49 % av ransomware-offren förlorar data innan de upptäcker attacken

49 % av ransomware-offren förlorar data innan de upptäcker attacken

Ransomware har alltid varit ett smärtsamt problem, men en ny rapport avslöjar hur illa det står till med upptäckten: nästan hälften av alla ransomware-offer fick sina data stulna innan de ens insåg att en angripare fanns i deras nätverk. Den siffran har stigit kraftigt från 31 % året innan, vilket signalerar att hackare inte bara blir djärvare utan också betydligt mer tålmodiga och smygande.

Den genomsnittliga uppehållstiden innan upptäckt ligger nu på ungefär 2,5 veckor. Det är 17 dagar eller mer under vilka en angripare i lugn och ro kan kartlägga dina system, identifiera dina mest värdefulla filer och föra ut dem, allt innan ett enda larm utlöses.

Det verkliga hotet är exfiltrering, inte bara kryptering

De flesta föreställer sig ransomware som en dramatisk händelse: filer låses, en lösensumma visas, verksamheten stannar av. Den bilden blir alltmer föråldrad. Moderna ransomware-grupper har övergått till en tvåstegsstrategi. Först stjäl de data. Sedan, om och när de använder kryptering, håller de två separata hot över sina offer: betala för att återfå åtkomst, och betala igen för att förhindra att de stulna uppgifterna publiceras.

Detta tillvägagångssätt, ofta kallat dubbel utpressning, förändrar kalkylen helt. Även organisationer med robusta backupsystem som snabbt skulle kunna återställa krypterade filer står fortfarande inför exponering av känsliga kundregister, finansiella dokument eller immateriella tillgångar. Krypteringen är nästan sekundär i det läget.

Datastöld är ett återkommande inslag i utpressningsverksamheten i mer än hälften av fallen år efter år, vilket bekräftar att detta inte är en övergående trend. Det är nu det förinställda tillvägagångssättet.

Varför upptäckten halkar efter allt mer

Den växande klyftan mellan intrång och upptäckt pekar på några sammanfallande problem.

För det första använder angripare allt oftare legitima verktyg som redan finns i målets miljö. Säkerhetsprogram är utformade för att flagga okända skadeprogramssignaturer, men när en angripare använder inbyggda systemverktyg för att flytta filer ser dessa åtgärder ofta ut som normalt administratörsbeteende.

För det andra förlitar sig många organisationer fortfarande starkt på perimeterskydd. Brandväggar och krypterade tunnlar skyddar data under överföring, men när en angripare väl har giltiga inloggningsuppgifter eller har etablerat ett fotfäste inuti nätverket ger perimeterverktyg liten insyn i vad som händer i sidled.

För det tredje är larmtrötthet ett verkligt och väldokumenterat problem i säkerhetscentraler. När detektionssystem genererar tusentals larm med låg tillförlitlighet varje dag begravs äkta intrångssignaler. Angripare känner till detta och tidsstyr sin aktivitet för att smälta in i brusiga perioder.

Detta är också anledningen till att förlitande på ett enda verktyg, inklusive en VPN, skapar en falsk känsla av säkerhet. En VPN krypterar trafik mellan din enhet och internet, vilket skyddar data under överföring och döljer din IP-adress. Men den gör ingenting för att upptäcka eller blockera skadeprogram som redan körs på en komprometterad maskin, och den erbjuder ingen insyn i angripares beteende när inloggningsuppgifter väl har stulits. YouX-dataläckan i Australien, där angripare fick åtkomst till känslig identitetsdata hos ett fintech-företag, illustrerar hur sofistikerade intrång kan kringgå ytskydd och orsaka kaskadartade verkliga konsekvenser.

Vad detta betyder för dig

Oavsett om du är en enskild yrkesutövare eller en del av en organisations IT-team, bör den genomsnittliga uppehållstiden på 2,5 veckor förändra hur du tänker kring säkerhet.

Frågan är inte längre bara "hur håller jag angripare ute?" Den är lika mycket "hur snabbt skulle jag veta om någon redan var inne, och vad skulle de hitta?"

För privatpersoner och småföretag innebär detta:

• Anta att inloggningsuppgifter kan komprometteras. Använd multifaktorautentisering överallt, särskilt på e-post, molnlagring och alla verktyg för fjärråtkomst. Stulna inloggningsuppgifter är den vanligaste ingångspunkten.
• Begränsa vad som är åtkomligt. Alla system eller filresurser behöver inte vara nåbara från varje enhet. Begränsad åtkomst minskar vad en angripare kan nå efter att ha fått initialt tillträde.
• Övervaka avvikelser, inte bara kända hot. Slutpunktsdetektionsverktyg som flaggar ovanligt beteende, till exempel att ett användarkonto plötsligt får åtkomst till filer det aldrig rör, är mer värdefulla än enbart signaturbaserat antivirus.
• Ha en incidenthanteringsplan. Att veta exakt vilka steg som ska tas under den första timmen av ett bekräftat intrång begränsar skadan avsevärt. Många organisationer upptäcker att de saknar en dokumenterad process tills de desperat behöver en.
• Segmentera dina säkerhetskopior. Säkerhetskopior som lagras i samma nätverk som primära system kan krypteras eller raderas av angripare under uppehållsperioden. Offline- eller oföränderliga säkerhetskopior är ett separat skyddslager.

VPN:er förblir ett genuint användbart verktyg, särskilt för att säkra trafik på otillförlitliga nätverk och skydda integriteten mot passiv övervakning. Men deras roll är ett lager bland många, inte ett komplett försvar.

Bygg en försvarsstrategi med flera lager

Den mest effektiva säkerhetshållningen behandlar upptäckt som en likvärdig prioritet till förebyggande. Förebyggande är aldrig perfekt, och data bekräftar att angripare blir bättre på att kringgå det. Organisationer och individer som bara investerar i att hålla angripare ute, utan att göra något för att upptäcka dem när de väl är inne, är i praktiken blinda under det fönster som betyder mest.

Försvar med flera lager innebär att kombinera perimeterverktyg, slutpunktsövervakning, nätverkstrafikanalys, strikta åtkomstkontroller och användarutbildning. Ingen enskild produkt täpper till alla luckor, vilket är anledningen till att säkerhetsbranschen talar om djupförsvar snarare än någon enskild universalmedel.

Den kraftiga ökningen av datastöld före upptäckt är en tydlig signal om att hotmiljön har mognat. Angripare agerar med mer disciplin och tålamod än någonsin. Det lämpliga svaret är att matcha den disciplinen med lika genomtänkta, skiktade försvar snarare än reaktiva verktygsköp efter att en incident inträffat.

Börja med att inventera vilka känsliga data du innehar, var de finns och vem som kan komma åt dem. Enbart den insynen placerar dig före de flesta måltavlor.