58% директорів з інформаційної безпеки готові платити викуп, оскільки віддалені кінцеві точки стають джерелом атак
Новий звіт компанії Absolute Security дав точну цифру проблемі, навколо якої фахівці з безпеки ходять уже роками: захист VPN для віддалених кінцевих точок більше не є необов'язковим для розподілених робочих команд. Згідно з дослідженням, 58% директорів з інформаційної безпеки (CISO) розглядали б можливість сплати викупу для припинення атаки, при цьому простій у роботі називається головним мотивуючим чинником. Мабуть, ще більш показово те, що 57% опитаних підприємств повідомили: атаки програм-вимагачів розпочинались із віддалених або гібридних кінцевих пристроїв. Разом ці дві цифри дають чітке уявлення про те, де корпоративна безпека дає збій і чого це коштує, коли це відбувається.
Як віддалені та гібридні кінцеві точки стали улюбленою точкою входу для програм-вимагачів
Перехід до розподіленої роботи створив розлогу поверхню атак, яку багато організацій так і не змогли повністю нанести на карту, не кажучи вже про належний захист. Віддалені кінцеві точки — будь то ноутбуки співробітників, що підключаються з домашніх мереж, пристрої підрядників у публічних мережах Wi-Fi або гібридні працівники, що перемикаються між офісним і віддаленим середовищами, — часто перебувають поза прямою видимістю корпоративних команд безпеки. На них може бути застаріле програмне забезпечення, слабка автентифікація або підключення до корпоративних систем через неправильно налаштовані тунелі.
Зловмисники це помітили. Облікові дані протоколу віддаленого робочого стола (RDP) і VPN залишаються серед найбільш часто використовуваних векторів початкового доступу в кампаніях програм-вимагачів, а кінцеві пристрої нерідко стають першою ланкою, що падає. Як тільки один віддалений пристрій скомпрометовано, зловмисники використовують його як плацдарм для бічного переміщення по мережі, підвищення привілеїв і розгортання корисного навантаження програм-вимагачів — і все це до того, як більшість організацій встигають виявити вторгнення. Дані Absolute Security, які свідчать про те, що 57% атак можна відстежити до віддалених або гібридних кінцевих точок, підтверджують: це не периферійний ризик. Це домінуюча схема атак.
Наслідки цієї схеми виходять далеко за межі окремих організацій. Атака програми-вимагача на ChipSoft, що розкрила дані нідерландських пацієнтів, ілюструє, що відбувається, коли зловмисникам вдається пройти від кінцевої точки до системи, що зберігає конфіденційні записи у великих масштабах. Охорона здоров'я, фінанси та критична інфраструктура — всі вони стикаються зі зростаючими ризиками в міру того, як їхні робочі сили стають більш розподіленими.
Чому 58% директорів з інформаційної безпеки готові платити викуп і що це говорить про рівень готовності
Готовність платити викуп часто подається як моральне або правове питання, але дані Absolute Security переосмислюють його як операційне. Коли 58% CISO кажуть, що розглядали б можливість сплати, вони не схвалюють злочинну діяльність. Вони визнають, що їхні можливості відновлення можуть бути недостатніми для того, щоб витримати простій після серйозної атаки без значних фінансових і репутаційних втрат.
Це проблема готовності. Організації з надійною, перевіреною інфраструктурою резервного копіювання та відновлення у поєднанні з чіткими планами реагування на інциденти значно рідше опиняються в ситуації, коли оплата здається єдиним варіантом. Той факт, що більше половини опитаних керівників у сфері безпеки розглядали б таку можливість, свідчить про те, що багато підприємств залишаються недостатньо підготовленими — особливо коли атака виходить із кінцевої точки, що перебуває за межами традиційних периметрів безпеки.
Це також відображає те, наскільки дорогим став простій. Ланцюги постачання, клієнтські сервіси та внутрішні операції — все це залежить від безперервного доступу до систем і даних. Коли програма-вимагач блокує ці системи, кожна година відновлення має конкретну грошову вартість. Саме цей розрахунок — а не моральна гнучкість — лежить в основі рішень про сплату викупу. І як стало зрозуміло після компрометації електронної пошти самого директора ФБР, жодна організація чи особа не є категорично невразливою до цілеспрямованих атак.
Як VPN-інфраструктура зменшує поверхню атак і ризик бічного переміщення
Добре реалізований VPN — не панацея, але це базовий рівень захисту, який за правильного налаштування суттєво зменшує вразливість, що створюють віддалені кінцеві точки. Зашифровані тунелі запобігають перехопленню облікових даних у незахищених мережах. Сегментація мережі, що забезпечується через VPN-політики, обмежує можливості зловмисника після проникнення всередину. А централізовані вимоги до автентифікації означають, що скомпрометовані пристрої з меншою ймовірністю будуть непомітно переміщатися по мережі.
Ключове слово тут — «правильного». VPN-конфігурації, що покладаються на однофакторну автентифікацію, надають широкий доступ до мережі замість обмежених дозволів або тривалий час залишаються без оновлень, самі можуть стати векторами атак. Принцип найменших привілеїв, застосований на рівні VPN, означає, що скомпрометована кінцева точка може отримати доступ лише до конкретних ресурсів, які їй потрібні, а не до всієї корпоративної мережі. Поєднання VPN-доступу з багатофакторною автентифікацією та перевіркою стану кінцевої точки перед підключенням створює суттєвий бар'єр, який уповільнює зловмисників і дає захисникам час для реагування.
Для гібридних робочих сил зокрема необхідним є послідовне виконання VPN-політик на всіх типах пристроїв, включно з особистими пристроями, що використовуються для роботи. Поверхня атак, описана у звіті Absolute Security, є певною мірою прогалиною у виконанні політик не менше, ніж технічною прогалиною.
Що розподілені команди можуть зробити зараз для зміцнення своїх кінцевих точок
Результати дослідження Absolute Security — це заклик до дії, а не лише до роздумів. Організації з розподіленими робочими силами можуть вжити конкретних заходів для зниження ризику, який становлять віддалені кінцеві точки.
Проведіть аудит вашого реєстру кінцевих точок. Ви не можете захистити те, чого не бачите. Повний та актуальний реєстр кожного пристрою, що підключається до корпоративних систем, включно з пристроями підрядників і особистими пристроями, є відправною точкою будь-якої стратегії безпеки кінцевих точок.
Впровадьте багатофакторну автентифікацію для всіх VPN-підключень. Цей єдиний захід усуває значну категорію атак на основі облікових даних. Лише викрадений пароль не повинен бути достатнім для отримання віддаленого доступу.
Сегментуйте мережевий доступ за ролями. Замість надання віддаленим користувачам широкого доступу до мережі налаштуйте VPN-політики так, щоб кожен користувач або клас пристроїв міг отримати доступ лише до систем, що стосуються його функцій. Це обмежує бічне переміщення у разі компрометації пристрою.
Регулярно оновлюйте кінцеві точки та VPN-інфраструктуру. Багато гучних вторгнень програм-вимагачів використовують відомі вразливості, для яких патчі вже існують. Автоматизоване управління патчами усуває людські затримки, на які розраховують зловмисники.
Перевірте свій план відновлення. Якби атака програм-вимагачів вразила ваші найважливіші системи сьогодні, скільки часу зайняло б відновлення? Регулярне проведення настільних навчань і тестів відновлення з резервних копій — єдиний спосіб чесно відповісти на це питання та усунути прогалини до того, як вони стануть критичними.
Звіт Absolute Security є корисним орієнтиром щодо поточного стану корпоративної безпеки в контексті готовності до програм-вимагачів. Цифри невтішні: більшість атак починається з віддалених кінцевих точок, і більшість керівників з безпеки вважають, що оплата може виявитися неминучою. Але вони також прямо вказують на те, що потрібно змінити. Видимість кінцевих точок, дотримання VPN-політик і перевірені можливості відновлення — це не екзотичні засоби контролю. Це базовий рівень, який кожна розподілена організація повинна бути здатна підтвердити. Оцінка того, чи дійсно ваше поточне налаштування відповідає цій планці, — правильне місце для початку.
