Breach lifecycle se nám moc nezměnil
Průměrný breach lifecycle se v minulém roce pohyboval kolem 277 dní.
Přičemž 207 dnů útočník operoval skrytě v síti organizace, než se jej podařilo odhalit a dalších 70 dnů pak trvala obnova a vypořádání se s následky incidentu. V zásadě se jedná o dost podobná čísla jako loni. Drobné zlepšení v řádu jednotek dnů nehraje v podstatě žádnou roli.
Pořád je to příliš dlouhá doba, po kterou se útočník může nerušeně pohybovat v síti organizace a rovněž dlouhou dobu trvá i odstranění následků a náprava škod. A překvapením asi také nebude, že škody vyplývající z útoků rok od roku vytrvale rostou.
Co snižuje dobu potřebnou k odhalení průniku a rovněž i škodu, je použití bezpečnostních technologií využívajících automatizaci a AI, zavedení DevSecOps, ustanovení CSIRT, šifrování a bezpečností osvěta. Co naopak zvyšuje škodu, je komplexita bezpečnostních systémů, nesoulad s bezpečnostními požadavky a v neposlední řadě pak nezvládnutá migrace do cloudů (tento problém, zdá se, stále přetrvává).
Nejnižší škody stabilně zaznamenávají organizace, které mají ustanoven CSIRT, vypracované a otestované IRP plány (útok dříve detekují a zvládnou), zaveden vyspělý proces řízení rizik (vědí, čemu se mají prioritně věnovat), a vyznávají Zero Trust přístup (nikomu a ničemu nevěří).
Pokud jde o vektory útoku, tak nejčastěji se jednalo o zneužití přihlašovacích údajů (očividně není ověřováno, kdo, kdy a odkud se přihlašuje), phishing (není detekován a příliš se spoléhá na bezpečnostní osvětu), chyby v konfiguraci cloudů (víra v cloud a jeho zabezpečení je zdá se stále bezbřehá), zranitelnosti v software třetích stran a v neposlední řadě vlastní zaměstnance organizace (mají legitimní přístup k systému a k datům). Ostatní vektory útoku byly zaznamenány v méně než 10 % případů.
Bez zajímavosti také není, že nejdéle (243 dnů) trvalo přijít na průniky, kde byl jako vektor útoku použit kompromitovaný účet, což není překvapující. A nejkratší dobu (183 dnů) pak pro změnu trvalo odhalení chyby konfigurace v cloudu, což je sice hezké, ale ve výsledku nelze hovořit o úspěchu.
V 19 % případů došlo k průniku skrze dodavatelský řetězec. K 45 % průnikům došlo v cloudech a nejnižší škoda byla v případě cloudů tam, kde byla sdílená odpovědnost a použit hybridní cloud. Ovšem je třeba si uvědomit, že se jedná o případ, kdy 72 % organizací nějaký ten cloud již využívá.
Opět byla potvrzena silná závislost mezi dobou potřebnou k odhalení průniku a škodou (čím delší breach lifecycle, tím větší škoda) a rovněž mezi dobou, po kterou se útočník pohyboval v síti organizace a dobou potřebnou k odstranění následků (čím kratší breach lifecycle, tím rychleji se daří následky útoku zvládnout). Rychlejší detekce, např. pomocí XDR znamenala v průměru o 29 dní rychlejší odhalení útoku a škodu o necelých 10 % nižší.
Zdroj: Cost of a Data Breach Report 2022, který je výsledkem spolupráce IBM Security a Ponemon Institutu, který získal data od 550 organizací působících v 17 zemích a 17 odvětvích (nejpočetněji byl zastoupen finanční sektor a to 16% podílem).
Štítky: kybernetická bezpečnost
K článku “Breach lifecycle se nám moc nezměnil” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
