Breach life cycle se nám moc nezměnil

Průměrný breach lifecycle se v minulém roce pohyboval kolem 277 dní.

Přičemž 207 dnů útočník operoval skrytě v síti organizace, než se jej podařilo odhalit a dalších 70 dnů pak trvala obnova a vypořádání se s následky incidentu. V zásadě se jedná o dost podobná čísla jako loni. Drobné zlepšení v řádu jednotek dnů nehraje v podstatě žádnou roli.

Pořád je to příliš dlouhá doba, po kterou se útočník může nerušeně pohybovat v síti organizace a rovněž dlouhou dobu trvá i odstranění následků a náprava škod. A překvapením asi také nebude, že škody vyplývající z útoků rok od roku vytrvale rostou.

Co snižuje dobu potřebnou k odhalení průniku a rovněž i škodu, je použití bezpečnostních technologií využívajících automatizaci a AI, zavedení DevSecOps, ustanovení CSIRT, šifrování a bezpečností osvěta. Co naopak zvyšuje škodu, je komplexita bezpečnostních systémů, nesoulad s bezpečnostními požadavky a v neposlední řadě pak nezvládnutá migrace do cloudů (tento problém, zdá se, stále přetrvává).

Nejnižší škody stabilně zaznamenávají organizace, které mají ustanoven CSIRT, vypracované a otestované IRP plány (útok dříve detekují a zvládnou), zaveden vyspělý proces řízení rizik (vědí, čemu se mají prioritně věnovat), a vyznávají Zero Trust přístup (nikomu a ničemu nevěří).

Pokud jde o vektory útoku, tak nejčastěji se jednalo o zneužití přihlašovacích údajů (očividně není ověřováno, kdo, kdy a odkud se přihlašuje), phishing (není detekován a příliš se spoléhá na bezpečnostní osvětu), chyby v konfiguraci cloudů (víra v cloud a jeho zabezpečení je zdá se stále bezbřehá), zranitelnosti v software třetích stran a v neposlední řadě vlastní zaměstnance organizace (mají legitimní přístup k systému a k datům). Ostatní vektory útoku byly zaznamenány v méně než 10 % případů.

Bez zajímavosti také není, že nejdéle (243 dnů) trvalo přijít na průniky, kde byl jako vektor útoku použit kompromitovaný účet, což není překvapující. A nejkratší dobu (183 dnů) pak pro změnu trvalo odhalení chyby konfigurace v cloudu, což je sice hezké, ale ve výsledku nelze hovořit o úspěchu.

V 19 % případů došlo k průniku skrze dodavatelský řetězec. K 45 % průnikům došlo v cloudech a nejnižší škoda byla v případě cloudů tam, kde byla sdílená odpovědnost a použit hybridní cloud. Ovšem je třeba si uvědomit, že se jedná o případ, kdy 72 % organizací nějaký ten cloud již využívá.

Opět byla potvrzena silná závislost mezi dobou potřebnou k odhalení průniku a škodou (čím delší breach lifecycle, tím větší škoda) a rovněž mezi dobou, po kterou se útočník pohyboval v síti organizace a dobou potřebnou k odstranění následků (čím kratší breach lifecycle, tím rychleji se daří následky útoku zvládnout). Rychlejší detekce, např. pomocí XDR znamenala v průměru o 29 dní rychlejší odhalení útoku a škodu o necelých 10 % nižší.

Zdroj: Cost of a Data Breach Report 2022, který je výsledkem spolupráce IBM Security a Ponemon Institutu, který získal data od 550 organizací působících v 17 zemích a 17 odvětvích (nejpočetněji byl zastoupen finanční sektor a to 16% podílem).

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Breach life cycle se nám moc nezměnil” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: