Cyberprzestępcy przeprowadzają ataki coraz szybciej i skutecznie zacierają po sobie ślady. Blisko 40% ataków z użyciem ransomware jest przeprowadzanych w mniej niż 5 dni po tym jak hakerzy uzyskają dostęp do firmowych zasobów. Co więcej, włamujący się do systemów często wyłączają dzienniki telemetryczne lub usuwają ich treść, aby jeszcze trudniej było ich namierzyć – wynika z badania firmy Sophos.
W badaniu Active Adversary Report for Security Practitioners zrealizowanym przez firmę Sophos przeanalizowano 232 włamania hakerów do firmowych systemów w 34. krajach na całym świecie. Autorzy raportu zwracają uwagę, że średni czas obecności cyberprzestępców w infrastrukturze IT (od momentu udanego włamania do rozpoczęcia szkodliwych działań) z każdym rokiem ulega skróceniu.
Prawie 4 na 10 (38%) wszystkich ataków z wykorzystaniem ransomware trwa krócej niż 5 dni. Eksperci Sophos klasyfikują je jako „szybkie”.
Specjaliści wskazują, że nie ma zbyt wielu różnic między „szybkimi” (mniej niż 5 dni) a „powolnymi” (więcej niż 5 dni) działaniami cyberprzestępców. We wszystkich przypadkach hakerzy stosowali podobny zestaw technik i narzędzi. W „szybkich” atakach cyberprzestępcy najczęściej uzyskiwali dostęp do firmowych zasobów poprzez naruszenie bezpieczeństwa łańcucha dostaw, wysyłanie wiadomości ze złośliwymi plikami udającymi zwykłe dokumenty oraz korzystanie z pozyskanych nielegalnie danych logowania. Jeśli czas wykrycia przekraczał 5 dni, atakujący najczęściej wykorzystywali znalezione luki w systemach zabezpieczeń.
– Czas od wykrycia włamania do pełnego ograniczenia intruzom dostępu do danych powinien być jak najkrótszy – komentuje John Shier, dyr. ds. technologii w firmie Sophos. – Dodatkowym utrudnieniem wydłużającym czas potrzebny na wdrożenie działań naprawczych jest brak dzienników telemetrycznych. Kompletne i rzetelne rejestry są absolutnie niezbędnym elementem skutecznej ochrony. Niestety bardzo często firmy nie mają potrzebnych im danych – dodaje ekspert.
Z danych Sophos wynika, że braki w dziennikach telemetrycznych dotyczyły aż 42% badanych ataków. W aż 8 na 10 (82%) tych przypadków cyberprzestępcy sami wyłączyli lub usunęli dane telemetryczne, aby zatrzeć po sobie ślady i tym samym utrudnić identyfikację. Dlatego ważne jest, aby utrudniać życie przestępcom na każdym kroku. Skuteczne zabezpieczenia mogą znacznie wydłużyć czas potrzebny włamywaczom do pozyskania danych.
Bardzo ważnym elementem skutecznych zabezpieczeń jest również telemetria. Zapewnia ona pełny ogląd sytuacji i pozwala na eliminowanie „martwych punktów” w systemach ochrony.
Według ekspertów Sophos, aby umocnić poziom ochrony infrastruktury IT, należy postawić na solidne zabezpieczenia wielowarstwowe i stałe monitorowanie infrastruktury. Im wyższy poziom ochrony, tym większych umiejętności hakerskich będzie wymagało jej złamanie. Wielu cyberprzestępców po prostu się podda, a innym atak zajmie więcej czasu, co działa na korzyść obrońców.
