Breach life cycle se nám opět o něco prodloužil

V průměru 287 dní trvá organizaci, než se vypořádá s útočníkem, který pronikl do její sítě.

A ještě horší na tom je, že počet dní od průniku do detekce se pohybuje kolem 212 dní a zbylých 75 dní je pak potřebných na obnovu provozu.

Alespoň to vyplývá z analýzy provedené Ponemon institutem a sponzorované společností IBM v 17 zemích světa v 537 organizacích různé velikosti a působících v 17 různých odvětvích, z nichž nejpočetnější byl finanční sektor.

Cíle útočníků:

  • osobní údaje zaměstnanců (lze zneužít k vydírání, sociálnímu inženýrství a k vedení dalších útoků)
  • data klientů (a to včetně těch anonymizovaných, protože i tato data jsou cenná v rámci business intelligence, bohužel stále velké množství firem si to neuvědomuje);
  • intelektuální vlastnictví.

Inicializační vektory útoku:

  • použití zcizených přihlašovacích údajů (2FA je prostě nutná, obzvlášť pokud nevyhodnocujete, odkud k přihlášení dochází);
  • phishing (a bude tomu tak nadále, protože byť si to někteří bezpečnostní experti nechtějí přiznat, human firewall selhává);
  • chyby v konfiguraci cloudů (stále se dělá spousta chyb při jejich konfiguraci a správě);
  • zranitelnosti v SW třetích stran (včetně pluginů a skriptů, které jsou s oblibou využívány za účelem snížení nákladů);
  • fyzický průnik do objektu společnosti (podceňováno, a i v ČR k němu dochází, jak ostatně ukázal i poslední výzkum);
  • zneužití přístupů zaměstnancem (proto je tak důležitá kvalitní personální politika);
  • ztráta zařízení (proto se vyplatí šifrovat celé disky a nenechávat to na uživateli).

Nejdelší breach lifecycle je u útoků, kde došlo:

  • k získání přihlašovacích údajů;
  • k ovládnutí e-mailového účtu (BEC);
  • ke zneužití přístupu samotným zaměstnancem;
  • k distribuci phishingu;
  • k fyzickému průniku do objektu (pozor na piggybacking).

Výrazně větší škody reportují organizace, které:

  • nedodržují legislativní požadavky, neboť je považují jen za šikanu ze strany státu (to lze pozorovat dlouhodobě);
  • neaplikovaly ZeroTrust přístup (pro mnohé stále něco nového);
  • nemají CSIRT týmy a netestují IRP plány (nedokáží průnik včas detekovat a reagovat na něj);
  • nezavedly automatizovaná řešení a technologie pro vyhodnocování bezpečnostních událostí využívajících AI/ML (průniky detekují příliš pozdě, anebo vůbec, a tohle bude do budoucna největší problém);
  • intenzivně migrují do cloudů a využívají public cloudy, ovšem ještě tuto technologii zcela nezvládly a nejsou ochotni si to přiznat;
  • provozují příliš velký počet různých řešení (příčiny jsou mimo jiné i v absenci strategického řízení, kdy si každá BU prosadí svoje řešení).

Zdroj: https://www.ibm.com/security/data-breach

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Breach life cycle se nám opět o něco prodloužil” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: