Během 82 % útoků s chybějící telemetrií kyberzločinci vypnuli nebo smazali protokoly

1. 12. 2023. (redaktor: František Doupal, zdroj: Sophos)
Studii Active Adversary Report for Security Practitioners společnosti Sophos zjistila, že telemetrické záznamy chyběly u téměř 42 % zkoumaných útoků. V 82 % z těchto případů kyberzločinci telemetrii vypnuli nebo vymazali, aby po sobě zametli stopy.

Mezery v telemetrii omezují tolik potřebný přehled o dění v sítích a systémech organizací, zejména proto, že doba pohybu útočníka v síti (tedy doba od počátečního přístupu do detekci) se stále zkracuje. Tím se zkracuje i doba, kterou mají obránci na účinnou reakci na incident.

„Při reakci na aktivní hrozbu je rozhodující čas. Doba mezi zjištěním počátečního přístupu a úplným odvrácením hrozby by měla být co nejkratší. Čím dále v řetězci útoku se útočník dostane, tím větší budou mít obránci problémy. Chybějící telemetrie jen prodlužuje dobu nápravy, a to si většina organizací nemůže dovolit. Proto je nezbytné úplné a přesné logování. Až příliš často se ale setkáváme s tím, že organizace nemají potřebná data k dispozici,“ řekl John Shier, technický ředitel společnosti Sophos.

Sophos ve své studii klasifikuje ransomwarové útoky s dobou pohybu v síti kratší nebo rovnou pěti dnům jako „rychlé“, a ty tvořily 38 % zkoumaných případů. „Pomalé“ ransomwarové útoky jsou takové, při kterých se útočníci zdrželi v síti déle než pět dní. Ty představují 62 % případů.

Při zkoumání těchto „rychlých“ a „pomalých“ ransomwarových útoků na detailní úrovni se nástroje, techniky a binární soubory typu LOLBins (living-off-the-land), které útočníci nasadili, příliš nelišily, což naznačuje, že obránci nemusí se zkracující se dobou pohybu útočníků v síti vymýšlet nové obranné strategie. Obránci si ale musí uvědomit, že rychlé útoky by mohly ztížit včasnou reakci, což by vedlo k větší destrukci.

„Kyberzločinci inovují, jen když musí, a jen do té míry, aby se dostali ke svému cíli. Útočníci nezmění to, co funguje, i když se v době od proniknutí do sítě po detekci pohybují rychleji. To je pro organizace dobrá zpráva, protože nemusí radikálně měnit svou obrannou strategii, přestože útočníci postupují rychleji. Stejná obrana, která detekuje rychlé útoky, se použije na všechny incidenty bez ohledu na rychlost. To zahrnuje kompletní telemetrii, komplexní ochranu a všudypřítomné monitorování,“ řekl Shier. „Klíčem k úspěchu je zkomplikovat útok jakkoli je to možné. Pokud útočníkům ztížíte práci, můžete získat cenný čas na reakci a prodloužit každou fázi útoku.

„Pokud například zkomplikujete ransomwarový útok, můžete oddálit dobu do exfiltrace dat,“ dodal Shier. „Exfiltrace přitom často nastává těsně před detekcí a je také často tou nejnákladnější částí útoku. To se stalo ve dvou případech ransomwarových útoků skupiny Cuba. Jedna ze společností měla zavedeno nepřetržité monitorování pomocí MDR, takže jsme byli schopni odhalit škodlivou aktivitu a zastavit útok během několika hodin, abychom zabránili krádeži dat. Druhá společnost takový bezpečnostní prvek neměla, a útok zaznamenala až několik týdnů po prvotním přístupu a poté, co skupina Cuba již úspěšně exfiltrovala 75 gigabajtů citlivých dat. Teprve pak zavolali náš tým pro reakci na incidenty, a ještě o měsíc později se stále snažili vrátit k běžnému provozu.“

O studii

Studie Sophos Active Adversary Report for Security Practitioners vychází z poznatků při 232 případech reakce společnosti Sophos na incidenty ve 25 odvětvích v období od 1. ledna 2022 do 30. června 2023. Organizace, které byly cílem útoku, se nacházely ve 34 různých zemích na šesti kontinentech. Plných 83 % případů pocházelo z organizací s méně než 1 000 zaměstnanci.

Štítky: 
Bezpečnost, Ransomware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Vliv bezpečnostních řešení na pojistné události v kyberbezpečnosti

4. 4. 2025. (redaktor: František Doupal, zdroj: Sophos)
Z průzkumu společnosti Sophos vyplývá, že hodnota pojistného plnění z kybernetického pojištění, které uplatňují organizace využívající služby MDR, je v průměru o 97,5 % nižší než u organizací, které se spoléhají pouze na ochranu koncových bodů. Čtěte více

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více