Субъектам угроз нужно все меньше времени для захвата власти
Фирма по безопасности CrowdStrike недавно опубликовала интересный новый отчет об «поиске угроз», который проливает свет на тревожную тенденцию среди злоумышленников. Отчет показывает, что хакерам требуется все меньше времени, чтобы перейти от первоначального взлома и взлома системы в открытой сети до получения полного доступа и горизонтального перемещения по всей сети.
CrowdStrike использовал данные, собранные почти с 250 тысяч конечных точек, используемых клиентами компании, и использовал их в своем отчете. Данные показывают, что в среднем злоумышленникам требовалось около полутора часов, чтобы перейти от первоначального проникновения к боковому перемещению в сети жертвы.
Боковое движение по определению - это точка, в которой злоумышленник сумел применить контрмеры для обнаружения остановки и может перемещаться между разными хост-машинами в сети, имея доступ к их файловым системам и имея возможность развертывать на них дополнительные вредоносные программы. , а также извлекать из них данные.
Именно из этого упрощенного определения становится ясно, что у группы ИТ-безопасности жертвы будет гораздо больше проблем, связанных с злоумышленником, которому удалось обезопасить боковое перемещение по сети.
Хакеры, которые перешли от первоначального взлома к боковому перемещению, могут развернуть программу-вымогатель в сети жертвы, а также использовать дополнительные вредоносные инструменты, чтобы помешать обнаружению. Все это показывает, насколько жизненно важно иметь возможность локализовать первоначальное нарушение и действовать как можно быстрее, чтобы не допустить захвата хакерами большей части сети.
Отчет CrowdStrike также показывает, что более чем в трети отслеженных им атак хакеры переходили от первоначального взлома к боковому перемещению менее чем за полчаса. Это означает огромное давление на службы безопасности с целью локализации нарушений и предотвращения дальнейшего доступа злоумышленников.
Хотя это правда, что злоумышленникам, как правило, необходимо провести раннюю разведку сети и вынюхивать дополнительные слабые места, простой факт, что группа хакеров может перейти от начального доступа к сети до полного доступа и развертывания практически любого дополнительного вредоносного ПО, которое они хочу более чем немного касается.
