Breach lifecycle se nám opět o něco prodloužil

V průměru 287 dní trvá organizaci, než se vypořádá s útočníkem, který pronikl do její sítě.

A ještě horší na tom je, že počet dní od průniku do detekce se pohybuje kolem 212 dní a zbylých 75 dní je pak potřebných na obnovu provozu.

Alespoň to vyplývá z analýzy provedené Ponemon institutem a sponzorované společností IBM v 17 zemích světa v 537 organizacích různé velikosti a působících v 17 různých odvětvích, z nichž nejpočetnější byl finanční sektor.

Cíle útočníků:

  • osobní údaje zaměstnanců (lze zneužít k vydírání, sociálnímu inženýrství a k vedení dalších útoků)
  • data klientů (a to včetně těch anonymizovaných, protože i tato data jsou cenná v rámci business intelligence, bohužel stále velké množství firem si to neuvědomuje);
  • intelektuální vlastnictví.

Inicializační vektory útoku:

  • použití zcizených přihlašovacích údajů (2FA je prostě nutná, obzvlášť pokud nevyhodnocujete, odkud k přihlášení dochází);
  • phishing (a bude tomu tak nadále, protože byť si to někteří bezpečnostní experti nechtějí přiznat, human firewall selhává);
  • chyby v konfiguraci cloudů (stále se dělá spousta chyb při jejich konfiguraci a správě);
  • zranitelnosti v SW třetích stran (včetně pluginů a skriptů, které jsou s oblibou využívány za účelem snížení nákladů);
  • fyzický průnik do objektu společnosti (podceňováno, a i v ČR k němu dochází, jak ostatně ukázal i poslední výzkum);
  • zneužití přístupů zaměstnancem (proto je tak důležitá kvalitní personální politika);
  • ztráta zařízení (proto se vyplatí šifrovat celé disky a nenechávat to na uživateli).

Nejdelší breach lifecycle je u útoků, kde došlo:

  • k získání přihlašovacích údajů;
  • k ovládnutí e-mailového účtu (BEC);
  • ke zneužití přístupu samotným zaměstnancem;
  • k distribuci phishingu;
  • k fyzickému průniku do objektu (pozor na piggybacking).

Výrazně větší škody reportují organizace, které:

  • nedodržují legislativní požadavky, neboť je považují jen za šikanu ze strany státu (to lze pozorovat dlouhodobě);
  • neaplikovaly ZeroTrust přístup (pro mnohé stále něco nového);
  • nemají CSIRT týmy a netestují IRP plány (nedokáží průnik včas detekovat a reagovat na něj);
  • nezavedly automatizovaná řešení a technologie pro vyhodnocování bezpečnostních událostí využívajících AI/ML (průniky detekují příliš pozdě, anebo vůbec, a tohle bude do budoucna největší problém);
  • intenzivně migrují do cloudů a využívají public cloudy, ovšem ještě tuto technologii zcela nezvládly a nejsou ochotni si to přiznat;
  • provozují příliš velký počet různých řešení (příčiny jsou mimo jiné i v absenci strategického řízení, kdy si každá BU prosadí svoje řešení).

Zdroj: https://www.ibm.com/security/data-breach

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Breach lifecycle se nám opět o něco prodloužil” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: