Cyber resilience: Dwell time

Dwell time je doba, po kterou je útočník schopen zcela bez povšimnutí operovat v počítačové síti oběti.

Přičemž čas se začíná odpočítávat od okamžiku úspěšné kompromitace cíle a končí zjištěním, že došlo k napadení systému.

Je otázka, zda by se neměl Dwell time přestat počítat až v okamžiku, kdy dojde k zastavení útoku, protože jen pouhé odhalení skutečnosti, že byl systém napaden, samotný útok nezastaví a útočník může pokračovat ve svém nežádoucím konání a škoda může dál růst.

Mezi organizacemi a jejich schopnostmi detekovat probíhající kybernetické útoky jsou propastné rozdíly. Ze statistik, např. M-trends společnosti FireEye, která sleduje Dwell time již od roku 2010, vyplývá, že celosvětově došlo v poslední dekádě ke zkrácení Dwell time o několik stovek procent a nyní se tato hodnota pohybuje kolem pár měsíců.

Pokles v řádu stovek procent je jistě úžasný, nicméně pořád je to poměrně dlouhá doba, obzvlášť když si uvědomíme, že k získání citlivých informací anebo změně kritických dat ovlivňujících kvalitu produkce nebo zastavení výroby stačí mnohdy jen několik málo dní a v některých případech dokonce i pouhých pár hodin.

Z analýzy již proběhnuvších útoků jednoznačně vyplývá, že Dwell time posledních několik let vytrvale klesá, a zároveň roste i počet případů, kdy na to, že došlo k napadení, přišla organizace sama, a to v 60 % případů, nikoliv jen díky třetí straně, jako tomu bylo dříve, kdy třetí strana detekovala až 94 % takovýchto případů, což lze považovat za velice pozitivní zjištění.

Pokles mediánu Dwell time, rozuměj, do kdy nejpozději je 50 % hodnocených organizací schopno detekovat útočníka ve svém systému, ze 416 dnů v roce 2011 na 78 dnů v roce 2018, si lze vysvětlit především větším zájmem organizací o zabezpečení jejich dat a systémů a nasazením vhodných bezpečnostních opatření organizační a technické povahy.

Díky tomu jsou některé organizace schopny samy detekovat přítomnost útočníka ve své síti během několik málo dnů. Ovšem většina organizací je na tom podstatně hůře, a přítomnosti útočníka si všimne až za několik dlouhých týdnů a v mnoha případech dokonce až za několik měsíců ba dokonce i let.

Tato skutečnost je zachycena na obrázku níže, kde vidíme kolik procent organizací a do kdy je schopno detekovat přítomnost útočníka ve svém systému a na tento zjištěný kybernetický incident nějak reagovat.

Výše uvedené hodnoty je možné interpretovat i tak, že jen cca 15 % organizací je schopno detekovat přítomnost útočníka ve svém systému v řádu dnů, dalších 23 % je toho schopno až po několika týdnech, u 42 % to trvá několik měsíců a u více jak 19 % je přítomnost útočníka zjištěna až po několika letech.

Výsledky těchto výzkumů zkresluje fakt, že zatímco některé útoky jako je např. ransomware nebo cryptomining se projevují prakticky okamžitě, takže je mnohem snazší je detekovat, tak na krádež intelektuálního vlastnictví a postupné vysávání know-how z firmy se často přijde až mnohem později anebo taky vůbec.

Dále je třeba si také uvědomit, že ve statistice jsou zachyceny jen případy, které byly šetřeny, a skutečný počet útoků, o kterých nevíme, je mnohem vyšší. Nicméně lze předpokládat, že Dwell time i zde bude obdobný.

A konečně geografické členění na Ameriku, EMEA a APAC je značně zavádějící, neboť jsou zde smíchány dohromady vyspělé a zaostalé státy, které pak podstatně zhoršují výsledky v daném regionu.

A jaký je váš Dwell time? Chtěli byste ho zjistit? Není problém, obraťte se na nás.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Cyber resilience: Dwell time” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: