58% ของ CISO ยอมจ่ายค่าไถ่ขณะที่ Remote Endpoint กลายเป็นต้นตอของการโจมตี
รายงานใหม่จาก Absolute Security ได้ระบุตัวเลขที่ชัดเจนสำหรับปัญหาที่ผู้เชี่ยวชาญด้านความปลอดภัยวนเวียนอยู่มาหลายปี นั่นคือการปกป้อง ransomware remote endpoint VPN ไม่ใช่ทางเลือกอีกต่อไปสำหรับองค์กรที่มีพนักงานกระจายอยู่ทั่ว จากผลการวิจัย พบว่า 58% ของ Chief Information Security Officer จะพิจารณาจ่ายค่าไถ่เพื่อยุติการโจมตี โดยมีการหยุดชะงักของการดำเนินงานเป็นปัจจัยหลัก ที่น่าสังเกตยิ่งกว่านั้น 57% ขององค์กรที่ถูกสำรวจรายงานว่าการโจมตี ransomware มีต้นตอมาจากอุปกรณ์ remote หรือ hybrid endpoint สองตัวเลขนี้รวมกันสะท้อนภาพที่ชัดเจนว่าการรักษาความปลอดภัยขององค์กรกำลังล้มเหลวตรงจุดใด และมีต้นทุนสูงเพียงใดเมื่อล้มเหลว
Remote และ Hybrid Endpoint กลายเป็นช่องทางโปรดของ Ransomware ได้อย่างไร
การเปลี่ยนผ่านสู่การทำงานแบบกระจายได้สร้างพื้นที่โจมตีที่กว้างขวาง ซึ่งหลายองค์กรยังไม่เคยทำแผนที่ครบถ้วน ไม่ต้องพูดถึงการรักษาความปลอดภัยอย่างเต็มรูปแบบ Remote endpoint ไม่ว่าจะเป็นแล็ปท็อปของพนักงานที่เชื่อมต่อจากเครือข่ายที่บ้าน อุปกรณ์ของผู้รับเหมาบน Wi-Fi สาธารณะ หรือพนักงาน hybrid ที่สลับไปมาระหว่างสำนักงานและการทำงานระยะไกล มักอยู่นอกเหนือการมองเห็นโดยตรงของทีมรักษาความปลอดภัยองค์กร อุปกรณ์เหล่านี้อาจรันซอฟต์แวร์ที่ล้าสมัย ใช้การยืนยันตัวตนที่อ่อนแอ หรือเชื่อมต่อกับระบบองค์กรผ่านช่องทางที่ตั้งค่าไม่ถูกต้อง
ผู้โจมตีสังเกตเห็นสิ่งนี้แล้ว ข้อมูลรับรอง Remote Desktop Protocol (RDP) และ VPN ยังคงเป็นช่องทางการเข้าถึงเบื้องต้นที่ถูกใช้ประโยชน์บ่อยที่สุดในการโจมตี ransomware และอุปกรณ์ endpoint มักเป็นโดมิโนตัวแรกที่ล้ม เมื่ออุปกรณ์ระยะไกลเครื่องเดียวถูกบุกรุก ผู้โจมตีจะใช้เป็นจุดพักฐานเพื่อเคลื่อนที่ไปด้านข้างผ่านเครือข่าย ยกระดับสิทธิ์และปรับใช้ ransomware payload ก่อนที่องค์กรส่วนใหญ่จะมีเวลาตรวจพบการบุกรุก ผลการวิจัยของ Absolute Security ที่แสดงว่า 57% ของการโจมตีสืบย้อนไปยัง remote หรือ hybrid endpoint ยืนยันว่านี่ไม่ใช่ความเสี่ยงที่อยู่ชายขอบ แต่เป็นรูปแบบการโจมตีที่โดดเด่นที่สุด
ผลที่ตามมาของรูปแบบนี้ขยายออกไปไกลกว่าแต่ละองค์กร การโจมตี ransomware ของ ChipSoft ที่เปิดเผยข้อมูลผู้ป่วยชาวดัตช์ แสดงให้เห็นว่าเกิดอะไรขึ้นเมื่อผู้โจมตีสามารถเดินทางจาก endpoint ไปยังระบบที่เก็บข้อมูลละเอียดอ่อนในวงกว้างได้สำเร็จ ด้านสาธารณสุข การเงิน และโครงสร้างพื้นฐานสำคัญต่างเผชิญกับความเสี่ยงที่ทบทวีขึ้นเมื่อแรงงานของพวกเขากระจายตัวมากขึ้น
เหตุใด 58% ของ CISO จึงยินดีจ่าย และนั่นบอกอะไรเกี่ยวกับความพร้อม
ความยินดีที่จะจ่ายค่าไถ่มักถูกมองว่าเป็นคำถามทางศีลธรรมหรือกฎหมาย แต่ข้อมูลของ Absolute Security ได้กำหนดกรอบใหม่เป็นคำถามด้านการดำเนินงาน เมื่อ CISO 58% กล่าวว่าพวกเขาจะพิจารณาจ่าย พวกเขาไม่ได้สนับสนุนกิจกรรมทางอาชญากรรม แต่กำลังยอมรับว่าความสามารถในการกู้คืนของตนอาจไม่เพียงพอที่จะรับมือกับช่วงหยุดชะงักหลังการโจมตีครั้งใหญ่โดยไม่ยอมรับความเสียหายทางการเงินและชื่อเสียงอย่างมีนัยสำคัญ
นั่นคือปัญหาด้านความพร้อม องค์กรที่มีโครงสร้างพื้นฐานสำรองและกู้คืนที่แข็งแกร่งผ่านการทดสอบ ประกอบกับแผนตอบสนองต่อเหตุการณ์ที่เข้มแข็ง มีโอกาสน้อยกว่ามากที่จะเผชิญกับสถานการณ์ที่การจ่ายเงินรู้สึกเหมือนเป็นทางเลือกเดียว ข้อเท็จจริงที่ว่าผู้นำด้านความปลอดภัยที่ถูกสำรวจมากกว่าครึ่งหนึ่งจะพิจารณาจ่าย บ่งชี้ว่าหลายองค์กรยังขาดความพร้อม โดยเฉพาะอย่างยิ่งเมื่อการโจมตีมีต้นตอจาก endpoint ที่อยู่นอกขอบเขตความปลอดภัยแบบดั้งเดิม
มันยังสะท้อนให้เห็นว่าช่วงหยุดชะงักมีต้นทุนสูงขึ้นเพียงใด ห่วงโซ่อุปทาน บริการที่หันหน้าให้ลูกค้า และการดำเนินงานภายในต่างพึ่งพาการเข้าถึงระบบและข้อมูลอย่างต่อเนื่อง เมื่อ ransomware ล็อกระบบเหล่านั้น ทุกชั่วโมงของเวลากู้คืนมีมูลค่าเป็นดอลลาร์ที่วัดได้ การคำนวณนั้น ไม่ใช่ความยืดหยุ่นทางศีลธรรม เป็นสิ่งที่ขับเคลื่อนการตัดสินใจจ่ายค่าไถ่ และดังที่ การโจมตีอีเมลของผู้อำนวยการ FBI แสดงให้เห็นอย่างชัดเจน ไม่มีองค์กรหรือบุคคลใดที่จะได้รับการยกเว้นจากการโจมตีแบบมุ่งเป้าโดยสมบูรณ์
VPN Infrastructure ช่วยลดพื้นที่โจมตีและความเสี่ยงจากการเคลื่อนที่ด้านข้างได้อย่างไร
VPN ที่นำมาใช้อย่างดีไม่ใช่กระสุนเงิน แต่เป็นชั้นพื้นฐานที่เมื่อกำหนดค่าอย่างถูกต้องจะลดการเปิดรับที่ remote endpoint สร้างขึ้นได้อย่างมีนัยสำคัญ อุโมงค์ที่เข้ารหัสป้องกันการดักจับข้อมูลรับรองบนเครือข่ายที่ไม่ปลอดภัย การแบ่งส่วนเครือข่ายที่บังคับใช้ผ่านนโยบาย VPN จำกัดระยะทางที่ผู้โจมตีสามารถเคลื่อนที่ได้เมื่ออยู่ภายใน และข้อกำหนดการยืนยันตัวตนแบบรวมศูนย์หมายความว่าอุปกรณ์ที่ถูกบุกรุกมีโอกาสน้อยลงที่จะเดินทางผ่านเครือข่ายโดยไม่ถูกตรวจจับ
คำสำคัญคือ "อย่างถูกต้อง" การกำหนดค่า VPN ที่พึ่งพาการยืนยันตัวตนปัจจัยเดียว ที่ให้การเข้าถึงเครือข่ายแบบกว้างแทนที่จะเป็นสิทธิ์ที่จำกัดขอบเขต หรือที่ไม่ได้รับการแพตช์เป็นระยะเวลานาน อาจกลายเป็นช่องทางโจมตีได้ด้วยตัวเอง หลักการของสิทธิ์น้อยที่สุด ที่นำไปใช้ที่ชั้น VPN หมายความว่า endpoint ที่ถูกบุกรุกสามารถเข้าถึงได้เฉพาะทรัพยากรเฉพาะที่ต้องการ ไม่ใช่เครือข่ายองค์กรทั้งหมด การผสมผสานการเข้าถึง VPN กับการยืนยันตัวตนหลายปัจจัยและการตรวจสอบความสมบูรณ์ของ endpoint ก่อนการเชื่อมต่อ สร้างอุปสรรคที่มีความหมายซึ่งชะลอผู้โจมตีและให้เวลาผู้ป้องกันในการตอบสนอง
สำหรับแรงงาน hybrid โดยเฉพาะ การบังคับใช้นโยบาย VPN ที่สม่ำเสมอในอุปกรณ์ทุกประเภท รวมถึงอุปกรณ์ส่วนตัวที่ใช้สำหรับงาน เป็นสิ่งจำเป็น พื้นที่โจมตีที่รายงาน Absolute Security อธิบายไว้นั้น เป็นส่วนหนึ่งจากช่องว่างในการบังคับใช้นโยบายพอๆ กับปัญหาทางเทคนิค
ทีมกระจายสามารถทำอะไรได้บ้างตอนนี้เพื่อเสริมความแข็งแกร่งให้ Endpoint ของตน
ผลการวิจัยของ Absolute Security เป็นสัญญาณให้ลงมือทำ ไม่ใช่แค่ไตร่ตรอง องค์กรที่มีแรงงานกระจายสามารถดำเนินการที่เป็นรูปธรรมเพื่อลดความเสี่ยงที่ remote endpoint นำเสนอ
ตรวจสอบรายการ endpoint ของคุณ คุณไม่สามารถปกป้องสิ่งที่คุณมองไม่เห็น รายการสินค้าคงคลังที่สมบูรณ์และเป็นปัจจุบันของทุกอุปกรณ์ที่เชื่อมต่อกับระบบองค์กร รวมถึงอุปกรณ์ของผู้รับเหมาและอุปกรณ์ส่วนตัว เป็นจุดเริ่มต้นของกลยุทธ์การรักษาความปลอดภัย endpoint ใดๆ
บังคับใช้ MFA ในการเชื่อมต่อ VPN ทั้งหมด การควบคุมเพียงอย่างเดียวนี้กำจัดหมวดหมู่สำคัญของการโจมตีที่อาศัยข้อมูลรับรอง รหัสผ่านที่ถูกขโมยเพียงอย่างเดียวไม่ควรเพียงพอสำหรับการเข้าถึงระยะไกล
แบ่งส่วนการเข้าถึงเครือข่ายตามบทบาท แทนที่จะให้ผู้ใช้ระยะไกลเข้าถึงเครือข่ายแบบกว้าง ให้กำหนดค่านโยบาย VPN เพื่อให้ผู้ใช้หรืออุปกรณ์แต่ละระดับสามารถเข้าถึงได้เฉพาะระบบที่เกี่ยวข้องกับหน้าที่ของตน ซึ่งจะจำกัดการเคลื่อนที่ด้านข้างหากอุปกรณ์ถูกบุกรุก
แพตช์ endpoint และโครงสร้างพื้นฐาน VPN อย่างสม่ำเสมอ การบุกรุก ransomware ที่มีชื่อเสียงหลายครั้งใช้ประโยชน์จากช่องโหว่ที่รู้จักซึ่งมีแพตช์อยู่แล้ว การจัดการแพตช์อัตโนมัติกำจัดความล่าช้าของมนุษย์ที่ผู้โจมตีพึ่งพา
ทดสอบแผนกู้คืนของคุณ หากการโจมตี ransomware โจมตีระบบที่สำคัญที่สุดของคุณในวันนี้ การกู้คืนจะใช้เวลานานเท่าใด การจัดการฝึกซ้อมบนโต๊ะและการทดสอบการกู้คืนข้อมูลสำรองเป็นประจำเป็นวิธีเดียวที่จะตอบคำถามนั้นอย่างซื่อสัตย์และปิดช่องว่างก่อนที่จะสำคัญ
รายงาน Absolute Security เป็นเกณฑ์ที่มีประโยชน์สำหรับตำแหน่งที่การรักษาความปลอดภัยองค์กรอยู่ในขณะนี้เกี่ยวกับความพร้อมรับมือ ransomware ตัวเลขน่าหดหู่ใจ ได้แก่ การโจมตีส่วนใหญ่เริ่มต้นที่ remote endpoint และผู้นำด้านความปลอดภัยส่วนใหญ่รู้สึกว่าการจ่ายเงินอาจหลีกเลี่ยงไม่ได้ แต่ตัวเลขเหล่านั้นยังชี้ตรงไปยังสิ่งที่ต้องเปลี่ยนแปลงด้วย การมองเห็น endpoint นโยบาย VPN ที่บังคับใช้ และความสามารถในการกู้คืนที่ผ่านการทดสอบไม่ใช่การควบคุมที่แปลกใหม่ แต่เป็นพื้นฐานที่ทุกองค์กรที่กระจายตัวควรสามารถยืนยันได้ การประเมินว่าการตั้งค่าปัจจุบันของคุณตอบสนองเกณฑ์นั้นอย่างแท้จริงหรือไม่เป็นจุดเริ่มต้นที่ถูกต้อง
