Cyberprzestępcy przeprowadzają ataki coraz szybciej i skutecznie zacierają po sobie ślady – wynika z badania „Active Adversary Report for Security Practitioners” zrealizowanego przez firmę Sophos. Blisko 40 proc. ataków z użyciem ransomware jest przeprowadzanych w mniej niż 5 dni po tym jak hakerzy uzyskają dostęp do firmowych zasobów. Co więcej, włamujący się do systemów często wyłączają dzienniki telemetryczne lub usuwają ich treść, aby jeszcze trudniej było ich namierzyć.
W ramach badania zespół Sophos Incident Response przeanalizował 232 przypadków naruszenia bezpieczeństwa w pierwszej połowie 2023 r. w 34 krajach na całym świecie. Autorzy raportu zwracają uwagę, że średni czas obecności cyberprzestępców w infrastrukturze IT (od momentu udanego włamania do rozpoczęcia szkodliwych działań) z każdym rokiem ulega skróceniu. Prawie 4 na 10 (38 proc.) wszystkich ataków z wykorzystaniem ransomware trwa krócej niż 5 dni. Eksperci Sophos klasyfikują je jako „szybkie”.
Specjaliści wskazują, że nie ma zbyt wielu różnic między „szybkimi” (mniej niż 5 dni) a „powolnymi” (więcej niż 5 dni) działaniami cyberprzestępców. We wszystkich przypadkach hakerzy stosowali podobny zestaw technik i narzędzi. W „szybkich” atakach cyberprzestępcy najczęściej uzyskiwali dostęp do firmowych zasobów poprzez naruszenie bezpieczeństwa łańcucha dostaw, wysyłanie wiadomości ze złośliwymi plikami udającymi zwykłe dokumenty oraz korzystanie z pozyskanych nielegalnie danych logowania. Jeśli czas wykrycia przekraczał 5 dni, atakujący najczęściej wykorzystywali znalezione luki w systemach zabezpieczeń.
– Czas od wykrycia włamania do pełnego ograniczenia intruzom dostępu do danych powinien być jak najkrótszy. Dodatkowym utrudnieniem wydłużającym czas potrzebny na wdrożenie działań naprawczych jest brak dzienników telemetrycznych. Kompletne i rzetelne rejestry są absolutnie niezbędnym elementem skutecznej ochrony. Niestety bardzo często firmy nie mają potrzebnych im danych – – komentuje John Shier, dyrektor ds. technologii w firmie Sophos.
Z danych Sophos wynika, że braki w dziennikach telemetrycznych dotyczyły 42 proc. analizowanych ataków. W aż 8 na 10 (82 proc.) tych przypadków cyberprzestępcy sami wyłączyli lub usunęli dane telemetryczne, aby zatrzeć po sobie ślady i tym samym utrudnić identyfikację.
Bardzo ważnym elementem skutecznych zabezpieczeń jest telemetria. Zapewnia ona pełny ogląd sytuacji i pozwala na eliminowanie „martwych punktów” w systemach ochrony.
Według ekspertów Sophos, aby umocnić poziom ochrony infrastruktury IT, należy postawić na solidne zabezpieczenia wielowarstwowe i stałe monitorowanie infrastruktury.
