Nawet 50 dni potrzeba firmom na wykrycie cyberataku
2022-06-10 10:26
Nawet 50 dni potrzeba firmom na wykrycie cyberataku © pixabay.com
Microsoft Exchange to oprogramowanie, na które firmy powinny zwrócić szczególną uwagę - ostrzega Sophos. To właśnie w nim kryją się bowiem luki najczęściej wykorzystywane w szkodliwej działalności cyberprzestępców. Istotnych zagrożeń, jak chociażby ciągle aktywne cyberataki ransomware, jest jednak znacznie więcej.
Przeczytaj także: W walce z cyberatakami przeszkadza niewiedza i brak pieniędzy
Z tego tekstu dowiesz się m.in.:
- Jak dużym zagrożeniem dla firm są niezałatane luki w oprogramowaniu?
- Czy kilka ładnych lat po WannaCry cyberataki ransomware nadal stanowią duże zagrożenie?
- Ile wynosi czas wykrycia cyberprzestępstwa w firmie?
Każda godzina na wagę złota
W ubiegłym roku średni czas, po którym wykryto obecność cyberprzestępców w firmowej infrastrukturze IT, wydłużył się o 36% – z 11 dni w 2020 r. do 15 dni w 2021 r. Wskazuje to, że techniki wykorzystywane przez intruzów są coraz bardziej wyrafinowane.
Co więcej, zazwyczaj zostają oni zauważeni dopiero w momencie, gdy oprogramowanie ransomware, którym zainfekowany jest system, zacznie swoją szkodliwą działalność. Ten rodzaj cyberataku stanowił aż 73% wszystkich analizowanych w raporcie przypadków.
fot. mat. prasowe
Niezałatane luki
Kluczowe jest, aby osoby odpowiedzialne za ochronę firmowej infrastruktury wiedziały czego szukać na każdym etapie ataku. Im szybsze wykrycie przestępców, tym większa szansa na skuteczną neutralizację zagrożenia – tłumaczy Grzegorz Nocoń, inżynier systemowy w firmie Sophos.
Mała firma, wielkie kłopoty
Według raportu Sophos cyberprzestępcy dłużej przebywają w infrastrukturze IT mniejszych firm. W przypadku przedsiębiorstw liczących do 250 pracowników, atakujący są aktywni nawet 51 dni, a w podmiotach zatrudniających od 3 do 5 tys. osób – średnio 20 dni.
Cyberprzestępcy uważają zasoby dużych firm za cenniejsze. Mają więc większą motywację, aby włamać się do ich systemów, chociaż ryzykują, że ich działalność zostanie szybko wykryta. Natomiast małe przedsiębiorstwa nie są aż tak atrakcyjnym celem, ale ich ochrona przeważnie jest słabsza. W ten sposób atakujący zyskują szansę na dłuższą obecność w sieci. Badanie wskazało też, że ten sam cel może być atakowany przez kilka różnych grup jednocześnie. Dlatego cyberprzestępcy muszą działać szybciej niż dotychczas, aby wyprzedzić konkurencję – podsumowuje ekspert z Sophosa.
fot. mat. prasowe
Przypadki ransomware
Luki w powszechnie wykorzystywanym oprogramowaniu
Autorzy raportu zwracają szczególną uwagę na niezałatane luki w oprogramowaniu, takie jak ProxyShell i ProxyLogon w serwerach poczty elektronicznej Microsoft Exchange. Cyberprzestępcy wykorzystali je w blisko połowie badanych w 2021 r. przypadków. Dla porównania, tylko co dwudziesty atak nastąpił w wyniku złamanych bądź nielegalnie pozyskanych danych uwierzytelniających.
W swoim badaniu eksperci Sophos wyróżnili grupy IAB (Initial Access Brokers), zajmujące się wyłącznie pozyskiwaniem danych dostępowych do systemów firm, a następnie odsprzedawaniem ich innym przestępcom, np. udostępniającym cyberataki ransomware jako usługę (Ransomware as a Service, RaaS). Wraz ze wzrostem aktywności takich grup rośnie także poziom trudności wykrywania cyberataków. IAB bezwzględnie wykorzystują słabe punkty zabezpieczeń, szczególnie nowo wykryte luki w popularnych aplikacjach.
Nie zawsze udaje się ustalić, którędy atakujący uzyskali dostęp do danych. Dlatego specjaliści do spraw cyberbezpieczeństwa powinni zachować czujność i na bieżąco łatać luki, zwłaszcza w powszechnie używanym oprogramowaniu. Nie mniej istotne jest zabezpieczanie usług zdalnego dostępu.
fot. mat. prasowe
Czas wykrycia cyberprzestępstwa w firmie
Czerwoną lampkę powinny zapalić wszelkie aktywności czy narzędzia, nawet jeśli są legalne, których działalność zaobserwowano w nieoczekiwanym miejscu lub czasie. To, że podejrzana aktywność jest niewielka lub niezauważalna, w ogóle nie oznacza, że system nie został zaatakowany. Niestety, należy założyć, że naruszeń wykorzystujących niezałatane luki ProxyShell czy ProxyLogon jest znacznie więcej. Cyberprzestępcy nie ujawniają się po uzyskaniu dostępu do firmowej sieci, dopóki nie będą chcieli wykorzystać go do własnych celów lub sprzedać innej grupie przestępczej – dodaje Grzegorz Nocoń.
O badaniu
Raport Sophos Active Adversary Playbook 2022 został opracowany na podstawie 144 incydentów z 2021 roku w firmach różnej wielkości z USA, Kanady, Wielkiej Brytanii, Niemiec, Włoch, Hiszpanii, Francji, Szwajcarii, Belgii, Holandii, Austrii, Zjednoczonych Emiratów Arabskich, Arabii Saudyjskiej, Filipin, Bahamów, Angoli i Japonii. Najliczniej reprezentowane branże to produkcja (17%), handel detaliczny (14%), opieka zdrowotna (13%), IT (9%), budownictwo (8%) i edukacja (6%).
Przeczytaj także:
Szkoły i uczelnie wciąż są jednym z głównych celów cyberataków
oprac. : eGospodarka.pl
Więcej na ten temat:
cyberbezpieczeństwo, bezpieczeństwo IT, ataki hakerów, zagrożenia w internecie, ransomware, luki w oprogramowaniu
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)