17 sau mai multe zile în care un atacator poate să îți cartografieze în liniște sistemele, să identifice cele mai valoroase fișiere și să le scoată pe ușă, totul înainte să se declanșeze vreo alertă.

Adevărata amenințare este exfiltrarea, nu doar criptarea

Majoritatea oamenilor își imaginează ransomware-ul ca pe un eveniment dramatic: fișierele se blochează, apare o notă de răscumpărare, operațiunile se opresc. Această imagine este din ce în ce mai depășită. Grupurile moderne de ransomware au trecut la o strategie în două etape. Mai întâi, fură datele. Apoi, dacă și atunci când implementează criptarea, își amenință victimele cu două lucruri separate: plătește pentru a restabili accesul și plătește din nou pentru a împiedica publicarea datelor furate.

Această abordare, numită adesea dublă extorcare, schimbă complet calculul. Chiar și organizațiile cu sisteme solide de backup care ar putea restaura rapid fișierele criptate se confruntă totuși cu expunerea dosarelor sensibile ale clienților, a documentelor financiare sau a proprietății intelectuale. Criptarea devine aproape secundară în acel moment.

Furtul de date rămâne o trăsătură constantă a activității de extorcare în mai mult de jumătate din cazuri, an după an, confirmând că aceasta nu este o tendință trecătoare. Este acum manualul de operare implicit.

De ce rămâne detectarea tot mai în urmă

Prăpastia tot mai mare dintre intruziune și detectare indică câteva probleme care converg.

În primul rând, atacatorii folosesc din ce în ce mai mult instrumente legitime care există deja în mediul țintei. Software-ul de securitate este conceput să semnaleze semnături necunoscute de malware, dar când un atacator folosește utilitare de sistem încorporate pentru a muta fișiere, aceste acțiuni arată adesea identic cu comportamentul normal al unui administrator.

În al doilea rând, multe organizații se bazează încă foarte mult pe apărarea perimetrală. Firewall-urile și tunelurile criptate protejează datele în tranzit, dar odată ce un atacator are credențiale valide sau și-a stabilit un punct de sprijin în interiorul rețelei, instrumentele perimetrale oferă puțină vizibilitate asupra a ceea ce se întâmplă lateral.

În al treilea rând, oboseala alertelor este o problemă reală și bine documentată în centrele de operațiuni de securitate. Când sistemele de detectare generează mii de alerte de fidelitate scăzută pe zi, semnalele autentice de intruziune sunt îngropate. Atacatorii știu acest lucru și își sincronizează activitatea pentru a se integra în perioadele zgomotoase.

Acesta este și motivul pentru care bazarea pe un singur instrument, inclusiv un VPN, creează un fals sentiment de securitate. Un VPN criptează traficul dintre dispozitivul tău și internet, ceea ce protejează datele în tranzit și îți maschează adresa IP. Dar nu face nimic pentru a detecta sau bloca malware-ul care rulează deja pe o mașină compromisă și nu oferă nicio vizibilitate asupra comportamentului atacatorului odată ce credențialele au fost furate. Breșa de date youX din Australia, unde atacatorii au accesat date de identitate sensibile la o firmă de tehnologie financiară, ilustrează cum intruziunile sofisticate pot ocoli protecțiile de suprafață și pot provoca consecințe în cascadă în lumea reală.

Ce înseamnă asta pentru tine

Indiferent dacă ești un profesionist individual sau faci parte din echipa IT a unei organizații, timpul mediu de persistență de 2,5 săptămâni ar trebui să reîncarce modul în care gândești despre securitate.

Întrebarea nu mai este doar „cum țin atacatorii afară?” Este, în egală măsură, „cât de repede aș ști dacă cineva era deja înăuntru și ce ar găsi?”

Pentru indivizi și afaceri mici, asta înseamnă:

• Presupune că credențialele pot fi compromise. Folosește autentificarea multifactor peste tot, în special pe email, stocare în cloud și orice instrumente de acces la distanță. Credențialele furate sunt cel mai frecvent punct de intrare.
• Limitează ce este accesibil. Nu fiecare sistem sau partajare de fișiere trebuie să fie accesibilă de pe fiecare dispozitiv. Restricționarea accesului reduce ceea ce un atacator poate atinge după intrarea inițială.
• Monitorizează anomaliile, nu doar amenințările cunoscute. Instrumentele de detecție la nivel de endpoint care semnalează comportamente neobișnuite, cum ar fi un cont de utilizator care accesează brusc fișiere pe care nu le atinge niciodată, sunt mai valoroase decât antivirusul bazat exclusiv pe semnături.
• Ai un plan de răspuns la incidente. Să știi exact ce pași să urmezi în prima oră de la o breșă confirmată limitează semnificativ daunele. Multe organizații descoperă că nu au niciun proces documentat până când au mare nevoie de unul.
• Segmentează-ți backup-urile. Backup-urile stocate în aceeași rețea cu sistemele primare pot fi criptate sau șterse de atacatori în perioada lor de persistență. Backup-urile offline sau imutabile reprezintă un strat separat de protecție.

VPN-urile rămân un instrument cu adevărat util, în special pentru securizarea traficului pe rețele nesigure și protejarea confidențialității împotriva supravegherii pasive. Dar rolul lor este un singur strat printre multe altele, nu o apărare completă.

Construirea unei strategii de apărare stratificate

Cea mai eficientă poziție de securitate tratează detectarea ca pe o prioritate egală cu prevenția. Prevenția nu este niciodată perfectă, iar datele confirmă că atacatorii devin tot mai buni la a o ocoli. Organizațiile și indivizii care investesc doar în a ține atacatorii afară, fără să facă nimic pentru a-i detecta odată ce sunt înăuntru, sunt efectiv orbi în fereastra care contează cel mai mult.

Apărarea stratificată înseamnă combinarea instrumentelor perimetrale, monitorizarea endpoint-urilor, analiza traficului de rețea, controale stricte de acces și educarea utilizatorilor. Niciun produs unic nu închide toate golurile, motiv pentru care industria de securitate vorbește despre apărare în profunzime, mai degrabă decât despre vreo soluție miraculoasă.

Creșterea accentuată a furtului de date înainte de detectare este un semnal clar că mediul amenințărilor s-a maturizat. Atacatorii operează cu mai multă disciplină și răbdare decât oricând. Răspunsul adecvat este să egalezi acea disciplină cu apărări la fel de deliberate și stratificate, mai degrabă decât cu achiziții reactive de instrumente după producerea unui incident.

Începe prin a audita ce date sensibile deții, unde se află și cine poate să le acceseze. Doar această vizibilitate te plasează înaintea majorității țintelor.