58 % av CISO:er skulle betala lösensumma när fjärrendpunkter driver attacker

58 % av CISO:er skulle betala lösensumma när fjärrendpunkter driver attacker

En ny rapport från Absolute Security har satt ett exakt tal på ett problem som säkerhetsproffs har cirklat kring i flera år: ransomware-skydd för fjärrendpunkter och VPN är inte längre valfritt för distribuerade arbetsstyrkor. Enligt forskningen skulle 58 % av Chief Information Security Officers överväga att betala en lösensumma för att stoppa en attack, där driftstopp angavs som den primära drivkraften. Kanske ännu mer slående är att 57 % av de tillfrågade företagen rapporterade att ransomware-attacker härstammade från fjärr- eller hybridendpunktsenheter. Tillsammans målar dessa två siffror en tydlig bild av var företagssäkerheten brister och vad det kostar när det sker.

Hur fjärr- och hybridendpunkter blev ransomwares favoritingångspunkt

Övergången till distribuerat arbete skapade en vidsträckt attackyta som många organisationer aldrig fullt ut har kartlagt, än mindre säkrat. Fjärrendpunkter – oavsett om det rör sig om anställdas bärbara datorer som ansluter från hemnätverk, konsultenheter på offentligt Wi-Fi eller hybridarbetare som växlar mellan kontors- och fjärrmiljöer – befinner sig ofta utanför företagssäkerhetsteamens direkta synlighet. De kan köra föråldrad programvara, använda svag autentisering eller ansluta till företagssystem via felkonfigurerade tunnlar.

Angripare har lagt märke till detta. Remote Desktop Protocol (RDP) och VPN-uppgifter är fortfarande bland de mest utnyttjade initala åtkomstvektorerna i ransomware-kampanjer, och enheter vid fjärrendpunkter är ofta den första dominobrickan som faller. När en enda fjärrenhet väl har komprometterats använder angripare den som en fotfäste för att röra sig lateralt över nätverket, eskalera privilegier och distribuera ransomware-nyttolaster innan de flesta organisationer hinner upptäcka intrånget. Absolute Securitys resultat, som visar att 57 % av attackerna kan spåras tillbaka till fjärr- eller hybridendpunkter, bekräftar att detta inte är en marginell risk. Det är det dominerande attackmönstret.

Konsekvenserna av det mönstret sträcker sig långt bortom enskilda organisationer. ChipSoft-ransomware-attacken som exponerade nederländska patientdata illustrerar vad som händer när angripare framgångsrikt tar sig från en endpunkt in i ett system som lagrar känsliga uppgifter i stor skala. Vård, finans och kritisk infrastruktur möter alla förstärkta risker när deras arbetsstyrkor blir alltmer distribuerade.

Varför 58 % av CISO:er är villiga att betala – och vad det signalerar om beredskap

Viljan att betala en lösensumma framställs ofta som en moralisk eller juridisk fråga, men Absolute Securitys data omformulerar den som en operativ fråga. När 58 % av CISO:erna säger att de skulle överväga att betala, godkänner de inte kriminell verksamhet. De erkänner att deras återställningskapacitet kanske inte är tillräcklig för att absorbera driftstoppet efter en större attack utan att ta betydande ekonomiska och anseendemässiga skador.

Det är ett beredskapsproblem. Organisationer med robust, testad säkerhetskopierings- och återställningsinfrastruktur, kombinerat med starka incidentresponsplaner, är långt mindre benägna att hamna i en situation där betalning känns som det enda alternativet. Det faktum att mer än hälften av de tillfrågade säkerhetsledarna skulle överväga det antyder att många företag fortfarande är otillräckligt förberedda, särskilt när attacken härstammar från en endpunkt som befinner sig utanför traditionella säkerhetsgränser.

Det återspeglar också hur kostsamt driftstopp har blivit. Leveranskedjor, kundvända tjänster och interna verksamheter är alla beroende av kontinuerlig tillgång till system och data. När ransomware låser dessa system har varje timmes återställningstid ett mätbart dollarvärde. Det är den kalkylen – inte moralisk flexibilitet – som driver beslut om lösensummebetalningar. Och som FBI-direktörens egen e-postkompromiss tydliggjorde är ingen organisation eller individ kategoriskt immun mot riktade attacker.

Hur VPN-infrastruktur minskar attackytan och risken för lateral rörelse

Ett välimplementerat VPN är inte en universallösning, men det är ett grundläggande lager som, när det är korrekt konfigurerat, avsevärt minskar den exponering som fjärrendpunkter skapar. Krypterade tunnlar förhindrar avlyssning av autentiseringsuppgifter på osäkrade nätverk. Nätverkssegmentering som tillämpas genom VPN-policyer begränsar hur långt en angripare kan röra sig väl inne. Och centraliserade autentiseringskrav innebär att komprometterade enheter är mindre benägna att tyst traversera nätverket utan att upptäckas.

Det kritiska ordet är "korrekt." VPN-konfigurationer som förlitar sig på enfaktorsautentisering, som ger bred nätverksåtkomst snarare än avgränsade behörigheter, eller som förblir ouppgradera under längre perioder kan själva bli attackvektorer. Principen om lägsta privilegium, tillämpad på VPN-lagret, innebär att en komprometterad endpunkt bara kan nå de specifika resurser den behöver – inte hela företagsnätverket. Att para VPN-åtkomst med multifaktorautentisering och kontroller av endpunktshälsa innan anslutning skapar en meningsfull barriär som saktar ner angripare och ger försvarare tid att reagera.

För hybrida arbetsstyrkor specifikt är konsekvent tillämpning av VPN-policy på alla enhetstyper – inklusive personliga enheter som används för arbete – avgörande. Den attackyta som Absolute Securitys rapport beskriver är delvis ett policytillämpningsgap lika mycket som ett tekniskt sådant.

Vad distribuerade team kan göra nu för att härda sina endpunkter

Absolute Securitys resultat är en uppmaning till handling, inte bara reflektion. Organisationer med distribuerade arbetsstyrkor kan vidta konkreta åtgärder för att minska den risk som fjärrendpunkter representerar.

Granska ditt endpunktsinventar. Du kan inte skydda det du inte kan se. Ett komplett, aktuellt inventar över varje enhet som ansluter till företagssystem – inklusive konsult- och personliga enheter – är utgångspunkten för varje endpunktssäkerhetsstrategi.

Tillämpa MFA på alla VPN-anslutningar. Denna enskilda kontroll eliminerar en betydande kategori av autentiseringsbaserade attacker. Stulna lösenord ensamt bör inte vara tillräckligt för att få fjärråtkomst.

Segmentera nätverksåtkomst efter roll. Istället för att ge fjärranvändare bred nätverksåtkomst, konfigurera VPN-policyer så att varje användare eller enhetsklass bara kan nå de system som är relevanta för deras funktion. Detta begränsar lateral rörelse om en enhet komprometteras.

Uppgradera endpunkter och VPN-infrastruktur konsekvent. Många högprofilerade ransomware-intrång utnyttjar kända sårbarheter för vilka patchar redan finns. Automatiserad patchhantering eliminerar den mänskliga fördröjning som angripare förlitar sig på.

Testa din återställningsplan. Om en ransomware-attack drabbade dina mest kritiska system idag, hur lång tid skulle återställningen ta? Att regelbundet genomföra bordsövningar och tester av säkerhetskopieringsåterställning är det enda sättet att ärligt besvara den frågan och täppa till luckorna innan de spelar roll.

Absolute Securitys rapport är ett användbart riktmärke för var företagssäkerheten befinner sig just nu när det gäller ransomware-beredskap. Siffrorna är nedslående: en majoritet av attackerna börjar vid fjärrendpunkter, och en majoritet av säkerhetsledarna anser att betalning kan vara oundviklig. Men de pekar också direkt på vad som behöver förändras. Endpunktssynlighet, tillämpad VPN-policy och testad återställningskapacitet är inte exotiska kontroller. De är den baslinje som varje distribuerad organisation bör kunna verifiera. Att utvärdera om din nuvarande konfiguration faktiskt uppfyller den ribban är rätt ställe att börja.