49% ของเหยื่อแรนซัมแวร์สูญเสียข้อมูลก่อนที่จะตรวจพบการโจมตี
แรนซัมแวร์เป็นปัญหาที่สร้างความเจ็บปวดเสมอมา แต่รายงานฉบับใหม่เผยให้เห็นว่าการตรวจจับล้มเหลวอย่างหนัก: เกือบครึ่งหนึ่งของเหยื่อแรนซัมแวร์ถูกขโมยข้อมูลก่อนที่พวกเขาจะรู้ตัวด้วยซ้ำว่ามีผู้โจมตีอยู่ในเครือข่ายของตน ตัวเลขดังกล่าวเพิ่มขึ้นอย่างก้าวกระโดดจาก 31% ในปีก่อนหน้า ซึ่งบ่งชี้ว่าแฮกเกอร์ไม่เพียงแต่กล้าขึ้นเท่านั้น แต่ยังมีความอดทนและแอบแฝงมากขึ้นอย่างเห็นได้ชัด
ระยะเวลาพำนักเฉลี่ยก่อนการตรวจจับตอนนี้อยู่ที่ประมาณ 2.5 สัปดาห์ นั่นคือ 17 วันหรือมากกว่าที่ผู้โจมตีสามารถทำแผนที่ระบบของคุณ ระบุไฟล์ที่มีค่าที่สุด และเคลื่อนย้ายออกไปได้อย่างเงียบเชียบ ก่อนที่การแจ้งเตือนแม้แต่ครั้งเดียวจะทำงาน
ภัยคุกคามที่แท้จริงคือการขโมยข้อมูล ไม่ใช่แค่การเข้ารหัส
คนส่วนใหญ่มองว่าแรนซัมแวร์เป็นเหตุการณ์ที่ดราม่า: ไฟล์ถูกล็อก ข้อความเรียกค่าไถ่ปรากฏขึ้น การดำเนินงานหยุดชะงัก ภาพนั้นล้าสมัยลงไปเรื่อยๆ กลุ่มแรนซัมแวร์ยุคใหม่เปลี่ยนมาใช้กลยุทธ์สองขั้นตอน ขั้นแรก พวกเขาขโมยข้อมูล จากนั้น หากและเมื่อพวกเขาปล่อยการเข้ารหัส พวกเขาก็จะมีภัยคุกคามสองประการต่อเหยื่อ: จ่ายเพื่อกู้คืนการเข้าถึง และจ่ายอีกครั้งเพื่อป้องกันไม่ให้ข้อมูลที่ถูกขโมยถูกเผยแพร่
แนวทางนี้ ซึ่งมักเรียกว่าการขู่กรรโชกสองต่อ เปลี่ยนแปลงการคำนวณโดยสิ้นเชิง แม้แต่องค์กรที่มีระบบสำรองข้อมูลที่แข็งแกร่งซึ่งสามารถกู้คืนไฟล์ที่เข้ารหัสได้อย่างรวดเร็ว ก็ยังคงเผชิญกับการรั่วไหลของบันทึกลูกค้าที่ละเอียดอ่อน เอกสารทางการเงิน หรือทรัพย์สินทางปัญญา การเข้ารหัสแทบจะกลายเป็นเรื่องรองเมื่อถึงจุดนั้น
การขโมยข้อมูลยังคงเป็นลักษณะเด่นที่สม่ำเสมอของกิจกรรมขู่กรรโชกในมากกว่าครึ่งหนึ่งของกรณีเมื่อเทียบปีต่อปี ยืนยันว่านี่ไม่ใช่แนวโน้มชั่วคราว แต่มันกลายเป็นคู่มือเริ่มต้นไปแล้ว
เหตุใดการตรวจจับจึงล้าหลังมากขึ้นเรื่อยๆ
ช่องว่างที่ขยายกว้างขึ้นระหว่างการบุกรุกและการตรวจจับชี้ให้เห็นถึงปัญหาที่มาบรรจบกันหลายประการ
ประการแรก ผู้โจมตีใช้เครื่องมือที่ถูกต้องตามกฎหมายซึ่งมีอยู่แล้วในสภาพแวดล้อมของเป้าหมายมากขึ้น ซอฟต์แวร์รักษาความปลอดภัยถูกออกแบบมาเพื่อตรวจจับลายเซ็นมัลแวร์ที่ไม่คุ้นเคย แต่เมื่อผู้โจมตีใช้ยูทิลิตี้ในตัวของระบบเพื่อเคลื่อนย้ายไฟล์ การกระทำเหล่านั้นมักดูแยกไม่ออกจากพฤติกรรมปกติของผู้ดูแลระบบ
ประการที่สอง หลายองค์กรยังคงพึ่งพาการป้องกันที่ขอบเขตเครือข่ายอย่างมาก ไฟร์วอลล์และอุโมงค์เข้ารหัสปกป้องข้อมูลระหว่างการส่งผ่าน แต่เมื่อผู้โจมตีมีข้อมูลรับรองที่ถูกต้องหรือได้ตั้งหลักภายในเครือข่ายแล้ว เครื่องมือที่ขอบเขตจะให้การมองเห็นเพียงเล็กน้อยว่าเกิดอะไรขึ้นในแนวราบ
ประการที่สาม ความล้าจากการแจ้งเตือนเป็นปัญหาจริงที่มีการบันทึกไว้อย่างดีในศูนย์ปฏิบัติการรักษาความปลอดภัย เมื่อระบบตรวจจับสร้างการแจ้งเตือนที่มีความแม่นยำต่ำหลายพันรายการต่อวัน สัญญาณการบุกรุกที่แท้จริงจะถูกกลบฝัง ผู้โจมตีรู้เรื่องนี้และกำหนดเวลากิจกรรมให้กลมกลืนไปกับช่วงเวลาที่มีเสียงรบกวนมาก
นี่คือเหตุผลว่าทำไมการพึ่งพาเครื่องมือเดียว รวมถึง VPN จึงสร้างความรู้สึกปลอดภัยที่ผิดพลาด VPN เข้ารหัสการรับส่งข้อมูลระหว่างอุปกรณ์ของคุณกับอินเทอร์เน็ต ซึ่งปกป้องข้อมูลระหว่างการส่งและปิดบังที่อยู่ IP ของคุณ แต่มันไม่ได้ทำอะไรเพื่อตรวจจับหรือบล็อกมัลแวร์ที่ทำงานอยู่แล้วบนเครื่องที่ถูกบุกรุก และมันไม่ได้ให้การมองเห็นใดๆ ต่อพฤติกรรมของผู้โจมตีเมื่อข้อมูลรับรองถูกขโมยไปแล้ว การรั่วไหลของข้อมูล youX ในออสเตรเลีย ซึ่งผู้โจมตีเข้าถึงข้อมูลประจำตัวที่ละเอียดอ่อนที่บริษัทฟินเทคแห่งหนึ่ง แสดงให้เห็นว่าการบุกรุกที่ซับซ้อนสามารถหลีกเลี่ยงการปกป้องระดับพื้นผิวและก่อให้เกิดผลกระทบต่อเนื่องในโลกแห่งความจริงได้อย่างไร
สิ่งนี้มีความหมายอย่างไรต่อคุณ
ไม่ว่าคุณจะเป็นผู้เชี่ยวชาญรายบุคคลหรือเป็นส่วนหนึ่งของทีมไอทีขององค์กร ระยะเวลาพำนักเฉลี่ย 2.5 สัปดาห์ควรปรับกรอบวิธีคิดของคุณเกี่ยวกับความปลอดภัย
คำถามไม่ได้มีเพียงแค่ "ฉันจะป้องกันไม่ให้ผู้โจมตีเข้ามาได้อย่างไร" อีกต่อไป แต่ยังรวมถึง "ฉันจะรู้ได้เร็วแค่ไหนหากมีใครบางคนเข้ามาอยู่แล้ว และพวกเขาจะพบอะไร"
สำหรับบุคคลทั่วไปและธุรกิจขนาดเล็ก นี่หมายถึง:
- สันนิษฐานว่าข้อมูลรับรองอาจถูกบุกรุก ใช้การยืนยันตัวตนแบบหลายปัจจัยในทุกที่ โดยเฉพาะกับอีเมล ที่เก็บข้อมูลบนคลาวด์ และเครื่องมือการเข้าถึงระยะไกลใดๆ ข้อมูลรับรองที่ถูกขโมยเป็นจุดเริ่มต้นที่พบบ่อยที่สุด
- จำกัดสิ่งที่เข้าถึงได้ ไม่ใช่ว่าทุกระบบหรือการแชร์ไฟล์จะต้องเข้าถึงได้จากทุกอุปกรณ์ การจำกัดการเข้าถึงจะลดสิ่งที่ผู้โจมตีสามารถเข้าถึงได้หลังจากที่เข้ามาในขั้นต้น
- เฝ้าติดตามความผิดปกติ ไม่ใช่แค่ภัยคุกคามที่รู้จัก เครื่องมือตรวจจับบนเอนด์พอยต์ที่ส่งสัญญาณพฤติกรรมที่ผิดปกติ เช่น บัญชีผู้ใช้ที่อยู่ๆ ก็เข้าถึงไฟล์ที่มันไม่เคยแตะต้อง มีค่ามากกว่าแค่แอนตี้ไวรัสที่อาศัยลายเซ็นเพียงอย่างเดียว
- มีแผนการตอบสนองต่อเหตุการณ์ การรู้อย่างแน่ชัดว่าต้องดำเนินการขั้นตอนใดในชั่วโมงแรกของการยืนยันการละเมิดจะจำกัดความเสียหายได้อย่างมีนัยสำคัญ หลายองค์กรพบว่าพวกเขาไม่มีกระบวนการที่บันทึกไว้จนกว่าจะต้องการมันอย่างมาก
- แยกส่วนข้อมูลสำรองของคุณ ข้อมูลสำรองที่เก็บไว้บนเครือข่ายเดียวกับระบบหลักสามารถถูกเข้ารหัสหรือลบโดยผู้โจมตีในช่วงเวลาพำนักของพวกมัน ข้อมูลสำรองแบบออฟไลน์หรือที่ไม่สามารถเปลี่ยนแปลงได้เป็นชั้นการป้องกันที่แยกต่างหาก
VPN ยังคงเป็นเครื่องมือที่มีประโยชน์อย่างแท้จริง โดยเฉพาะอย่างยิ่งสำหรับการรักษาความปลอดภัยการรับส่งข้อมูลบนเครือข่ายที่ไม่น่าไว้วางใจและการปกป้องความเป็นส่วนตัวจากการสอดแนมแบบไม่ตั้งใจ แต่บทบาทของมันเป็นเพียงหนึ่งในหลายๆ ชั้น ไม่ใช่การป้องกันที่สมบูรณ์
การสร้างกลยุทธ์การป้องกันแบบหลายชั้น
สถานะด้านความปลอดภัยที่มีประสิทธิภาพสูงสุดถือว่าการตรวจจับมีความสำคัญเทียบเท่ากับการป้องกัน การป้องกันไม่เคยสมบูรณ์แบบ และข้อมูลยืนยันว่าผู้โจมตีกำลังเก่งขึ้นในการหลีกเลี่ยงมัน องค์กรและบุคคลที่ลงทุนเพียงเพื่อป้องกันไม่ให้ผู้โจมตีเข้ามา โดยไม่ทำอะไรเพื่อตรวจจับพวกมันเมื่อเข้ามาแล้ว ก็คือตาบอดในช่วงเวลาที่สำคัญที่สุดอย่างแท้จริง
การป้องกันแบบหลายชั้นหมายถึงการรวมเครื่องมือที่ขอบเขต การเฝ้าติดตามเอนด์พอยต์ การวิเคราะห์ทราฟฟิกเครือข่าย การควบคุมการเข้าถึงที่เข้มงวด และการให้ความรู้แก่ผู้ใช้ ไม่มีผลิตภัณฑ์ใดเพียงตัวเดียวที่ปิดช่องโหว่ได้ทั้งหมด นั่นคือเหตุผลที่อุตสาหกรรมความปลอดภัยพูดถึงการป้องกันเชิงลึกมากกว่าวิธีแก้ปัญหาเพียงอย่างเดียวที่วิเศษ
การเพิ่มขึ้นอย่างรวดเร็วของการขโมยข้อมูลก่อนการตรวจจับเป็นสัญญาณที่ชัดเจนว่าสภาพแวดล้อมของภัยคุกคามได้เติบโตเต็มที่แล้ว ผู้โจมตีกำลังปฏิบัติงานด้วยระเบียบวินัยและความอดทนมากกว่าที่เคย การตอบสนองที่เหมาะสมคือการจับคู่วินัยนั้นด้วยการป้องกันแบบหลายชั้นที่ตั้งใจไม่แพ้กัน แทนที่จะซื้อเครื่องมือตามปฏิกิริยาหลังจากเกิดเหตุการณ์
เริ่มต้นด้วยการตรวจสอบว่าคุณเก็บข้อมูลที่ละเอียดอ่อนอะไรบ้าง มันอยู่ที่ไหน และใครสามารถเข้าถึงมันได้บ้าง การมองเห็นนั้นเพียงอย่างเดียวก็ทำให้คุณนำหน้าเป้าหมายส่วนใหญ่แล้ว
