Ransomware je efikasniji nego ikada
Organizacije i dalje ne uspevaju da sprovedu odgovarajuće mere za logovanje, povećavajući teškoće s kojima se suočavaju odgovorni za odbranu od incidenata, u identifikaciji uzroka informaciono-bezbednosnih napada.
Teška vremena za odgovorne, koji se bore s najbržim napadima ransomware-a
U 42 odsto analiziranih slučajeva reagovanja na incidente (IR) prema Sophos-u, organizacije nisu imale potrebne telemetrijske zapise potrebne za pravilnu analizu događaja. Kompanija za bezbednost procenjuje da su u 82 odsto ovih slučajeva sajber kriminalci bili krivi nakon onemogućavanja ili brisanja telemetrije i mogućnosti beleženja. Glavni ciljevi napadača prilikom brisanja zapisa uključuju izbegavanje otkrivanja, identifikacije i pripisivanja, kao i održavanje pristupa unutar sistema.
U gotovo četvrtini slučajeva, organizacije koje su doživele sigurnosni incident nisu imale odgovarajuće beleženje dostupno za odgovorne za incidente.
“To je bilo zbog različitih faktora, uključujući nedovoljno zadržavanje, re-imaging ili nedostatak konfiguracije”, navodi Sophos u svom najnovijem izveštaju. “U istrazi, to ne samo da bi značilo da podaci ne bi bili dostupni za ispitivanje, već bi branitelji morali provesti vreme razmišljajući o tome zašto nisu bili dostupni.”
Kada organizacije nemaju odgovarajuće mere beleženja, to je često zbog ograničenja resursa i uopšte, ograničenih IT i podatkovnih mogućnosti, rekao je Peter Mackenzie, direktor odgovora na incidente u Sophos-u.
Ove entitete često čine kompanije male do srednje veličine i one koje nisu u sektorima fokusiranim na IT, dodao je. Odsustvo zapisa takođe može ukazivati na moguće napore organizacije da prikrije napad.
“Vreme je ključno pri reagovanju na aktivnu pretnju; vreme između uočavanja početnog događaja pristupa i potpune opasnosti od pretnji trebalo bi da bude što kraće”, kaže John Shier, Sophos field CTO, u izveštaju.
“Što dalje napadač stigne u nizu napada, veća je glavobolja za odgovorne. Nedostatak telemetrije samo dodaje vreme remedijacijama koje većina organizacija ne može priuštiti. Zato su potpuni i tačni zapisi esencijalni, ali često vidimo da organizacije nemaju potrebne podatke.”
Beleženje se često smatra neophodnim u industriji bezbednosti za preduzeća koja žele izgraditi snažnu bezbednosnu postavku i plan za odgovor na incidente koji omogućava brzo oporavak od napada.
U slučajevima sigurnosnih incidenata, zapisi omogućavaju odgovornima za incidente da vide gde i kada je sve počelo, kako je napadač uspeo da uđe, gde pokazuje IP adresa, koji korisnički nalog izvršava određeni zadatak i još mnogo toga.
“Zapisi pružaju ključne uvide u aktivnosti mreže i sistema, pomažući u otkrivanju, istraživanju i razumevanju sigurnosnih incidenata”, kaže Mackenzie u izveštaju. Oni su takođe izuzetno vredan resurs za branitelje i one čije su uloge van ili pored kibernetičke bezbednosti. Oni mogu pomoći u istraživanju problema s performansama, utvrđivanju koji sistemi mogu pristupiti određenim resursima i pružanju upozorenja na događaje poput skoro pune kapaciteta skladištenja, na primer.
Organizacije koje traže načine da spreče brisanje zapisa, treba da implementiraju stroge kontrole pristupa i obezbediti redovno pravljenje i sigurno skladištenje rezervnih kopija, rekao je Shier. Imati sisteme SIEM uključene za praćenje u stvarnom vremenu i primenjivati nepromenljive zapise takođe su dobre ideje.
Sophos tvrdi da nema opravdanja za organizacije koje nemaju sistem beleženja, posebno s obzirom da je Microsoft od septembra ove godine učinio beleženje besplatnim za korisnike čak i na svojim osnovnim licencama.
Izvan Microsoft-a, Američka agencija za kibernetičku sigurnost i infrastrukturu (CISA) preuzela je kormilo Logging Made Easy, besplatnog i otvorenog SIEM rešenja za organizacije koje nemaju mogućnosti beleženja.
Originalno razvijen od strane Nacionalne agencije za kibernetičku sigurnost Ujedinjenog Kraljevstva (NCSC), ali penzionisan od strane GCHQ-ove kibernetičke jedinice u aprilu, CISA sada upravlja projektom i čini ga besplatnim za sve putem GitHub-a. “Dizajn samoinstalacije LME koristi besplatni, javno dostupni softver za vođenje performansi i transparentnosti”, rekla je CISA prošlog meseca. “Ali besplatan i otvoren ne znači da nije zaštićen. LME je testiran, siguran i pouzdan. Takođe je podržan nasleđem visokih performansi, što je ilustrovano pozitivnim prijemom njegove prethodne iteracije pod nadzorom NCSC-a.”
Ransomware je brži nego ikada
Zapisi mogu biti posebno korisni prilikom istraživanja ransomware-a, mogu otkriti koje sistemi jesu i nisu pristupljeni od strane naloga koji zapisi mogu pokazati da je kompromitovan.
Podaci Sophos-a podržavaju Secureworks u oktobru koji je otkrio da su vremena boravka napadača ransomware-a sada merena u satima umesto dana.
Napadi ransomware-a koji traju duže od pet dana sada se smatraju ‘sporim napadima’, kaže izveštaj Sophos-a, sa 62 odsto svih incidenata koji padaju u ovu kategoriju.
Preostalih 38 odsto smatra se ‘brzim’ i odvija se u manje od pet dana. U nekim slučajevima napada na lanac snabdevanja, vatrogasci Sophos-a su videli implementaciju ransomware-a unutar šest sati jedan za drugim.
Prema Secureworks-u, tipično vreme između napadača koji prave početnu intruziju u organizaciju i implementaciju ransomware-a smanjilo se na 24 sata. U deset odsto slučajeva, ransomware je implementiran u roku od pet sati.
U Sophos-ovom izveštaju, Shier kaže da napadači verovatno neće menjati svoje taktike dok potpuno ne prestanu da rade. To bi trebalo biti dobrodošla vest za branitelje jer bez inovacija napadača znači da se strategije odbrane ne moraju drastično menjati.
“Ključ je povećati trenje kad god je to moguće – ako napadačima otežate posao, možete dodati vredno vreme za reagovanje, produžujući svaku fazu napada”, kaže on. “Na primer, u slučaju napada ransomware-a, ako imate više trenja, možete odložiti vreme do eksfiltracije; eksfiltracija se često događa neposredno pre otkrivanja i često je najskuplji deo napada.
Izvor: Theregister
