49% жертв программ-вымогателей теряют данные до обнаружения атаки

49% жертв программ-вымогателей теряют данные до обнаружения атаки

Программы-вымогатели всегда были серьёзной проблемой, но новый отчёт показывает, насколько плохо работает обнаружение: почти половина всех жертв лишилась своих данных ещё до того, как поняла, что злоумышленник уже находится внутри их сети. Этот показатель резко вырос с 31% в предыдущем году, указывая на то, что хакеры становятся не только более дерзкими, но и значительно более терпеливыми и скрытными.

Среднее время присутствия злоумышленника до обнаружения теперь составляет примерно 2,5 недели. Это 17 или более дней, в течение которых атакующий может незаметно составить карту ваших систем, определить самые ценные файлы и вывести их за пределы сети — всё до того, как сработает хоть одно предупреждение.

Настоящая угроза — это эксфильтрация, а не просто шифрование

Большинство представляет себе атаку вымогателей как драматическое событие: файлы блокируются, появляется записка с требованием выкупа, работа парализуется. Эта картина всё более устаревает. Современные группы вымогателей перешли к двухэтапной стратегии. Сначала они крадут данные. Затем, если и когда применяют шифрование, они угрожают жертве двумя разными способами: заплатить, чтобы восстановить доступ, и заплатить снова, чтобы украденные данные не были опубликованы.

Этот подход, часто называемый двойным вымогательством, полностью меняет расчёты. Даже организации с надёжными системами резервного копирования, способные быстро восстановить зашифрованные файлы, всё равно сталкиваются с риском раскрытия конфиденциальных записей клиентов, финансовых документов или интеллектуальной собственности. Шифрование в таком случае становится почти второстепенным.

Тот факт, что кража данных остаётся постоянным элементом вымогательской активности в более чем половине случаев из года в год, подтверждает: это не временная тенденция. Теперь это стандартная схема действий.

Почему обнаружение всё больше отстаёт

Растущий разрыв между проникновением и обнаружением указывает на несколько сходящихся проблем.

Во-первых, атакующие всё чаще используют легитимные инструменты, уже существующие в среде цели. Защитное ПО рассчитано на обнаружение незнакомых сигнатур вредоносных программ, но когда атакующий использует встроенные системные утилиты для перемещения файлов, эти действия часто выглядят неотличимо от нормального поведения администратора.

Во-вторых, многие организации по-прежнему сильно полагаются на периметральную защиту. Межсетевые экраны и зашифрованные туннели защищают данные при передаче, но как только атакующий получает действительные учётные данные или закрепляется внутри сети, периметральные инструменты почти не дают видимости того, что происходит горизонтально внутри сети.

В-третьих, усталость от предупреждений — реальная и хорошо задокументированная проблема в центрах управления безопасностью. Когда системы обнаружения генерируют тысячи низкокачественных предупреждений в день, настоящие сигналы вторжения тонут в этом шуме. Атакующие знают это и приурочивают свою активность к наиболее шумным периодам, чтобы слиться с общим потоком.

Именно поэтому полагаться на один-единственный инструмент, включая VPN, создаёт ложное чувство безопасности. VPN шифрует трафик между вашим устройством и интернетом, что защищает данные при передаче и маскирует ваш IP-адрес. Но он ничего не делает для обнаружения или блокировки вредоносного ПО, уже работающего на скомпрометированной машине, и не даёт видимости поведения атакующего после кражи учётных данных. Утечка данных в youX в Австралии, где атакующие получили доступ к конфиденциальным идентификационным данным в финтех-компании, показывает, как изощрённые вторжения могут обходить поверхностную защиту и вызывать каскадные последствия в реальном мире.

Что это значит для вас

Будь вы отдельным профессионалом или частью ИТ-команды организации, среднее время присутствия злоумышленника в 2,5 недели должно изменить ваш взгляд на безопасность.

Вопрос больше не только в том, «как не пустить атакующих внутрь?». В равной степени важно: «как быстро я узнаю, что кто-то уже внутри, и что он найдёт?»

Для частных лиц и малого бизнеса это означает:

• Исходите из того, что учётные данные могут быть скомпрометированы. Используйте многофакторную аутентификацию везде, особенно для электронной почты, облачных хранилищ и любых инструментов удалённого доступа. Украденные учётные данные — самый распространённый способ проникновения.
• Ограничьте доступное. Не каждая система или общая папка должны быть доступны с каждого устройства. Ограничение доступа сужает то, до чего атакующий может добраться после первоначального проникновения.
• Отслеживайте аномалии, а не только известные угрозы. Инструменты обнаружения на конечных точках, которые отмечают необычное поведение, например, когда учётная запись внезапно обращается к файлам, с которыми никогда не работала, ценнее, чем только антивирус на основе сигнатур.
• Имейте план реагирования на инциденты. Чёткое знание шагов, которые нужно предпринять в первый час после подтверждённой утечки, значительно ограничивает ущерб. Многие организации обнаруживают, что у них нет задокументированного процесса, именно тогда, когда он остро необходим.
• Сегментируйте резервные копии. Резервные копии, хранящиеся в той же сети, что и основные системы, могут быть зашифрованы или удалены атакующими в период их присутствия. Автономные или неизменяемые резервные копии — это отдельный уровень защиты.

VPN остаются действительно полезным инструментом, особенно для защиты трафика в ненадёжных сетях и сохранения приватности от пассивного наблюдения. Но их роль — один из многих слоёв, а не полная защита.

Построение эшелонированной стратегии защиты

Самая эффективная модель безопасности рассматривает обнаружение как равный по важности приоритет наряду с предотвращением. Предотвращение никогда не бывает идеальным, и данные подтверждают, что атакующие всё лучше его обходят. Организации и частные лица, которые вкладываются только в то, чтобы не пустить атакующих внутрь, и ничего не делают для их обнаружения внутри, фактически слепы в самый критический промежуток времени.

Эшелонированная защита означает сочетание периметральных инструментов, мониторинга конечных точек, анализа сетевого трафика, строгих мер контроля доступа и обучения пользователей. Ни один продукт не закрывает все пробелы, вот почему в сфере безопасности говорят об эшелонированной защите, а не о какой-то «серебряной пуле».

Резкий рост случаев кражи данных до обнаружения — это явный сигнал, что среда угроз стала более зрелой. Атакующие действуют дисциплинированнее и терпеливее, чем когда-либо. Правильная реакция — противопоставить этой дисциплине столь же продуманную, эшелонированную защиту, а не реактивные покупки инструментов после инцидента.

Начните с аудита того, какие конфиденциальные данные вы храните, где они находятся и кто имеет к ним доступ. Уже одна эта видимость ставит вас впереди большинства потенциальных целей.