Cyberbezpieczeństwo
Cyberprzestępcy przeprowadzają ataki coraz szybciej i skuteczniej zacierają po sobie ślady
Blisko 40% ataków z użyciem ransomware jest przeprowadzanych w mniej niż 5 dni po tym jak hakerzy uzyskają dostęp do firmowych zasobów – wynika z badania firmy Sophos. Co więcej, włamujący się do systemów często wyłączają dzienniki telemetryczne lub usuwają ich treść, aby jeszcze trudniej było ich namierzyć.
W badaniu Active Adversary Report for Security Practitioners, zrealizowanym przez firmę Sophos, przeanalizowano 232 włamania hakerów do firmowych systemów w 34 krajach na całym świecie. Autorzy raportu zwracają uwagę, że średni czas obecności cyberprzestępców w infrastrukturze IT (od momentu udanego włamania do rozpoczęcia szkodliwych działań) z każdym rokiem ulega skróceniu. Prawie 4 na 10 (38%) wszystkich ataków z wykorzystaniem ransomware trwa krócej niż 5 dni. Eksperci Sophos klasyfikują je jako „szybkie”.
Specjaliści wskazują, że nie ma zbyt wielu różnic między „szybkimi” (mniej niż 5 dni) a „powolnymi” (więcej niż 5 dni) działaniami cyberprzestępców. We wszystkich wypadkach hakerzy stosowali podobny zestaw technik i narzędzi. W „szybkich” atakach cyberprzestępcy najczęściej uzyskiwali dostęp do firmowych zasobów poprzez naruszenie bezpieczeństwa łańcucha dostaw, wysyłanie wiadomości ze złośliwymi plikami udającymi zwykłe dokumenty oraz korzystanie z pozyskanych nielegalnie danych logowania. Jeśli czas wykrycia przekraczał 5 dni, atakujący najczęściej wykorzystywali znalezione luki w systemach zabezpieczeń.
Eksperci Sophos podkreślają, że nie ma konieczności wymyślania na nowo strategii zabezpieczania firm, a obrońcy powinni skupić się na szybkim reagowaniu na zagrożenia. Jest to klucz do skutecznego ograniczenia szkód powstałych na skutek cyberataku.
“Czas od wykrycia włamania do pełnego ograniczenia intruzom dostępu do danych powinien być jak najkrótszy Dodatkowym utrudnieniem wydłużającym czas potrzebny na wdrożenie działań naprawczych jest brak dzienników telemetrycznych. Kompletne i rzetelne rejestry są absolutnie niezbędnym elementem skutecznej ochrony. Niestety bardzo często firmy nie mają potrzebnych im danych” – komentuje John Shier, dyrektor ds. technologii w firmie Sophos.
Hakerzy zacierają po sobie ślady
Z danych Sophos wynika, że braki w dziennikach telemetrycznych dotyczyły nawet 42% badanych ataków. W aż 8 na 10 (82%) tych przypadków cyberprzestępcy sami wyłączyli lub usunęli dane telemetryczne, aby zatrzeć po sobie ślady i tym samym utrudnić identyfikację. Dlatego ważne jest, aby utrudniać życie przestępcom na każdym kroku. Skuteczne zabezpieczenia mogą znacznie wydłużyć czas potrzebny włamywaczom do pozyskania danych. Dochodzi do niej najczęściej tuż przed wykryciem intruzów w systemie. Kradzież plików lub ich zaszyfrowanie są dla hakerów najbardziej wymagającym i kosztownym etapem ataku.
Bardzo ważnym elementem skutecznych zabezpieczeń jest również telemetria. Zapewnia ona pełny ogląd sytuacji i pozwala na eliminowanie „martwych punktów” w systemach ochrony. Dzięki monitorowaniu oczy obrońców zawsze są szeroko otwarte.
We wspomnianym raporcie podano przykład dwóch firm, które doświadczyły incydentów związanych z ransomware Cuba. Pierwsza z nich posiadała stały monitoring firmowej sieci za pośrednictwem usługi MDR (Managed Detection and Response, usługa zarządzanego wykrywania i reagowania na zagrożenia). Dzięki niej specjalistom ds. cyberbezpieczeństwa udało się wykryć aktywność hakerów w kilka godzin. Tym samym przeszkodzili oni w kradzieży plików.
Drugie z badanych przedsiębiorstw nie posiadało żadnych danych telemetrycznych – atak zauważyło kilka tygodni po fakcie. W tym czasie cyberprzestępcy zdołali już ukraść 75 gigabajtów poufnych informacji. Autorzy raportu zaznaczyli, że po miesiącu od interwencji zespołu Sophos Incident Response (IR) firma ta wciąż próbowała wrócić do normalnej działalności.
Jak dbać o bezpieczeństwo firmowych danych?
Według ekspertów Sophos, aby umocnić poziom ochrony infrastruktury IT, należy postawić na solidne zabezpieczenia wielowarstwowe i stałe monitorowanie infrastruktury. Im wyższy poziom ochrony, tym większych umiejętności hakerskich będzie wymagało jej złamanie. Wielu cyberprzestępców po prostu się podda, a innym atak zajmie więcej czasu, co działa na korzyść obrońców.
Warto analizować zarówno nowe, jak i stare sztuczki hakerów. Wyniki wewnętrznych śledztw IT są niezwykle cenne dla ekspertów zajmujących się cyberbezpieczeństwem. Badanie działalności cyberprzestępców może wpłynąć nie tylko na uszczelnienie firmowych zabezpieczeń, ale też mieć wpływ na opracowywanie nowych metod i narzędzi do walki z atakującymi.
