Детальний аналіз фактичних атак на компанії відкриває нову аферу, яку використовують кіберзлочинці, щоб приховати тривалість свого перебування та таким чином перешкодити швидкому захисному реагування. Новий звіт Sophos Active Adversary Report розкриває прийоми, які використовують кіберзлочинці.
Компанія Sophos опублікувала новий звіт про активну супротивницю. Особливо вражаюче: у 42 відсотках проаналізованих атак були відсутні телеметричні протоколи, а у 82 відсотках цих випадків зловмисники активно дезактивували або видалили дані телеметрії, щоб приховати свої атаки. Крім того, тривалість перебування в зламаній системі продовжує зменшуватися, продовжуючи тенденцію з останнього звіту.
Звіт про активного противника
«Активний супротивник» — це технічний термін, який описує тип стратегії атаки на систему. На відміну від суто технічних і автоматизованих атак, у цьому типі атак грає роль людський фактор: кіберзлочинці активно сидять за клавіатурою та індивідуально реагують на обставини в проникнутій системі. Ці стелс-мандрівки додатково підтримуються прогалинами в телеметрії, оскільки вони зменшують необхідну видимість у мережах і системах. Велика проблема, особливо тому, що час, витрачений зловмисниками - від початкового доступу до виявлення - постійно зменшується, і тому час для захисної реакції також менший.
«Час є критичним фактором у відповіді на активну загрозу. Етап між виявленням початкового доступу та повним розрядженням ситуації має бути якомога коротшим. Чим далі злочинці просуваються в ланцюжку нападу, тим більше проблем ми бачимо в центрі захисту. Відсутність телеметричних даних збільшує час відновлення, чого більшість організацій не можуть собі дозволити. Тому повна та точна реєстрація дуже важлива. «Але ми бачимо, що надто часто організації не мають даних, які їм насправді потрібні», — каже про проблему телеметрії Джон Шиєр, технічний директор Sophos.
У системі менше п’яти днів – швидкі атаки програм-вимагачів становлять 38 відсотків
У звіті Active Adversary Report Sophos класифікує атаки програм-вимагачів, які тривають до п’яти днів, як «швидкі атаки». У розглянутих випадках таких було 38 відсотків. «Повільні напади» - це напади, які іноді тривають набагато довше п'яти днів. Таких було 62 відсотки. Навіть якщо «швидкі» атаки все ще менш поширені, їхня частка в загальній картині постійно зростає – і з таких причин: зловмисники реагують на кращі методи виявлення в компаніях, які залишають їм менше часу, а кіберзлочинці тепер також легко практикуються. . «Як і в будь-якому іншому процесі, повторення та практика, як правило, дають кращі результати», — каже Джон Шаєр. «Цього року сучасному програмному забезпеченню-вимагачу виповнюється десять років, багато прикладів, щоб перетворити все більше злочинців на експертів. Тим більш небезпечний розвиток подій, коли багато оборонних стратегій не встигають».
При дослідженні швидких і повільних типів було виявлено невеликі варіації в інструментах, техніках і LOLBins (виконуваних файлах, що живуть поза землею), які використовують зловмисники. Це свідчить про те, що захисникам атакованої системи не потрібно заново винаходити свої стратегії захисту, оскільки час перебування зменшується. Однак компанії повинні усвідомлювати, що швидкі атаки та відсутність телеметрії можуть перешкоджати швидкому реагуванню та згодом призвести до значно більших збоїв у бізнес-операціях.
Нові захисні заходи не є абсолютно необхідними
«Кіберзлочинці ліниві, вони вносять зміни, лише якщо це означає, що вони можуть краще досягти своєї мети. Зловмисники не змінюють те, що відбувається, навіть якщо це означає, що їх виявляють швидше після проникнення. Це гарна новина для організацій, оскільки їм не потрібно радикально змінювати свою оборонну стратегію лише тому, що зловмисники ввімкнули турбо. Захисні заходи, що виявляють швидкі атаки, ефективні для всіх атак, незалежно від часу. Це також включає повну телеметрію, надійний захист для всіх зон і всюдисущий моніторинг», — зазначає Шаєр. «Ключ у тому, щоб збільшити стійкість. Якщо ви ускладнюєте нападникам і подовжуєте кожну фазу атаки, у вас буде більше часу для реакції.
Звіт Sophos Active Adversary Report базується на 232 випадках реагування на інциденти з 1 січня 2022 року по 30 червня 2023 року в 25 галузях. Постраждалі організації розташовані в 34 різних країнах на шести континентах. 83 відсотки випадків торкнулися компанії з кількістю співробітників менше 1.000 осіб. Звіт надає практичну інформацію про те, як фахівці з безпеки можуть оптимально розробляти свої оборонні стратегії.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.