Trusselsaktører har brug for stadig mindre tid til netværksovertagelser
Sikkerhedsfirmaet CrowdStrike offentliggjorde for nylig en interessant ny "trusselsjagt" -rapport, der kaster lys over en bekymrende tendens blandt trusselsaktører. Rapporten viser, at hackere har brug for stadig mindre tid til at gå fra det første brud og krakning af et system på et åbent netværk til at få fuld adgang og bevæge sig sideværts på tværs af hele netværket.
CrowdStrike brugte data indsamlet fra næsten 250 tusinde slutpunkter brugt af virksomhedens kunder og brugte dem i sin rapport. Dataene viser, at trusselsaktører i gennemsnit havde brug for cirka en og en halv time for at gå fra første infiltration til sideværts bevægelse på et offerets netværk.
Lateral bevægelse er pr. Definition det punkt, hvor trusselsaktøren har formået at implementere modforanstaltninger for at standse opdagelse og er i stand til at bevæge sig mellem forskellige værtsmaskiner på et netværk, have adgang til deres filsystemer og være i stand til at implementere yderligere malware på dem , samt eksfiltrere data fra dem.
Netop denne forenklede definition gør det helt klart, at et ofres it -sikkerhedsteam vil have langt flere problemer med at håndtere en trusselsaktør, der har formået at sikre lateral bevægelse på tværs af netværket.
Hackere, der er gået fra første brud til sideværts bevægelse, er i stand til at implementere ransomware på offerets netværk samt bruge yderligere ondsindede værktøjer til at modvirke opdagelse. Alt dette viser, hvor vigtigt det er at kunne indeholde det indledende brud og handle så hurtigt som muligt for at forhindre hackerne i at overtage en større del af netværket.
CrowdStrikes rapport viser også, at mere end en tredjedel af de angreb, den sporede, så hackere gå fra første brud til lateral bevægelse på mindre end en halv time. Dette betyder et enormt pres på sikkerhedsteams for at indeholde overtrædelser og forhindre, at angriberne får yderligere adgang.
Selvom det er rigtigt, at trusselsaktører normalt vil skulle foretage en tidlig rekonstruktion på et netværk og snuse rundt for yderligere svage punkter, er den simple kendsgerning, at en gruppe hackere kan gå fra indledende netværksadgang til fuld adgang og implementere stort set enhver ekstra malware, de ønsker er mere end lidt bekymrende.
