Tovább fokozzák a tempót a kiberbűnözők

​A kivervédelem szempontjából egyre kritikusabb tényezőnek számít az idő.
 

A Sophos legutóbb kiadott ("Active Adversary Report for Security Practitioners" című) tanulmánya 232 incidensreagálási esetet vizsgál. Egyebek mellett arra keresi a választ, hogy a kibertámadások milyen időbeli lefolyásúak.
 
A jelentésben a biztonsági cég a legfeljebb 5 napos (dwell time) ransomware támadásokat "gyors támadásoknak" minősíti. Ezek a vizsgált esetek 38 százalékát tették ki. A többi a "lassú" ransomware károkozások közé tartozott. Amikor ezen "gyors" és "lassú" lefolyású incidenseket részletesebben vizsgálták a kutatók, akkor nyilvánvalóvá vált, hogy nincs sok eltérés a támadók által alkalmazott eszközök és technikák tekintetében.
 
Ugyanakkor a kutatók a tanulmány összeállításakor arra is rávilágítottak, hogy a naplózás terén sok a probléma. A telemetria hiányosságai csökkentik a szervezetek hálózataiban és rendszereiben az átláthatóságot.
 

"Az idő kritikus tényező, amikor egy aktív fenyegetésre kell reagálni. A kezdeti hozzáférési esemény és a fenyegetés teljes elhárítása közötti időnek a lehető legrövidebbnek kell lennie. Minél tovább jut a támadó a támadási láncban, annál nagyobb fejfájást okoz a reagáló félnek. A telemetria hiánya növeli a helyreállítási időt, amelyet a legtöbb szervezet nem engedhet meg magának. Ezért elengedhetetlen a teljes és pontos naplózás. Ugyanakkor azt tapasztaljuk, hogy a szervezetek túl gyakran nem rendelkeznek a szükséges adatokkal" -

mondta John Shier, a Sophos műszaki igazgatója.
 
A szakértők megállapították, hogy a telemetriai naplók a vizsgált támadási esetek közel 42 százalékában hiányoztak. Az esetek 82 százalékában a kiberbűnözők letiltották a naplózást vagy törölték a naplóadatokat, hogy elrejtsék a nyomaikat.
 

"A kiberbűnözők csak akkor újítanak, ha muszáj és csak olyan mértékben, amennyire az eljuttatja őket a céljukhoz. Ez jó hír a szervezetek számára, mert nem kell gyökeresen megváltoztatniuk a védekezési stratégiájukat, ahogy a támadók felgyorsítják az akcióikat. Ugyanazok a védelmi intézkedések, amelyek észlelik a gyors támadásokat, minden más támadás esetén is beválhatnak. Ezek közé tartozik a részletes telemetria, a mindenre kiterjedő robusztus védelem és a mindenütt jelen lévő felügyelet"

- tette hozzá Shier.