Grėsmės veikėjams reikia vis mažiau laiko tinklo perėmimui
Saugumo įmonė „CrowdStrike“ neseniai paskelbė naują įdomią „grėsmių medžioklės“ ataskaitą, kuri atskleidžia nerimą keliančią grėsmių veikėjų tendenciją. Ataskaita rodo, kad įsilaužėliams reikia vis mažiau laiko nuo pradinio pažeidimo ir sistemos įtrūkimo atvirame tinkle iki visiškos prieigos ir judėjimo į šoną visame tinkle.
„CrowdStrike“ panaudojo duomenis, surinktus iš beveik 250 tūkstančių galutinių taškų, kuriuos naudojo bendrovės klientai, ir panaudojo juos savo ataskaitoje. Duomenys rodo, kad vidutiniškai grėsmės veikėjams reikėjo maždaug pusantros valandos, kad nuo pradinio įsiskverbimo iki šoninio judėjimo aukos tinkle būtų galima pereiti.
Šoninis judėjimas pagal apibrėžimą yra ta vieta, kurioje grėsmės veikėjas sugebėjo panaudoti atsakomąsias priemones, kad sustabdytų aptikimą ir galėtų judėti tarp skirtingų tinklo kompiuterių, turinčių prieigą prie jų failų sistemų ir galėdamas jose įdiegti papildomų kenkėjiškų programų. , taip pat iš jų išfiltruoti duomenis.
Tik šis pernelyg supaprastintas apibrėžimas visiškai aiškiai parodo, kad aukos IT saugumo komanda turės daug daugiau problemų, susijusių su grėsmės veikėju, kuris sugebėjo užtikrinti šoninį judėjimą tinkle.
Įsilaužėliai, kurie nuo pradinio pažeidimo perėjo prie šoninio judėjimo, gali įdiegti išpirkos reikalaujančią programinę įrangą aukų tinkle, taip pat naudoti papildomas kenkėjiškas priemones aptikti. Visa tai rodo, kaip gyvybiškai svarbu suvaldyti pradinį pažeidimą ir veikti kuo greičiau, kad įsilaužėliai neperimtų didesnės tinklo dalies.
„CrowdStrike“ ataskaita taip pat rodo, kad daugiau nei trečdalis jos stebėtų atakų pastebėjo, kad įsilaužėliai nuo pradinio pažeidimo iki šoninio judėjimo perėjo mažiau nei per pusvalandį. Tai reiškia didžiulį spaudimą saugumo komandoms sulaikyti pažeidimus ir neleisti užpuolikams toliau naudotis.
Nors tiesa, kad grėsmių veikėjai paprastai turės atlikti ankstyvą tinklo atkūrimą ir apuostyti, ar nėra papildomų silpnų vietų, paprastas faktas, kad įsilaužėlių grupė gali pereiti nuo pirminės prieigos prie tinklo iki visiškos prieigos ir įdiegti praktiškai bet kokią papildomą kenkėjišką programinę įrangą noras yra daugiau nei šiek tiek nerimą keliantis dalykas.
