Cyber resilience: Dwell time

Dwell time je doba, po kterou je útočník schopen zcela bez povšimnutí operovat v počítačové síti oběti.

Přičemž čas se začíná odpočítávat od okamžiku úspěšné kompromitace cíle a končí zjištěním, že došlo k napadení systému.

Je otázka, zda by se neměl Dwell time přestat počítat až v okamžiku, kdy dojde k zastavení útoku, protože jen pouhé odhalení skutečnosti, že byl systém napaden, samotný útok nezastaví a útočník může pokračovat ve svém nežádoucím konání a škoda může dál růst.

Mezi organizacemi a jejich schopnostmi detekovat probíhající kybernetické útoky jsou propastné rozdíly. Ze statistik, např. M-trends společnosti FireEye, která sleduje Dwell time již od roku 2010, vyplývá, že celosvětově došlo v poslední dekádě ke zkrácení Dwell time o několik stovek procent a nyní se tato hodnota pohybuje kolem pár měsíců.

Pokles v řádu stovek procent je jistě úžasný, nicméně pořád je to poměrně dlouhá doba, obzvlášť když si uvědomíme, že k získání citlivých informací anebo změně kritických dat ovlivňujících kvalitu produkce nebo zastavení výroby stačí mnohdy jen několik málo dní a v některých případech dokonce i pouhých pár hodin.

Z analýzy již proběhnuvších útoků jednoznačně vyplývá, že Dwell time posledních několik let vytrvale klesá, a zároveň roste i počet případů, kdy na to, že došlo k napadení, přišla organizace sama, a to v 60 % případů, nikoliv jen díky třetí straně, jako tomu bylo dříve, kdy třetí strana detekovala až 94 % takovýchto případů, což lze považovat za velice pozitivní zjištění.

Pokles mediánu Dwell time, rozuměj, do kdy nejpozději je 50 % hodnocených organizací schopno detekovat útočníka ve svém systému, ze 416 dnů v roce 2011 na 78 dnů v roce 2018, si lze vysvětlit především větším zájmem organizací o zabezpečení jejich dat a systémů a nasazením vhodných bezpečnostních opatření organizační a technické povahy.

Díky tomu jsou některé organizace schopny samy detekovat přítomnost útočníka ve své síti během několik málo dnů. Ovšem většina organizací je na tom podstatně hůře, a přítomnosti útočníka si všimne až za několik dlouhých týdnů a v mnoha případech dokonce až za několik měsíců ba dokonce i let.

Tato skutečnost je zachycena na obrázku níže, kde vidíme kolik procent organizací a do kdy je schopno detekovat přítomnost útočníka ve svém systému a na tento zjištěný kybernetický incident nějak reagovat.

Výše uvedené hodnoty je možné interpretovat i tak, že jen cca 15 % organizací je schopno detekovat přítomnost útočníka ve svém systému v řádu dnů, dalších 23 % je toho schopno až po několika týdnech, u 42 % to trvá několik měsíců a u více jak 19 % je přítomnost útočníka zjištěna až po několika letech.

Výsledky těchto výzkumů zkresluje fakt, že zatímco některé útoky jako je např. ransomware nebo cryptomining se projevují prakticky okamžitě, takže je mnohem snazší je detekovat, tak na krádež intelektuálního vlastnictví a postupné vysávání know-how z firmy se často přijde až mnohem později anebo taky vůbec.

Dále je třeba si také uvědomit, že ve statistice jsou zachyceny jen případy, které byly šetřeny, a skutečný počet útoků, o kterých nevíme, je mnohem vyšší. Nicméně lze předpokládat, že Dwell time i zde bude obdobný.

A konečně geografické členění na Ameriku, EMEA a APAC je značně zavádějící, neboť jsou zde smíchány dohromady vyspělé a zaostalé státy, které pak podstatně zhoršují výsledky v daném regionu.

A jaký je váš Dwell time? Chtěli byste ho zjistit? Není problém, obraťte se na nás.

Pokud jste se již stali obětí nějakého kybernetického útoku, jak dlouho vám trvalo, než jste jej odhalili? (Uveďte nejhorší případ.)

Zobrazit výsledky

Nahrávání ... Nahrávání ...

Jak dlouho vám trvalo, než se vám podařilo plně obnovit činnost vaší organizace po kybernetickém útoku? (Uveďte nejhorší případ.)

Zobrazit výsledky

Nahrávání ... Nahrávání ...

Jaký byl vůbec nejhorší finanční dopad kybernetického útoku, kterému jste kdy čelili? (dopady jsou uvedeny v jednotkách Kč.)

Zobrazit výsledky

Nahrávání ... Nahrávání ...
Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. Miroslav

    Dwell time se nám dle posledního výzkumu M-Trends opět výrazně snížil, v průměru jsou organizace schopny detekovat útok do 16 dnů, 40 % dokonce do týdne, ale i nadále zde jsou organizace, které útok detekují až po několika měsících nebo dokonce i letech. Nejčastějším vektorem útoku je exploitace (32 %) následovaná phishingem (22 %) a ukradenými přihlašovacími údaji (14 %).


K článku “Cyber resilience: Dwell time” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: