Średni czas wykrycia obecności cyberprzestępców w infrastrukturze IT w 2023 r. skrócił się z 10 do 8 dni. Jak wynika z raportu firmy Sophos, hakerzy potrzebują zaledwie 16 godzin, aby dotrzeć do najbardziej krytycznych zasobów przedsiębiorstwa. Celem atakujących jest najczęściej Active Directory, czyli usługa katalogowa systemu Windows, która pozwala na zarządzanie dostępami do danych. Za jej pomocą przeprowadzający atak mogą sami zwiększyć swoje uprawnienia w systemie ofiary i wywołać jeszcze większe szkody.
Cyberprzestępcy atakują „po godzinach”
Według analiz zespołu Sophos X-Ops najbardziej powszechnymi atakami na firmy były te z wykorzystaniem ransomware. Stanowiły one aż 69% wszystkich badanych przypadków. Co więcej, w czterech na pięć ataków cyberprzestępcy szyfrowali firmowe pliki poza godzinami pracy przedsiębiorstw. Blisko połowa (43%) działań hakerów była wykrywana w piątki lub soboty.
John Shier, dyrektor ds. technologii w firmie Sophos, tłumaczy, że dzięki technologiom takim jak XDR (rozszerzone wykrywanie i reagowanie na zagrożenia) i MDR (zarządzane wykrywanie zagrożeń i reagowanie na nie) znacząco skróciło się „okno operacyjne”, w czasie którego atakujący mogą dokonać szkód. W 2021 r. średni czas wykrycia hakerów w infrastrukturze IT wynosił 15 dni, w zeszłym roku 10, a w 2023 r. – zaledwie 8.
Dlaczego hakerom zależy na Active Directory?
Analitycy Sophos zwracają również uwagę na to, jak niewiele czasu potrzebują atakujący, by przejąć kontrolę nad infrastrukturą Active Directory (AD), która odpowiada za zarządzanie dostępami. Zazwyczaj wystarczy zaledwie 16 godzin, aby cyberprzestępcy zapewnili sobie szeroki dostęp do wszystkich firmowych systemów, aplikacji oraz plików.
Atak, w czasie którego Active Directory trafi w ręce cyberprzestępców, jest jednym z najgorszych scenariuszy dla osób zajmujących się cyberbezpieczeństwem. Hakerzy niszczą w ten sposób fundament bezpieczeństwa całej firmy, co oznacza, że obrońcy swoje działania na rzecz przywrócenia pełnej funkcjonalności systemów muszą zaczynać właściwie od zera. Tym samym powrót do operacyjności jest dłuższy i bardziej kosztowny.
Sophos Incident Response Services Retainer – nowość od firmy Sophos
W ostatnim roku aż 65% firm doświadczyło poważnego naruszenia bezpieczeństwa mimo znacznych inwestycji w narzędzia cyberbezpieczeństwa. W 2022 roku średni czas powrotu do operacyjności wyniósł aż 63 dni, przy wydatkach rzędu 3 milionów dolarów (ponad 12 milionów złotych) na usuwanie szkód. Sposobem na zwiększenie bezpieczeństwa, przy jednoczesnym obniżeniu kosztów, jest posiadanie zespołu specjalistów reagujących na zagrożenia, zanim dojdzie do cyberataku.
Sophos Incident Response Services Retainer to nowa roczna subskrypcja obejmująca zestaw narzędzi do reagowania na krytyczne incydenty naruszenia bezpieczeństwa oraz całodobowy dostęp do grupy specjalistów zajmujących się reagowaniem na zagrożenia.
Poza krótszym czasem reakcji na działania cyberprzestępców abonenci zyskują również opinie ekspertów na temat podatności firmy na ataki, porady na temat uszczelniania ochrony systemów i przeciwdziałania zaistniałym incydentom. W przypadku ataku abonent natychmiastowo zyskuje dostęp do najbardziej zaawansowanej usługi Sophos MDR na okres 45 dni bez żadnych dodatkowych opłat.
Więcej informacji na temat Sophos Incident Response Services Retainer można znaleźć tutaj.