Breach lifecycle se nám moc nezměnil

Průměrný breach lifecycle se v minulém roce pohyboval kolem 277 dní.

Přičemž 207 dnů útočník operoval skrytě v síti organizace, než se jej podařilo odhalit a dalších 70 dnů pak trvala obnova a vypořádání se s následky incidentu. V zásadě se jedná o dost podobná čísla jako loni. Drobné zlepšení v řádu jednotek dnů nehraje v podstatě žádnou roli.

Pořád je to příliš dlouhá doba, po kterou se útočník může nerušeně pohybovat v síti organizace a rovněž dlouhou dobu trvá i odstranění následků a náprava škod. A překvapením asi také nebude, že škody vyplývající z útoků rok od roku vytrvale rostou.

Co snižuje dobu potřebnou k odhalení průniku a rovněž i škodu, je použití bezpečnostních technologií využívajících automatizaci a AI, zavedení DevSecOps, ustanovení CSIRT, šifrování a bezpečností osvěta. Co naopak zvyšuje škodu, je komplexita bezpečnostních systémů, nesoulad s bezpečnostními požadavky a v neposlední řadě pak nezvládnutá migrace do cloudů (tento problém, zdá se, stále přetrvává).

Nejnižší škody stabilně zaznamenávají organizace, které mají ustanoven CSIRT, vypracované a otestované IRP plány (útok dříve detekují a zvládnou), zaveden vyspělý proces řízení rizik (vědí, čemu se mají prioritně věnovat), a vyznávají Zero Trust přístup (nikomu a ničemu nevěří).

Pokud jde o vektory útoku, tak nejčastěji se jednalo o zneužití přihlašovacích údajů (očividně není ověřováno, kdo, kdy a odkud se přihlašuje), phishing (není detekován a příliš se spoléhá na bezpečnostní osvětu), chyby v konfiguraci cloudů (víra v cloud a jeho zabezpečení je zdá se stále bezbřehá), zranitelnosti v software třetích stran a v neposlední řadě vlastní zaměstnance organizace (mají legitimní přístup k systému a k datům). Ostatní vektory útoku byly zaznamenány v méně než 10 % případů.

Bez zajímavosti také není, že nejdéle (243 dnů) trvalo přijít na průniky, kde byl jako vektor útoku použit kompromitovaný účet, což není překvapující. A nejkratší dobu (183 dnů) pak pro změnu trvalo odhalení chyby konfigurace v cloudu, což je sice hezké, ale ve výsledku nelze hovořit o úspěchu.

V 19 % případů došlo k průniku skrze dodavatelský řetězec. K 45 % průnikům došlo v cloudech a nejnižší škoda byla v případě cloudů tam, kde byla sdílená odpovědnost a použit hybridní cloud. Ovšem je třeba si uvědomit, že se jedná o případ, kdy 72 % organizací nějaký ten cloud již využívá.

Opět byla potvrzena silná závislost mezi dobou potřebnou k odhalení průniku a škodou (čím delší breach lifecycle, tím větší škoda) a rovněž mezi dobou, po kterou se útočník pohyboval v síti organizace a dobou potřebnou k odstranění následků (čím kratší breach lifecycle, tím rychleji se daří následky útoku zvládnout). Rychlejší detekce, např. pomocí XDR znamenala v průměru o 29 dní rychlejší odhalení útoku a škodu o necelých 10 % nižší.

Zdroj: Cost of a Data Breach Report 2022, který je výsledkem spolupráce IBM Security a Ponemon Institutu, který získal data od 550 organizací působících v 17 zemích a 17 odvětvích (nejpočetněji byl zastoupen finanční sektor a to 16% podílem).

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Breach lifecycle se nám moc nezměnil” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: