Hakerzy nie odpuszczają. Skuteczna ochrona jest coraz trudniejsza

Cyberprzestępcy przeprowadzają ataki coraz szybciej i skutecznie zacierają po sobie ślady. Blisko 40 procent ataków z użyciem ransomware jest przeprowadzanych w mniej niż 5 dni po tym jak hakerzy uzyskają dostęp do firmowych zasobów. Co więcej, włamujący się do systemów często wyłączają dzienniki telemetryczne lub usuwają ich treść, aby jeszcze trudniej było ich namierzyć.

Redakcja

6 stycznia 2024, 10:18

W badaniu Active Adversary Report for Security Practitioners zrealizowanym przez firmę Sophos przeanalizowano 232 włamania hakerów do firmowych systemów w 34 krajach na całym świecie.

„Szybkie” ataki

Autorzy raportu zwracają uwagę na to, że średni czas obecności cyberprzestępców w infrastrukturze IT (od momentu udanego włamania do rozpoczęcia szkodliwych działań) z każdym rokiem ulega skróceniu. Prawie 4 na 10 (38 procent) wszystkich ataków z wykorzystaniem ransomware trwa krócej niż 5 dni. Eksperci klasyfikują je jako „szybkie”.

Specjaliści wskazują, że nie ma zbyt wielu różnic między „szybkimi” (mniej niż 5 dni) a „powolnymi” (więcej niż 5 dni) działaniami cyberprzestępców. We wszystkich przypadkach hakerzy stosowali podobny zestaw technik i narzędzi.

W „szybkich” atakach cyberprzestępcy najczęściej uzyskiwali dostęp do firmowych zasobów poprzez naruszenie bezpieczeństwa łańcucha dostaw, wysyłanie wiadomości ze złośliwymi plikami udającymi zwykłe dokumenty oraz korzystanie z pozyskanych nielegalnie danych logowania. Jeśli czas wykrycia przekraczał 5 dni, atakujący najczęściej wykorzystywali znalezione luki w systemach zabezpieczeń – czytamy w raporcie.

Eksperci Sophos podkreślają, że nie ma konieczności wymyślania na nowo strategii zabezpieczania firm, a obrońcy powinni skupić się na szybkim reagowaniu na zagrożenia. Jest to klucz do skutecznego ograniczenia szkód powstałych na skutek cyberataku.

John Shier, dyrektor ds. technologii w firmie Sophos:

Czas od wykrycia włamania do pełnego ograniczenia intruzom dostępu do danych powinien być jak najkrótszy. Dodatkowym utrudnieniem wydłużającym czas potrzebny na wdrożenie działań naprawczych jest brak dzienników telemetrycznych. Kompletne i rzetelne rejestry są absolutnie niezbędnym elementem skutecznej ochrony. Niestety bardzo często firmy nie mają potrzebnych im danych.

Hakerzy – nie zostawić po sobie śladów

Z szacunków wynika też, że braki w dziennikach telemetrycznych dotyczyły 42 procent badanych ataków. W 8 na 10 (82 procent) tych przypadków cyberprzestępcy sami je wyłączyli lub usunęli, aby zatrzeć po sobie ślady i tym samym utrudnić identyfikację. Dlatego ważne jest to, aby utrudniać życie przestępcom na każdym kroku.

Należy dodać, że skuteczne zabezpieczenia mogą znacznie wydłużyć czas potrzebny włamywaczom do pozyskania danych. Dochodzi do niej najczęściej tuż przed wykryciem intruzów w systemie. Kradzież plików lub ich zaszyfrowanie są dla hakerów najbardziej wymagającym i kosztownym etapem ataku.

Dane telemetryczne

Ważnym elementem skutecznych zabezpieczeń jest telemetria. Zapewnia ona pełny ogląd sytuacji i pozwala na eliminowanie „martwych punktów” w systemach ochrony – dzięki monitorowaniu oczy obrońców zawsze są szeroko otwarte.

W raporcie Active Adversary Report for Security Practitioners podano przykład dwóch firm, które doświadczyły incydentów związanych z ransomware Cuba. Pierwsza z nich posiadała stały monitoring firmowej sieci za pośrednictwem usługi MDR (Managed Detection and Response, usługa zarządzanego wykrywania i reagowania na zagrożenia). Dzięki niej specjalistom ds. cyberbezpieczeństwa udało się wykryć aktywność hakerów w ciągu kilku godzin. Tym samym przeszkodzili w kradzieży plików.

Drugie z badanych przedsiębiorstw nie posiadało żadnych danych telemetrycznych – atak zauważyło kilka tygodni po fakcie. W tym czasie cyberprzestępcy zdołali już ukraść 75 gigabajtów poufnych informacji. Autorzy raportu zaznaczyli, że po miesiącu od interwencji zespołu Sophos Incident Response (IR) firma ta wciąż próbowała wrócić do normalnej działalności.

Jak dbać o bezpieczeństwo danych?

Według ekspertów, aby umocnić poziom ochrony infrastruktury IT, należy postawić na solidne zabezpieczenia wielowarstwowe i stałe monitorowanie infrastruktury. Im wyższy poziom ochrony, tym większych umiejętności hakerskich będzie wymagało jej złamanie. Wielu cyberprzestępców po prostu się podda, a innym atak zajmie więcej czasu, co działa na korzyść obrońców.

Warto analizować zarówno nowe, jak i starsze działania hakerów. Wyniki wewnętrznych śledztw IT są bowiem cenne dla ekspertów zajmujących się cyberbezpieczeństwem. Badanie działalności cyberprzestępców może wpłynąć nie tylko na uszczelnienie firmowych zabezpieczeń, ale też mieć wpływ na opracowywanie nowych metod i narzędzi do walki z atakującymi.

***

Dokument Sophos Active Adversary Report for Security Practitioners powstał na bazie 232 przypadków naruszenia bezpieczeństwa analizowanych przez zespół Sophos Incident Response (IR) w dniach 1 stycznia 2022 – 30 czerwca 2023. Zaatakowane przez hakerów firmy, które wzięły udział w badaniu, reprezentują 25 branż w 34 różnych krajach. 83% ze wszystkich badanych przedsiębiorstw zatrudnia ponad 1000 pracowników.