49% жертв програм-вимагачів втрачають дані до виявлення атаки

49% жертв програм-вимагачів втрачають дані до виявлення атаки

Програми-вимагачі завжди були болючою проблемою, але новий звіт показує, наскільки погано працює виявлення: майже половина всіх жертв втратили свої дані ще до того, як зрозуміли, що зловмисник перебуває в їхній мережі. Цей показник різко зріс із 31% минулого року, що свідчить про те, що хакери стають не просто зухвалішими, а й значно терплячішими та непомітнішими.

Середній час перебування в мережі до виявлення зараз становить приблизно 2,5 тижні. Це 17 або більше днів, протягом яких зловмисник може спокійно картографувати ваші системи, визначити найцінніші файли та вивести їх назовні — і все це до того, як спрацює хоч одне сповіщення.

Справжня загроза — витік даних, а не лише шифрування

Більшість людей уявляють програми-вимагачі як драматичну подію: файли блокуються, з’являється записка про викуп, робота зупиняється. Цей образ дедалі більше застаріває. Сучасні угруповання перейшли до двоетапної стратегії. Спочатку вони викрадають дані. Потім, якщо й коли вони застосовують шифрування, вони висувають жертвам дві окремі загрози: заплатити, щоб відновити доступ, і заплатити ще раз, щоб запобігти публікації викрадених даних.

Цей підхід, який часто називають подвійним вимаганням, повністю змінює розрахунки. Навіть організації з надійними системами резервного копіювання, які можуть швидко відновити зашифровані файли, все одно стикаються з витоком конфіденційних даних клієнтів, фінансових документів чи інтелектуальної власності. Шифрування на цьому етапі стає майже другорядним.

Той факт, що крадіжка даних залишається постійною рисою діяльності з вимагання у понад половині випадків рік за роком, підтверджує, що це не тимчасовий тренд. Тепер це стандартний сценарій.

Чому виявлення дедалі більше відстає

Зростання розриву між проникненням і виявленням вказує на кілька проблем, що накладаються одна на одну.

По-перше, зловмисники дедалі частіше використовують легітимні інструменти, які вже існують у середовищі цілі. Захисне програмне забезпечення призначене для виявлення незнайомих сигнатур шкідливого ПЗ, але коли зловмисник використовує вбудовані системні утиліти для переміщення файлів, ці дії часто виглядають невідмітно від звичайної поведінки адміністратора.

По-друге, багато організацій все ще значною мірою покладаються на захист периметра. Брандмауери та зашифровані тунелі захищають дані під час передачі, але щойно зловмисник отримує дійсні облікові дані або закріплюється всередині мережі, інструменти периметра майже не дають видимості того, що відбувається латерально.

По-третє, втома від сповіщень є реальною та добре задокументованою проблемою в центрах безпеки. Коли системи виявлення генерують тисячі низькоточних сповіщень на день, справжні сигнали вторгнення губляться. Зловмисники знають це й розраховують свою активність так, щоб злитися з шумними періодами.

Саме тому покладатися на один-єдиний інструмент, зокрема VPN, створює хибне відчуття безпеки. VPN шифрує трафік між вашим пристроєм та інтернетом, що захищає дані під час передачі та маскує вашу IP-адресу. Але він ніяк не виявляє та не блокує шкідливе ПЗ, яке вже працює на скомпрометованій машині, і не дає жодної видимості щодо поведінки зловмисника після крадіжки облікових даних. Витік даних youX в Австралії, коли зловмисники отримали доступ до конфіденційних ідентифікаційних даних у фінтех-компанії, показує, як витончені вторгнення можуть обходити поверхневий захист і спричиняти каскадні реальні наслідки.

Що це означає для вас

Незалежно від того, чи ви окремий фахівець, чи частина ІТ-команди організації, середній час перебування в мережі у 2,5 тижні має змінити ваше уявлення про безпеку.

Питання більше не лише в тому, «як не пустити зловмисників всередину?». Так само важливо: «як швидко я дізнаюся, що хтось уже всередині, і що він там знайде?».

Для приватних осіб і малого бізнесу це означає:

• Вважайте, що облікові дані можуть бути скомпрометовані. Використовуйте багатофакторну автентифікацію скрізь, особливо для електронної пошти, хмарних сховищ і будь-яких інструментів віддаленого доступу. Викрадені облікові дані є найпоширенішою точкою входу.
• Обмежте доступне. Не кожна система чи спільний файловий ресурс мають бути доступними з будь-якого пристрою. Обмеження доступу зменшує те, до чого зловмисник може дістатися після початкового проникнення.
• Відстежуйте аномалії, а не лише відомі загрози. Інструменти виявлення на кінцевих точках, які фіксують незвичну поведінку, наприклад, коли обліковий запис раптово звертається до файлів, яких ніколи не торкався, є ціннішими, ніж лише антивірус на основі сигнатур.
• Мати план реагування на інциденти. Чітке знання того, які кроки необхідно зробити в першу годину підтвердженого зламу, значно обмежує шкоду. Багато організацій виявляють, що не мають задокументованого процесу, поки він їм вкрай не знадобиться.
• Сегментуйте резервні копії. Резервні копії, що зберігаються в тій самій мережі, що й основні системи, можуть бути зашифровані або видалені зловмисниками протягом періоду їхнього перебування. Офлайн- або незмінні резервні копії є окремим рівнем захисту.

VPN залишаються справді корисним інструментом, особливо для захисту трафіку в ненадійних мережах і забезпечення приватності від пасивного стеження. Але їхня роль — один рівень серед багатьох, а не повноцінний захист.

Побудова стратегії багаторівневого захисту

Найефективніша позиція безпеки розглядає виявлення як пріоритет, рівноцінний запобіганню. Запобігання ніколи не буває ідеальним, і дані підтверджують, що зловмисники стають все кращими в його обході. Організації та окремі особи, які інвестують лише в те, щоб не пустити зловмисників всередину, не роблячи нічого для їх виявлення, коли вони вже всередині, фактично залишаються сліпими протягом того вікна, яке має найбільше значення.

Багаторівневий захист означає поєднання інструментів периметра, моніторингу кінцевих точок, аналізу мережевого трафіку, суворого контролю доступу та навчання користувачів. Жоден окремий продукт не закриває всі прогалини, тому в галузі безпеки говорять про глибокоешелонований захист, а не про якусь одну «срібну кулю».

Різке зростання крадіжок даних до моменту виявлення є чітким сигналом того, що ландшафт загроз подорослішав. Зловмисники діють із дисципліною та терпінням більше, ніж будь-коли. Адекватною відповіддю є зіставлення цієї дисципліни з настільки ж продуманим, багаторівневим захистом, а не реактивними закупівлями інструментів після інциденту.

Почніть з аудиту того, які конфіденційні дані ви зберігаєте, де вони знаходяться і хто має до них доступ. Лише ця видимість ставить вас попереду більшості цілей.