Během 82 % útoků s chybějící telemetrií kyberzločinci vypnuli nebo smazali protokoly

1. 12. 2023. (redaktor: František Doupal, zdroj: Sophos)
Studii Active Adversary Report for Security Practitioners společnosti Sophos zjistila, že telemetrické záznamy chyběly u téměř 42 % zkoumaných útoků. V 82 % z těchto případů kyberzločinci telemetrii vypnuli nebo vymazali, aby po sobě zametli stopy.

Mezery v telemetrii omezují tolik potřebný přehled o dění v sítích a systémech organizací, zejména proto, že doba pohybu útočníka v síti (tedy doba od počátečního přístupu do detekci) se stále zkracuje. Tím se zkracuje i doba, kterou mají obránci na účinnou reakci na incident.

„Při reakci na aktivní hrozbu je rozhodující čas. Doba mezi zjištěním počátečního přístupu a úplným odvrácením hrozby by měla být co nejkratší. Čím dále v řetězci útoku se útočník dostane, tím větší budou mít obránci problémy. Chybějící telemetrie jen prodlužuje dobu nápravy, a to si většina organizací nemůže dovolit. Proto je nezbytné úplné a přesné logování. Až příliš často se ale setkáváme s tím, že organizace nemají potřebná data k dispozici,“ řekl John Shier, technický ředitel společnosti Sophos.

Sophos ve své studii klasifikuje ransomwarové útoky s dobou pohybu v síti kratší nebo rovnou pěti dnům jako „rychlé“, a ty tvořily 38 % zkoumaných případů. „Pomalé“ ransomwarové útoky jsou takové, při kterých se útočníci zdrželi v síti déle než pět dní. Ty představují 62 % případů.

Při zkoumání těchto „rychlých“ a „pomalých“ ransomwarových útoků na detailní úrovni se nástroje, techniky a binární soubory typu LOLBins (living-off-the-land), které útočníci nasadili, příliš nelišily, což naznačuje, že obránci nemusí se zkracující se dobou pohybu útočníků v síti vymýšlet nové obranné strategie. Obránci si ale musí uvědomit, že rychlé útoky by mohly ztížit včasnou reakci, což by vedlo k větší destrukci.

„Kyberzločinci inovují, jen když musí, a jen do té míry, aby se dostali ke svému cíli. Útočníci nezmění to, co funguje, i když se v době od proniknutí do sítě po detekci pohybují rychleji. To je pro organizace dobrá zpráva, protože nemusí radikálně měnit svou obrannou strategii, přestože útočníci postupují rychleji. Stejná obrana, která detekuje rychlé útoky, se použije na všechny incidenty bez ohledu na rychlost. To zahrnuje kompletní telemetrii, komplexní ochranu a všudypřítomné monitorování,“ řekl Shier. „Klíčem k úspěchu je zkomplikovat útok jakkoli je to možné. Pokud útočníkům ztížíte práci, můžete získat cenný čas na reakci a prodloužit každou fázi útoku.

„Pokud například zkomplikujete ransomwarový útok, můžete oddálit dobu do exfiltrace dat,“ dodal Shier. „Exfiltrace přitom často nastává těsně před detekcí a je také často tou nejnákladnější částí útoku. To se stalo ve dvou případech ransomwarových útoků skupiny Cuba. Jedna ze společností měla zavedeno nepřetržité monitorování pomocí MDR, takže jsme byli schopni odhalit škodlivou aktivitu a zastavit útok během několika hodin, abychom zabránili krádeži dat. Druhá společnost takový bezpečnostní prvek neměla, a útok zaznamenala až několik týdnů po prvotním přístupu a poté, co skupina Cuba již úspěšně exfiltrovala 75 gigabajtů citlivých dat. Teprve pak zavolali náš tým pro reakci na incidenty, a ještě o měsíc později se stále snažili vrátit k běžnému provozu.“

O studii

Studie Sophos Active Adversary Report for Security Practitioners vychází z poznatků při 232 případech reakce společnosti Sophos na incidenty ve 25 odvětvích v období od 1. ledna 2022 do 30. června 2023. Organizace, které byly cílem útoku, se nacházely ve 34 různých zemích na šesti kontinentech. Plných 83 % případů pocházelo z organizací s méně než 1 000 zaměstnanci.

Štítky: 
Bezpečnost, Ransomware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Nová služba Acronis MDR přináší integrovanou obnovou po útoku a další možnosti

14. 5. 2024. (redaktor: František Doupal, zdroj: Acronis)
Nová služba Acronis Managed Detection and Response (MDR), dostupná poskytovatelům MSP využívajícím Acronis Cyber Protect Cloud, umožňuje nabízet bezpečnostní monitoring, rychlou detekci, investigaci, eliminaci hrozeb, reakci na incidenty a nápravu kybernetických útoků na profesionální úrovni bez nutnosti udržovat kvalifikovaný tým a specializovanou sadu nástrojů. Čtěte více

Platby výkupného za ransomware vzrostly za poslední rok na pětinásobek

10. 5. 2024. (redaktor: František Doupal, zdroj: Sophos)
Podle výroční zprávy State of Ransomware 2024 společnosti Sophos se průměrná výše výkupného za poslední rok zvýšila na pětinásobek. Organizace, které zaplatily výkupné, uvádějí průměrnou platbu ve výši dvou milionů dolarů, oproti 400 000 dolarů v průzkumu z roku 2023. Výkupné je ale pouze částí celkových nákladů. Čtěte více

Obavy o zabezpečení cloudů má 96 % firem

9. 5. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Neustálý vývoj a zavádění nových cloudových aplikací komplikuje zabezpečení podnikového IT. Podle průzkumu společnosti Fortinet například 96 % respondentů uvádí, že mají střední nebo velké obavy o cloudovou bezpečnost. Podle 93 % dotazovaných je vážným problémem zejména všeobecný nedostatek odborníků na zabezpečení cloudů. Čtěte více

Nový tým Esetu se zaměří na mezinárodní kyberkriminalitu

6. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Bezpečnostní experti z pražské pobočky ESETu se nově cíleně zaměří na mezinárodní aktivity kyberkriminálních útočných skupin. Nově vzniklý tým vedený Jakubem Součkem má za úkol aktivně vyhledávat a dlouhodobě monitorovat obávané útoky ransomwarem, který dle dat společnosti ESET posílil v minulém roce o více než 50 procent. Čtěte více