Badania dotyczące włamań pokazują, że atakujący potrafią – nie zwracając na siebie uwagi – miesiącami buszować po korporacyjnych sieciach. Bez zadbania o środki szybszego wykrywania naruszeń bezpieczeństwa sieci firmy narażają się na poważne straty.

Jeśli chodzi o bezpieczeństwo informacji i reagowanie na incydenty, kluczową rolę odgrywa czas. Im dłużej zajmuje wykrycie włamania i podjęcie środków zaradczych, tym więcej czasu atakujący ma, aby – bez żadnych reperkusji – wynosić z zaatakowanej organizacji cenne dane lub realizować inne działania. Obserwacje włamań umożliwiają oszacowanie średniego czasu, jaki upływa od rozpoczęcia ataku do jego wykrycia. W zależności od szacunków, takie statystyki wypadają źle lub bardzo źle. Nie pozostają one bez wpływu na firmy. Długo trwające włamania są bardzo kosztowne. Poniżej kilka liczb obrazujących ich skutki.

146 dni penetracji

Eksperci z Mandiant (część FireEye) są bardzo wiarygodnym źródłem informacji o tym, jak długo atakujący potrafią penetrować środowisko IT swoich ofiar. W tegorocznym raporcie M-trends eksperci ocenili, że w 2015 r. upływało średnio 146 dni od momentu rozpoczęcia do wykrycia ataku. Na pocieszenie można dodać, że w latach poprzednich było to aż 200 dni! Z kolei w ostatnim raporcie „Cost of Data Breach”, opublikowanych przez Ponemon Institute, możemy przeczytać, że średni czas trwania ataku wyniósł 201 dni.

56 dni, jeśli sam wykryjesz atak

Według danych opublikowanych przez Mandiant, duży wpływ na czas wykrycia ataku ma fakt, w jaki sposób do niego dochodzi. Włamania wykrywane samodzielnie przez ofiary wychodzą na jaw średnio po 56 dniach. Natomiast te, które są wykrywane przez podmioty zewnętrzne – partnerów, klientów, organy ścigania – zwykle pozostają niezauważone znacznie dłużej. Średnia w tym przypadku wynosi aż 320 dni!

Dłuższy atak to straty liczone w milionach

Według Ponemon Institute, im dłużej zajmuje wykrycie ataku i usunięcie jego skutków, tym większe stanowi on koszty dla organizacji. W przypadku włamań wykrytych szybciej niż w ciągu 100 dni koszty są średnio o 1 mln USD niższe niż przy atakach wykrytych po 100 dniach. Od 2013 r. – globalnie – łączne koszty włamań wzrosły o 29%. Jednocześnie jednak od czasu przeprowadzenia pierwszych badań, średni koszt pojedynczego włamania zmienił się w niewielkim stopniu. W regulowanych branżach – jak służba zdrowia czy usługi finansowe, gdzie przetwarzane są dane szczególnie wrażliwe – koszty włamań są najwyższe, ponieważ powodują ponadprzeciętną utratę klientów, a co za tym idzie również biznesu.

Koszty te można podzielić na dwie główne grupy: związane z wykryciem włamania oraz poniesione na usunięcie skutków. Do pierwszej kategorii zaliczają się wydatki na działania śledcze, usługi audytorskie, zarządzanie zespołem kryzysowym oraz wewnętrzną komunikację. Z kolei koszty usuwania skutków ataków to wydatki na pomoc techniczną, specjalne czynności śledcze, prawników, rabaty na produkty (aby utrzymać klientów) oraz usługi ochrony tożsamości.

Dane wyciekają w pierwszych dniach ataku

Przedsiębiorstwa potrzebują dużo czasu na wykrycie włamania, tymczasem atakujący działają bardzo szybko. Według ekspertów przygotowujących raport Verizon Data Breach Investigation Report 2016, najczęściej upływa kilka dni od momentu rozpoczęcia ataku i przełamania zabezpieczeń do chwili wykradzenia danych. Tak jest w prawie 99 proc. przypadków. To nie powinno dziwić, jeśli weźmiemy pod uwagę, że 89% incydentów ma podłoże finansowe lub chodzi o szpiegostwo przemysłowe. Badacze podkreślają, że nie ma branży czy organizacji, która byłaby odporna na kradzież danych. Ponad 80% ataków pochodzi z zewnątrz, przy czym ten odsetek jest podobny dla firm o dowolnej wielkości.

70 dni na posprzątanie

Wykrycie włamania jest dopiero pierwszym krokiem w kierunku stabilizacji działalności firmy. Według Ponemon Institute, potrzeba średnio 70 dni, aby usunąć skutki wykrytego ataku i przywrócić usługi do poprawnego działania. W przeprowadzonym badaniu okres ten wahał się u ankietowanych firm od 11 do 126 dni. Długość tego okresu zmienia się w zależności od przyczyn ataku. W przypadku wrogich działań usunięcie skutków zajmowało średnio 82 dni. Jeśli atak był spowodowany awarią, te działania pochłaniały 67 dni. Jeśli przyczyną był błąd ludzki, usunięcie skutków trwało 59 dni.

Verizon: mamy do czynienia z deficytem wykrywania

Szybkość wykradania danych i długi czas do wykrycia ataku prowadzą do zjawiska, które Verizon określa jako deficyt wykrywania. Badania pokazują, że ten deficyt stale rośnie od kilku lat. Atakujący są w stanie coraz szybciej przełamywać zabezpieczenia. Przykładowo, w atakach typu phishing, w których szkodliwy kod jest przesyłany w załączniku wiadomości e-mail, upływają sekundy od jego otwarcia do momentu złamania zabezpieczeń. W większości potwierdzonych włamań celem atakujących jest uzyskanie zdalnej kontroli z wykorzystaniem szkodliwego kodu, co również odbywa się bardzo szybko. Bardzo rzadko zajmuje to więcej niż kilka dni, a bywają przypadki, że wystarczy kilka minut. Na pocieszenie można dodać, że według danych zbieranych przez Verizon liczba ataków zaczyna powoli spadać.

Środki zaradcze, które warto podjąć

Kolejne ataki to także okazja, aby zebrać o nich nowe informacje prowadzące do wypracowania lepszych sposobów obrony. Na podstawie doświadczeń z ostatnich ataków można wskazać kilka dobrych praktyk. Przede wszystkim, trzeba pamiętać, że atakujący to człowiek i jego działania mogą być nieprzewidywalne. Dlatego należy starannie ocenić swoją gotowość do konfrontacji z nim. Przede wszystkim na rynku istnieje szereg skutecznych mechanizmów ochrony przed atakami typu ATP jak np. Malware Protection Sandbox. Rozwiązania te można podzielić na takie, które kontrolują określone kanały komunikacji – sieć internetową lub e-mail – oraz te instalowane bezpośrednio na komputerach użytkowników stanowiące niejako uzupełnienie tradycyjnych rozwiązań antywirusowych. Należy pamiętać, że raz powstrzymany atak nie oznacza, że cyberprzestępcy nie będą podejmować kolejnych – bardziej wyrafinowanych prób. Warto zatem zadbać o segmentację sieci oraz zachowanie kontroli nad kopiami zapasowymi. Kluczową rolę dla bezpieczeństwa IT odgrywać będą: odpowiednie zabezpieczenia sieci, badające w czasie rzeczywistym ruch w sieci, oraz ścisłe przestrzeganie procedur bezpieczeństwa.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn