Podmioty zajmujące się zagrożeniami potrzebują coraz mniej czasu na przejęcia sieci
Firma ochroniarska CrowdStrike opublikowała niedawno interesujący nowy raport „polowania na zagrożenia”, który rzuca światło na niepokojący trend wśród cyberprzestępców. Raport pokazuje, że hakerzy potrzebują coraz mniej czasu, aby przejść od początkowego włamania i złamania systemu w otwartej sieci do uzyskania pełnego dostępu i przemieszczenia się na boki w całej sieci.
CrowdStrike wykorzystał dane zebrane z blisko 250 tys. punktów końcowych wykorzystywanych przez klientów firmy i wykorzystał je w swoim raporcie. Dane pokazują, że cyberprzestępcy potrzebowali średnio około półtorej godziny, aby przejść od początkowej infiltracji do bocznego ruchu w sieci ofiary.
Ruch boczny, z definicji, to punkt, w którym podmiotowi zagrażającemu udało się wdrożyć środki zaradcze w celu wykrywania utknięcia i jest w stanie poruszać się między różnymi hostami w sieci, mając dostęp do swoich systemów plików i będąc w stanie zainstalować na nich dodatkowe złośliwe oprogramowanie , a także wydobyć z nich dane.
Już ta nadmiernie uproszczona definicja jasno pokazuje, że zespół ds. bezpieczeństwa IT ofiary będzie miał znacznie więcej problemów z zagrożeniem, któremu udało się zabezpieczyć ruch boczny w sieci.
Hakerzy, którzy przeszli od początkowego włamania do ruchu bocznego, są w stanie wdrożyć oprogramowanie ransomware w sieci ofiary, a także użyć dodatkowych złośliwych narzędzi, aby udaremnić wykrycie. Wszystko to pokazuje, jak ważna jest możliwość powstrzymania początkowego naruszenia i jak najszybsze działanie, aby uniemożliwić hakerom przejęcie większej części sieci.
Raport CrowdStrike pokazuje również, że w ponad jednej trzeciej śledzonych ataków hakerzy przeszli od początkowego włamania do ruchu bocznego w czasie krótszym niż pół godziny. Oznacza to ogromną presję na zespoły ds. bezpieczeństwa, aby powstrzymać naruszenia i uniemożliwić atakującym uzyskanie dalszego dostępu.
Chociaż prawdą jest, że cyberprzestępcy zazwyczaj będą musieli przeprowadzić wczesne rozpoznanie w sieci i wywęszyć dodatkowe słabe punkty, prosty fakt, że grupa hakerów może przejść od początkowego dostępu do sieci do pełnego dostępu i wdrożyć praktycznie każde dodatkowe złośliwe oprogramowanie, które pragnienie jest więcej niż trochę niepokojące.
