Cyberprzestępcy przeprowadzają ataki coraz szybciej i skutecznie zacierają po sobie ślady – wynika z badania firmy Sophos. Blisko 40% ataków z użyciem ransomware jest przeprowadzanych w mniej niż 5 dni po tym jak hakerzy uzyskają dostęp do firmowych zasobów. Co więcej, włamujący się do systemów często wyłączają dzienniki telemetryczne lub usuwają ich treść, aby jeszcze trudniej było ich namierzyć.
W badaniu Active Adversary Report for Security Practitioners zrealizowanym przez firmę Sophos przeanalizowano 232 włamania hakerów do firmowych systemów w 34 krajach na całym świecie. Autorzy raportu zwracają uwagę, że średni czas obecności cyberprzestępców w infrastrukturze IT (od momentu udanego włamania do rozpoczęcia szkodliwych działań) z każdym rokiem ulega skróceniu. Prawie 4 na 10 (38%) wszystkich ataków z wykorzystaniem ransomware trwa krócej niż 5 dni. Eksperci Sophos klasyfikują je jako „szybkie”.
Specjaliści wskazują, że nie ma zbyt wielu różnic między „szybkimi” (mniej niż 5 dni) a „powolnymi” (więcej niż 5 dni) działaniami cyberprzestępców. We wszystkich przypadkach hakerzy stosowali podobny zestaw technik i narzędzi. W „szybkich” atakach cyberprzestępcy najczęściej uzyskiwali dostęp do firmowych zasobów poprzez naruszenie bezpieczeństwa łańcucha dostaw, wysyłanie wiadomości ze złośliwymi plikami udającymi zwykłe dokumenty oraz korzystanie z pozyskanych nielegalnie danych logowania. Jeśli czas wykrycia przekraczał 5 dni, atakujący najczęściej wykorzystywali znalezione luki w systemach zabezpieczeń.
Eksperci Sophos podkreślają, że nie ma konieczności wymyślania na nowo strategii zabezpieczania firm, a obrońcy powinni skupić się na szybkim reagowaniu na zagrożenia. Jest to klucz do skutecznego ograniczenia szkód powstałych na skutek cyberataku.
Hakerzy nie chcą zostawiać po sobie śladów
Z danych Sophos wynika, że braki w dziennikach telemetrycznych dotyczyły aż 42% badanych ataków. W aż 8 na 10 (82%) tych przypadków cyberprzestępcy sami wyłączyli lub usunęli dane telemetryczne, aby zatrzeć po sobie ślady i tym samym utrudnić identyfikację. Dlatego ważne jest, aby utrudniać życie przestępcom na każdym kroku. Skuteczne zabezpieczenia mogą znacznie wydłużyć czas potrzebny włamywaczom do pozyskania danych. Dochodzi do niej najczęściej tuż przed wykryciem intruzów w systemie. Kradzież plików lub ich zaszyfrowanie są dla hakerów najbardziej wymagającym i kosztownym etapem ataku.
Bardzo ważnym elementem skutecznych zabezpieczeń jest również telemetria. Zapewnia ona pełny ogląd sytuacji i pozwala na eliminowanie „martwych punktów” w systemach ochrony. Dzięki monitorowaniu oczy obrońców zawsze są szeroko otwarte.
W raporcie Active Adversary Report for Security Practitioners podano przykład dwóch firm, które doświadczyły incydentów związanych z ransomware Cuba. Pierwsza z nich posiadała stały monitoring firmowej sieci za pośrednictwem usługi MDR (Managed Detection and Response, usługa zarządzanego wykrywania i reagowania na zagrożenia). Dzięki niej specjalistom ds. cyberbezpieczeństwa udało się wykryć aktywność hakerów w kilka godzin. Tym samym przeszkodzili oni w kradzieży plików.
Drugie z badanych przedsiębiorstw nie posiadało żadnych danych telemetrycznych – atak zauważyło kilka tygodni po fakcie. W tym czasie cyberprzestępcy zdołali już ukraść aż 75 gigabajtów poufnych informacji. Autorzy raportu zaznaczyli, że po miesiącu od interwencji zespołu Sophos Incident Response (IR) firma ta wciąż próbowała wrócić do normalnej działalności.
Jak dbać o bezpieczeństwo firmowych danych?
Według ekspertów Sophos, aby umocnić poziom ochrony infrastruktury IT, należy postawić na solidne zabezpieczenia wielowarstwowe i stałe monitorowanie infrastruktury. Im wyższy poziom ochrony, tym większych umiejętności hakerskich będzie wymagało jej złamanie. Wielu cyberprzestępców po prostu się podda, a innym atak zajmie więcej czasu, co działa na korzyść obrońców.
Warto analizować zarówno nowe, jak i stare sztuczki hakerów. Wyniki wewnętrznych śledztw IT są niezwykle cenne dla ekspertów zajmujących się cyberbezpieczeństwem. Badanie działalności cyberprzestępców może wpłynąć nie tylko na uszczelnienie firmowych zabezpieczeń, ale też mieć wpływ na opracowywanie nowych metod i narzędzi do walki z atakującymi.
Skuteczniejsza ochrona z nowymi narzędziami Sophos
Sophos wprowadził ostatnio do oferty zestaw nowych narzędzi zwiększających poziom ochrony przed najgroźniejszymi i najtrudniejszymi w wykryciu cyberprzestępcami:
– Sophos Firewall v20 z mechanizmem Active Threat Response – Narzędzie automatycznie przerywające ataki i blokujące cyberprzestępców przed wejściem do firmowej sieci. Jego nowa wersja zawiera również zintegrowaną bramę Zero Trust Network Access (ZTNA) zapewniającą bezpieczny zdalny dostęp do aplikacji za zaporą sieciową, łatwiejszą kontrolę nad wglądem do zasobów oraz narzędzia ułatwiające skalowanie sieci rozproszonym przedsiębiorstwom.
– Sophos Network Detection and Response (NDR) z modułem Extended Detection and Response, zapewniającym rozszerzone wykrywanie i reagowanie (XDR) – Narzędzie Sophos NDR, umożliwiające głębokie monitorowanie sieci pod kątem podejrzanych i złośliwych aktywności, jest teraz dostępne dla użytkowników Sophos XDR oraz Sophos Managed Detection and Response (MDR). Sophos NDR pomaga wykryć niezabezpieczone urządzenia, zagrożenia wewnętrzne, ataki zero-day oraz niebezpieczeństwa czyhające na sprzęt typu smart (IoT) i urządzenia technik operacyjnych (OT).
– Ulepszony Sophos XDR – Narzędzie łączące dane bezpieczeństwa z wielu źródeł, aby jeszcze szybciej wykrywać zagrożenia i powstrzymywać cyberataki. Rozszerzona kompatybilność z rozwiązaniami innych firm ułatwia zbieranie i korelowanie danych telemetrycznych z urządzeń końcowych, zapór sieciowych, chmury, sieci i serwerów poczty elektronicznej. Nowa wersja pozwala na pełen wgląd do danych ze scentralizowanego pulpitu, ogranicza liczbę alertów oraz oferuje zautomatyzowane opcje reagowania na zagrożenia.
O raporcie
Dokument Sophos Active Adversary Report for Security Practitioners powstał na bazie 232 przypadków naruszenia bezpieczeństwa analizowanych przez zespół Sophos Incident Response (IR) w dniach 1 stycznia 2022 – 30 czerwca 2023. Zaatakowane przez hakerów firmy, które wzięły udział w badaniu, reprezentują 25 branż w 34 różnych krajach. 83% ze wszystkich badanych przedsiębiorstw zatrudnia ponad 1000 pracowników.