Во теорија, криминалците можат (и го прават тоа) да искористат која било од илјадници техники за напад, во која сакаат комбинација. Во реалноста, добрата проценка на ризикот покажува дека паметно е да се фокусираат најпрвин на најголемите проблеми, дури и ако се најгламурозните или највозбудливите теми од сајбер безбедноста. Значи, што навистина фунцкионира за сајбер криминалците кога ќе планираат напад? Освен тоа, што прават кога ќе успеат да се пробијат некаде? Колку време се задржуваат во мрежата откако ќе заземат територија? Колку е битно да се открие и да се третира причината за нападот, наместо да се занимавате само со очигледните симптоми?
Експертот на Sophos, Џон Шир, анализираше извештаи за инциденти во 144 реални сајбер напади кои биле истражувани од тимот за брз одговор на Sophos во текот на 2021 година. Она што го откри можеби нема да ве изненади, но сепак е витална информација затоа што навистина се случило, не затоа што можело да се случи.
-незаштитени ранливи точки биле место на влез во 50% од случаите
-напаѓачите се задржале во просек подолго од еден месец кога нивна примарна цел не била изнудување ооткуп
-напаѓачите украле податоци во околу 40% од инцидентите (се разбира, не е докажана кражбата на сите податоци, со оглед на тоа дека нема забележливо празно место каде што имало копија од податоците, па вистинскиот број може да е многу поголем.)
-RDP протоколот била користен за странично движење низ мрежата во над 80% од напаѓачите после пробивот.
Интригантно, но можеби не толку изненадувачко, е тоа што колку била помала организацијата, толку подолго се задржувале криминалците пред некој да забележи и да одлучи дека е време да ги исфрли. Во бизнисите со над 250 вработени криминалците се задржале повеќе од седум недели во просек. За споредба, во организации со над 3.000 вработени се задржале помалку од три недели.
Сепак, криминалците кои користеле уценувачки софтвер типично останале скриени пократок период (вообичаено помалку од две недели, наместо над еден месец), не само затоа што нападите биле по природа со ограничено времетраење. Имено, по правило, кога сајбер криминалците ќе ги соберат податоците, не се кријат повеќе и одат во фазата на уценување.
Има мноштво сајбер криминалци кои не се конфронтираат директно со жртвите како што прават оние кои уценуваат. Таквите криминалци вклучуваат и значителна група позната како IABs или брокери за иницијален пристап. IABs не ги добиваат своите незаконски примања со изнудување пари од бизниси после насилен и видлив напад, туку од помагање на други криминалци да извршат таков напад. Тие IAB криминалци може повеќе да им наштетат на бизнисите на подолг рок, отколку напаѓачите со злонамерен софтвер.
Tоа е така затоа што нивната типична цел е да научат што е можно повеќе за вас (вашите вработени, вашиот бизнис, доставувачите и корисниците) во текот на подолг период. Потоа тие заработуваат од продажба на такви информации на други сајбер криминалци.
Со други зборови, ако се прашувате како криминалците со злонамерен софтвер честопати се пробиваат толку брзо, толку темелно ги мапираат мрежите и напаѓаат одлучно, и прават такви драматични барања за откуп, тоа веројатно е така затоа што си купиле сопствен “прирачник“ “Active Adversary Playbook” од други криминалци кои тивко, но темелно се прошетале низ мрежата.
Малку добри вести се тоа што RDP (Microsoft’s Remote Desktop Protocol) сега е многу подобро заштитен на компаниско ниво, со помалку од 15% од напаѓачи што користат RDP како влезна точка (една година претходно тој процент беше поголем од 30%.) Но, лошите вести се тоа што многу компании сè уште не го прифаќаат концептот нула доверба или потребата да се знае (Zero Trust или Need-to-know). Многу внатрешни мрежи се уште имаат цинични администратори на системи кои со години ги нарекуваат „мека, млитава внатрешност“, дури и кога изгледаат како да се цврсти однадвор.
Имено, статистиката покажува дека во над 80% од нападите RDP бил злоупотребен за да им помогне на напаѓачите да дојдат од компјутер на компјутер кога веќе ја пробиле надворешната школка, или она што е жаргонски познато како латерално движење.
Со други зборови, дури и ако многу компании изгледа како да и зајакнале своите RDP пристапни портали однадвор (нешто што секако заслужува пофалба), сепак главно се потпираат на т.н. периметарка одбрана како главна алатка за сајбер безбедност.
Но, денешните мрежи, особено во свет во кој сè повеќе луѓе работат од дома во споредба со пред три години, немаат повеќе периметар. (Како аналогија со реалниот свет, замислете колку историски градови имаат ѕидини одоколу, но сега се повеќе туристички атракции отколку што се апсорбиран во модерните градски центри.)
Врз основа на тоа што знаеме дека сајбер непријателите тешко ќе нè начекаат тотално неспремни, нашиот едноставен совет е да го прочитате извештајот.
Во КАБТЕЛ, силно веруваме дека клучот за да останете напред во брзата ИКТ индустрија лежи…
Секоја петта компанија доживеала прекршување на податоците Според степенот на ризик од сајбер закани кои…
Sophos XDR: Нова генеративна функционалност на вештачката интелигенција и подобрувања на истрагите Работете самоуверено и…
Ослободете го целосниот потенцијал на вашите операции со SCADA автоматизација SCADA системите за надзорна контрола…
Sophos Firewall: Новi Desktop Firewalls XGS Series и нова верзија Sophos Firewall Operating System v21…
Кабтел повторно Key Industrial Partner на Thales, со зајакната посветеност кон иновативни и безбедни решенија…