Breach lifecycle se nám opět o něco prodloužil

V průměru 287 dní trvá organizaci, než se vypořádá s útočníkem, který pronikl do její sítě.

A ještě horší na tom je, že počet dní od průniku do detekce se pohybuje kolem 212 dní a zbylých 75 dní je pak potřebných na obnovu provozu.

Alespoň to vyplývá z analýzy provedené Ponemon institutem a sponzorované společností IBM v 17 zemích světa v 537 organizacích různé velikosti a působících v 17 různých odvětvích, z nichž nejpočetnější byl finanční sektor.

Cíle útočníků:

• osobní údaje zaměstnanců (lze zneužít k vydírání, sociálnímu inženýrství a k vedení dalších útoků)
• data klientů (a to včetně těch anonymizovaných, protože i tato data jsou cenná v rámci business intelligence, bohužel stále velké množství firem si to neuvědomuje);
• intelektuální vlastnictví.

Inicializační vektory útoku:

• použití zcizených přihlašovacích údajů (2FA je prostě nutná, obzvlášť pokud nevyhodnocujete, odkud k přihlášení dochází);
• phishing (a bude tomu tak nadále, protože byť si to někteří bezpečnostní experti nechtějí přiznat, human firewall selhává);
• chyby v konfiguraci cloudů (stále se dělá spousta chyb při jejich konfiguraci a správě);
• zranitelnosti v SW třetích stran (včetně pluginů a skriptů, které jsou s oblibou využívány za účelem snížení nákladů);
• fyzický průnik do objektu společnosti (podceňováno, a i v ČR k němu dochází, jak ostatně ukázal i poslední výzkum);
• zneužití přístupů zaměstnancem (proto je tak důležitá kvalitní personální politika);
• ztráta zařízení (proto se vyplatí šifrovat celé disky a nenechávat to na uživateli).

Nejdelší breach lifecycle je u útoků, kde došlo:

• k získání přihlašovacích údajů;
• k ovládnutí e-mailového účtu (BEC);
• ke zneužití přístupu samotným zaměstnancem;
• k distribuci phishingu;
• k fyzickému průniku do objektu (pozor na piggybacking).

Výrazně větší škody reportují organizace, které:

• nedodržují legislativní požadavky, neboť je považují jen za šikanu ze strany státu (to lze pozorovat dlouhodobě);
• neaplikovaly ZeroTrust přístup (pro mnohé stále něco nového);
• nemají CSIRT týmy a netestují IRP plány (nedokáží průnik včas detekovat a reagovat na něj);
• nezavedly automatizovaná řešení a technologie pro vyhodnocování bezpečnostních událostí využívajících AI/ML (průniky detekují příliš pozdě, anebo vůbec, a tohle bude do budoucna největší problém);
• intenzivně migrují do cloudů a využívají public cloudy, ovšem ještě tuto technologii zcela nezvládly a nejsou ochotni si to přiznat;
• provozují příliš velký počet různých řešení (příčiny jsou mimo jiné i v absenci strategického řízení, kdy si každá BU prosadí svoje řešení).

Zdroj: https://www.ibm.com/security/data-breach

Štítky: kybernetická bezpečnost

K článku “Breach lifecycle se nám opět o něco prodloužil” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

Δ

 Chci zasílat upozornění na nové komentáře e-mailem.