58% dintre CISO ar plăti răscumpărări pe măsură ce endpoint-urile remote alimentează atacurile

58% dintre CISO ar plăti răscumpărări pe măsură ce endpoint-urile remote alimentează atacurile

Un nou raport de la Absolute Security a pus un număr precis pe o problemă în jurul căreia profesioniștii în securitate se învârt de ani de zile: protecția VPN a endpoint-urilor remote împotriva ransomware nu mai este opțională pentru forțele de muncă distribuite. Conform cercetării, 58% dintre Chief Information Security Officers ar lua în considerare plata unei răscumpărări pentru a pune capăt unui atac, timpul de nefuncționare operațională fiind citat drept principalul factor determinant. Poate și mai izbitoare, 57% dintre întreprinderile chestionate au raportat că atacurile ransomware au provenit de la dispozitive endpoint remote sau hibride. Împreună, aceste două cifre conturează o imagine clară a locului unde securitatea întreprinderilor eșuează și a costurilor pe care le implică acest lucru.

Cum au devenit endpoint-urile remote și hibride punctul de intrare preferat al ransomware-ului

Tranziția către munca distribuită a creat o suprafață de atac extinsă pe care multe organizații nu au cartografiat-o niciodată complet, cu atât mai puțin securizat-o. Endpoint-urile remote — fie că este vorba despre laptopurile angajaților conectați din rețele de acasă, dispozitivele contractorilor pe Wi-Fi public sau ale lucrătorilor hibrid care comută între mediul de birou și cel remote — se află adesea în afara vizibilității directe a echipelor de securitate ale întreprinderilor. Acestea pot rula software învechit, pot utiliza autentificare slabă sau se pot conecta la sistemele corporative prin tuneluri configurate necorespunzător.

Atacatorii au observat acest lucru. Protocolul Remote Desktop (RDP) și acreditările VPN rămân printre cei mai frecvent exploatați vectori de acces inițial în campaniile ransomware, iar dispozitivele endpoint sunt adesea primul domino care cade. Odată ce un singur dispozitiv remote este compromis, atacatorii îl folosesc ca punct de sprijin pentru a se deplasa lateral prin rețea, escaladând privilegiile și implementând payload-uri ransomware înainte ca majoritatea organizațiilor să aibă timp să detecteze intruziunea. Constatările Absolute Security, care arată că 57% dintre atacuri pot fi urmărite înapoi la endpoint-uri remote sau hibride, confirmă că acesta nu este un risc marginal. Este modelul dominant de atac.

Consecințele acestui model depășesc cu mult organizațiile individuale. Atacul ransomware ChipSoft care a expus datele pacienților olandezi ilustrează ce se întâmplă când atacatorii traversează cu succes de la un endpoint către un sistem care deține înregistrări sensibile la scară largă. Sectorul sănătății, finanțele și infrastructura critică se confruntă cu riscuri cumulative pe măsură ce forțele lor de muncă devin mai distribuite.

De ce 58% dintre CISO sunt dispuși să plătească și ce semnalează asta despre gradul de pregătire

Disponibilitatea de a plăti o răscumpărare este adesea prezentată ca o chestiune morală sau juridică, însă datele Absolute Security o recadrează ca pe una operațională. Când 58% dintre CISO spun că ar lua în considerare plata, nu susțin activitatea criminală. Ei recunosc că capacitățile lor de recuperare ar putea fi insuficiente pentru a absorbi timpul de nefuncționare care urmează unui atac major, fără a accepta daune financiare și reputaționale semnificative.

Aceasta este o problemă de pregătire. Organizațiile cu o infrastructură robustă și testată de backup și recuperare, combinată cu planuri solide de răspuns la incidente, sunt mult mai puțin predispuse să se confrunte cu o situație în care plata pare singura opțiune. Faptul că mai mult de jumătate dintre liderii de securitate chestionați ar lua în considerare această variantă sugerează că multe întreprinderi rămân insuficient pregătite, în special când atacul provine dintr-un endpoint aflat în afara perimetrelor tradiționale de securitate.

Aceasta reflectă, de asemenea, cât de costisitor a devenit timpul de nefuncționare. Lanțurile de aprovizionare, serviciile orientate către clienți și operațiunile interne depind toate de accesul continuu la sisteme și date. Când ransomware-ul blochează acele sisteme, fiecare oră de recuperare are o valoare monetară măsurabilă. Acest calcul — nu flexibilitatea morală — este cel care determină deciziile de plată a răscumpărărilor. Și, așa cum a demonstrat compromiterea e-mailului directorului FBI, nicio organizație sau persoană nu este categoric imună la atacuri țintite.

Cum reduce infrastructura VPN suprafața de atac și riscul de mișcare laterală

Un VPN bine implementat nu este un remediu universal, dar reprezintă un strat fundamental care, atunci când este configurat corect, reduce semnificativ expunerea creată de endpoint-urile remote. Tunelurile criptate previn interceptarea acreditărilor pe rețele nesecurizate. Segmentarea rețelei aplicată prin politicile VPN limitează cât de departe se poate deplasa un atacator odată ajuns înăuntru. Iar cerințele de autentificare centralizată înseamnă că dispozitivele compromise sunt mai puțin susceptibile să traverseze rețeaua nedetectate.

Cuvântul cheie este „corect". Configurațiile VPN care se bazează pe autentificare cu un singur factor, care acordă acces larg la rețea în loc de permisiuni delimitate, sau care rămân neactualizate perioade îndelungate pot deveni ele însele vectori de atac. Principiul privilegiului minim, aplicat la nivelul VPN, înseamnă că un endpoint compromis poate accesa doar resursele specifice de care are nevoie, nu întreaga rețea corporativă. Combinarea accesului VPN cu autentificarea multi-factor și verificările de sănătate ale endpoint-ului înainte de conectare creează o barieră semnificativă care încetinește atacatorii și oferă apărătorilor timp să reacționeze.

Pentru forțele de muncă hibride în special, aplicarea consecventă a politicilor VPN pe toate tipurile de dispozitive — inclusiv dispozitivele personale folosite în scop profesional — este esențială. Suprafața de atac descrisă în raportul Absolute Security reprezintă, în parte, o lacună în aplicarea politicilor la fel de mult ca una tehnică.

Ce pot face echipele distribuite acum pentru a-și întări endpoint-urile

Constatările Absolute Security reprezintă un îndemn la acțiune, nu doar la reflecție. Organizațiile cu forțe de muncă distribuite pot lua măsuri concrete pentru a reduce riscul pe care îl reprezintă endpoint-urile remote.

Auditați inventarul endpoint-urilor. Nu puteți proteja ceea ce nu puteți vedea. Un inventar complet și actualizat al fiecărui dispozitiv care se conectează la sistemele corporative — inclusiv dispozitivele contractorilor și cele personale — este punctul de plecare pentru orice strategie de securitate a endpoint-urilor.

Aplicați MFA pentru toate conexiunile VPN. Acest singur control elimină o categorie semnificativă de atacuri bazate pe acreditări. Parolele furate singure nu ar trebui să fie suficiente pentru a obține acces remote.

Segmentați accesul la rețea în funcție de rol. În loc să acordați utilizatorilor remote acces larg la rețea, configurați politicile VPN astfel încât fiecare utilizator sau clasă de dispozitive să poată accesa doar sistemele relevante pentru funcția sa. Aceasta limitează mișcarea laterală în cazul compromiterii unui dispozitiv.

Actualizați consecvent endpoint-urile și infrastructura VPN. Multe intruziuni ransomware de profil înalt exploatează vulnerabilități cunoscute pentru care există deja patch-uri. Gestionarea automată a patch-urilor elimină întârzierea umană pe care atacatorii o exploatează.

Testați-vă planul de recuperare. Dacă un atac ransomware ar lovi astăzi cele mai critice sisteme ale dumneavoastră, cât timp ar dura recuperarea? Efectuarea regulată de exerciții tabletop și teste de restaurare a backup-urilor este singura modalitate de a răspunde sincer la această întrebare și de a remedia lacunele înainte ca ele să conteze.

Raportul Absolute Security reprezintă un reper util pentru situația actuală a securității întreprinderilor în ceea ce privește pregătirea împotriva ransomware-ului. Cifrele sunt îngrijorătoare: majoritatea atacurilor pornesc de la endpoint-uri remote, iar majoritatea liderilor de securitate consideră că plata ar putea fi inevitabilă. Dar ele indică direct și ce trebuie schimbat. Vizibilitatea endpoint-urilor, politicile VPN aplicate și capacitățile de recuperare testate nu sunt controale exotice. Ele reprezintă standardul de bază pe care fiecare organizație distribuită ar trebui să îl poată verifica. Evaluarea dacă configurația actuală îndeplinește cu adevărat acest standard este locul potrivit de unde să începeți.