Gyorsul a biztonsági incidensek reagálási ideje, de még mindig óriási a lemaradás

Noha a védelmi megoldások egyre gyorsabban képesek detektálni a zsarolásra kiélezett kibertámadásokat, azért még így is aggasztó a helyzet. A legfrissebb adatok azt mutatják, hogy az idei első félévben a behatolás és észlelés közötti idő 8 napra adódott, ami jó hír, mert 2022-ben még 10 nap volt. Számol be róla híranyagában a biztonságportál

A Sophos egy érdekes kiberbiztonsági elemzésről számolt be, amely jól rávilágít napjaink kibertámadásainak “anatómiájára”. Egyebek mellett megtudhatjuk belőle, hogy mennyi ideig képesek észrevétlenek maradni a kiberbűnözők, és azt is, hogy melyek azok a napok, illetve időszakok, amikor a legaktívabbak. 

A Sophos felmérésének egyik része az úgynevezett “Dwell Time” időt elemzi. Ez a biztonsági cégnél azt az időintervallumot jelenti, amely a kibertámadás megindítása, és annak detektálása között telik el. Vagyis azt az időszakot fedi le, amíg a támadók észrevétlenül tudják végezni a nemkívánatos tevékenységeiket. A legfrissebb adatok azt mutatják, hogy az idei első félévben ez az idő (annak mediánja) 8 napra adódott, ami jó hír, mert 2022-ben még 10 nap volt. Vagyis a detektálási idő két nappal lerövidült. A zsarolóvírusokra épülő incidensek esetén még jobb a helyzet, ugyanis a ransomware támadások (eszköz átmeneti zárolása, titkosítása) esetében a Dwell mediánja 5 napra adódott szemben a 2022-ben mért 10 nappal. 

A cég ezen a ponton megjegyezte, hogy ebben az évben az összes kibertámadás 68,7 százalékában jutottak szerephez zsarolóvírusok. Emellett az is látható, hogy az incidensek több mint 43 százalékának esetében adatszivárgás is történt. 

A biztonsági kutatók arra is kíváncsiak voltak, hogy a kiberbűnözők mikor a legaktívabbak. Az ezirányú vizsgálatok során kiderült, hogy a legtöbb kibertámadás kedden, szerdán és csütörtökön következik be. Tovább boncolgatva az adatokat az is elmondható, hogy az incidensek általában a (helyi idő szerinti) munkaidő végén vagy azt követően indulnak. Ennek nyilván az az oka, hogy ilyenkor az informatikusok már lassabban tudnak válaszlépéseket tenni. 

A Sophos azt is megjegyezte, hogy a zsarolóvírusokkal történő fertőzések esetén a pénteki és szombati napok is meglehetősen népszerűek a bűnözők körében, ami szintén azért van, mert ilyenkor sok üzemeltető már nem dolgozik az irodában, így a riasztásokra nem képesek azonnal reagálni. 

Változatlanul súlyos probléma az RDP (távoli asztal)

A Sophos továbbra is úgy látja, hogy a kibertámadások szempontjából az RDP még mindig egy nagyon gyenge láncszem. A távoli asztali kapcsolatokat kihasználó támadások aránya nagyon magas: az összes incidens 95 százalékában szerepet kap az RDP. Ez azonban nem azt jelenti, hogy mindig ez lenne az elsődleges behatolási pont. Az incidensek 18 százalékában valóban az RDP “segíti” a kívülről történő bejutást a hálózatokba, de a többi esetben akkor kerül elő a távoli asztal, amikor az elkövetők már a belső hálózatokban járkálnak, és igyekeznek szerverekhez hozzáférni. 

Forrás: biztonságportál