Sophos

Cyberprzestępcy spędzają w firmowej sieci średnio 11 dni zanim zostaną wykryci

  • Cyberprzestępcy spędzają w firmowej sieci średnio 11 dni zanim zostaną wykryci

Powiększ

W pandemii ponad połowa polskich firm (54%) zauważyła wzrost liczby cyberataków. Według analityków firmy Sophos przestępcy zostają wykryci średnio dopiero po 264 godzinach od wejścia do firmowej sieci. W tym czasie mogą swobodnie poruszać się po zasobach i wykradać dane przedsiębiorstwa. Coraz trudniej namierzyć złośliwą działalność, jednak może w tym pomóc pandemia. W ubiegłym roku wzrosły umiejętności i szybkość reagowania zespołów IT.

Nawet rok na wykradanie danych i złośliwe działania

Atakujący mają średnio aż 11 dni na działania w firmowych systemach zanim zostaną wykryci. Według analityków Sophos w niektórych przypadkach przestępcy są namierzani dopiero po 15 miesiącach. W tym czasie mogą swobodnie przemieszczać się w sieci, przeglądać firmowe zasoby, pobierać dane uwierzytelniające i wykradać poufne informacje. W większości przypadków do powstrzymania przestępców nie wystarczy przy tym VPN czy wieloskładnikowe uwierzytelnianie. Chronią one dostęp z zewnątrz, jednak aż 69% ataków obchodzi te zabezpieczenia i wykorzystuje protokół zdalnego pulpitu RDP (ang. Remote Desktop Protocol) do poruszania się wewnątrz sieci.

Setki narzędzi, dziesiątki grup przestępczych

Krajobraz cyberzagrożeń jest złożony – analitycy Sophos zidentyfikowali aż 37 różnych grup atakujących, które stosowały ponad 400 narzędzi. Wiele z tych narzędzi jest przy tym w pełni legalnych i wykorzystywanych na co dzień także przez administratorów czy specjalistów IT. Dlatego dostrzeżenie różnicy między niegroźną a złośliwą aktywnością jest coraz trudniejsze. Sytuację dodatkowo utrudnia fakt, że przestepcy często instalują sterowniki wyłączające programy zabezpieczające, które mogłyby przerwać atak.

Czerwoną lampkę powinno zapalić wykrycie legalnego narzędzia lub aktywności w nietypowym miejscu. Ważne jest sprawdzanie każdego incydentu: to, że działanie zostało zablokowane nie oznacza, że zagrożenie w pełni zneutralizowano. Atakujący już naruszył serwer i może wypróbować inne techniki, które nie zostały wykryte. Warto ustanowić odpowiednie zasady dostępu pracowników i urządzeń do narzędzi czy aplikacji. Łatwiej wtedy namierzyć podejrzane działania – wskazuje Grzegorz Nocoń, inżynier systemów w firmie Sophos.

Zespoły IT szybsze i skuteczniejsze

Ponad połowa zespołów IT w Polsce w trakcie pandemii zuważyła wzrost liczby cyberataków. Intensyfikacja zagrożeń i nakładów pracy umożliwiła im jednak nabycie nowych doświadczeń. Aż 53% zespołów uważa, że w ostatnim roku rozwinęło swoje umiejętności i wiedzę z zakresu bezpieczeństwa. Pomimo nowych wyzwań 36% stwierdziło, że ich morale wzrosło. Ponad połowa (52%) zauważa też, że szybciej reaguje na incydenty.

54% zespołów IT na świecie uważa, że cyberataki są obecnie zbyt zaawansowane, aby móc sobie z nimi poradzić samodzielnie. Znaczenia nabierają więc rozwiązania bazujące na sztucznej inteligencji. Jednak nie można zapominać, że równie ważnym jak technologia elementem ochrony firmy jest człowiek i jego zdolność reagowania. Rozwój umiejętności i doświadczenia specjalistów IT spowodowany pandemią przełoży się na zwiększenie bezpieczeństwa firm. Będą potrafili korzystać z dostępnej technologii tak, aby w pełni chronić zasoby – mówi Grzegorz Nocoń.

Badanie IT Security Team: 2021 and Beyond zostało przeprowadzone przez Vanson Bourne, niezależną agencję badawczą, w styczniu i lutym 2021 roku. W badaniu wzięło udział 5 400 decydentów z branży IT w 30 krajach: USA, Kanadzie, Brazylii, Chile, Kolumbii, Meksyku, Austrii, Francji, Niemczech, Wielkiej Brytanii, Włoszech, Holandii, Belgii, Hiszpanii, Szwecji, Szwajcarii, Polsce, Czechach, Turcji, Izraelu, Zjednoczonych Emiratach Arabskich, Arabii Saudyjskiej, Indiach, Nigerii, RPA, Australii, Japonii, Singapurze, Malezji i na Filipinach. Wszyscy respondenci pochodzili z firm zatrudniających od 100 do 5 000 pracowników.

Analizę ekspertów Sophos dotyczącą cyberataków i narzędzi wykorzystywanych przez przestępców można znaleźć pod linkiem: https://news.sophos.com/en-us/2021/05/18/the-active-adversary-playbook-2021/

Materiały dodatkowe

wersja do druku Wróć