Cyberprzestępcy przeprowadzają ataki coraz szybciej i skutecznie zacierają po sobie ślady. Blisko 40% ataków z użyciem ransomware jest przeprowadzanych w mniej niż 5 dni po tym jak hakerzy uzyskają dostęp do firmowych zasobów.
Co więcej, włamujący się do systemów często wyłączają dzienniki telemetryczne lub usuwają ich treść, aby jeszcze trudniej było ich namierzyć – wynika z badania firmy Sophos.
Prawie 4 na 10 (38%) wszystkich ataków z wykorzystaniem ransomware trwa krócej niż 5 dni
W badaniu Active Adversary Report for Security Practitioners zrealizowanym przez firmę Sophos przeanalizowano 232 włamania hakerów do firmowych systemów w 34. krajach na całym świecie. Autorzy raportu zwracają uwagę, że średni czas obecności cyberprzestępców w infrastrukturze IT (od momentu udanego włamania do rozpoczęcia szkodliwych działań) z każdym rokiem ulega skróceniu. Prawie 4 na 10 (38%) wszystkich ataków z wykorzystaniem ransomware trwa krócej niż 5 dni. Eksperci Sophos klasyfikują je jako „szybkie”.
Specjaliści wskazują, że nie ma zbyt wielu różnic między „szybkimi” (mniej niż 5 dni) a „powolnymi” (więcej niż 5 dni) działaniami cyberprzestępców. We wszystkich przypadkach hakerzy stosowali podobny zestaw technik i narzędzi. W „szybkich” atakach cyberprzestępcy najczęściej uzyskiwali dostęp do firmowych zasobów poprzez naruszenie bezpieczeństwa łańcucha dostaw, wysyłanie wiadomości ze złośliwymi plikami udającymi zwykłe dokumenty oraz korzystanie z pozyskanych nielegalnie danych logowania. Jeśli czas wykrycia przekraczał 5 dni, atakujący najczęściej wykorzystywali znalezione luki w systemach zabezpieczeń.
Kompletne i rzetelne rejestry są absolutnie niezbędnym elementem skutecznej ochrony
– Czas od wykrycia włamania do pełnego ograniczenia intruzom dostępu do danych powinien być jak najkrótszy – komentuje John Shier, dyr. ds. technologii w firmie Sophos. – Dodatkowym utrudnieniem wydłużającym czas potrzebny na wdrożenie działań naprawczych jest brak dzienników telemetrycznych. Kompletne i rzetelne rejestry są absolutnie niezbędnym elementem skutecznej ochrony. Niestety bardzo często firmy nie mają potrzebnych im danych – dodaje ekspert.
Z danych Sophos wynika, że braki w dziennikach telemetrycznych dotyczyły aż 42% badanych ataków. W aż 8 na 10 (82%) tych przypadków cyberprzestępcy sami wyłączyli lub usunęli dane telemetryczne, aby zatrzeć po sobie ślady i tym samym utrudnić identyfikację. Dlatego ważne jest, aby utrudniać życie przestępcom na każdym kroku. Skuteczne zabezpieczenia mogą znacznie wydłużyć czas potrzebny włamywaczom do pozyskania danych.
Telemetria zapewnia pełny ogląd sytuacji i pozwala na eliminowanie „martwych punktów” w systemach ochrony
Bardzo ważnym elementem skutecznych zabezpieczeń jest również telemetria. Zapewnia ona pełny ogląd sytuacji i pozwala na eliminowanie „martwych punktów” w systemach ochrony.