Średni czas wykrycia obecności cyberprzestępców w infrastrukturze IT w 2023 r. skrócił się z 10 do 8 dni, lecz jak wynika z raportu firmy Sophos, hakerzy potrzebują zaledwie 16 godzin, aby dotrzeć do najbardziej krytycznych zasobów przedsiębiorstwa. Celem atakujących jest najczęściej Active Directory, czyli usługa katalogowa systemu Windows, która pozwala na zarządzanie dostępami do danych. Za jej pomocą przeprowadzający atak mogą sami zwiększyć swoje uprawnienia i wywołać jeszcze większe szkody.
Raport „The Sophos Active Adversary Report for Business” został opracowany na podstawie analiz sporządzonych przez zespół Sophos Incident Response. Dane zawarte w raporcie pochodzą ze śledztw przeprowadzonych od stycznia do lipca 2023 r. w firmach z 25 różnych branż w 33 krajach z całego świata, w tym w Polsce. 88% śledztw dotyczyło firm zatrudniających mniej niż 1000 pracowników.
Cyberprzestępcy atakują „po godzinach”
Najbardziej powszechnymi atakami na firmy były te z wykorzystaniem ransomware. Stanowiły one aż 69% wszystkich badanych przypadków. Co więcej, w czterech na pięć ataków cyberprzestępcy szyfrowali firmowe pliki poza godzinami pracy przedsiębiorstw. Blisko połowa (43%) działań hakerów była wykrywana w piątki lub soboty.
Dlaczego hakerom zależy na Active Directory?
Analitycy Sophos zwracają również uwagę na to, jak niewiele czasu potrzebują atakujący, by przejąć kontrolę nad infrastrukturą Active Directory (AD), która odpowiada za zarządzanie dostępami. Zazwyczaj wystarczy zaledwie 16 godzin, aby cyberprzestępcy zapewnili sobie szeroki dostęp do wszystkich firmowych systemów, aplikacji oraz plików.
Atak, w czasie którego Active Directory trafi w ręce cyberprzestępców, jest jednym z najgorszych scenariuszy dla osób zajmujących się cyberbezpieczeństwem. Hakerzy niszczą w ten sposób fundament bezpieczeństwa całej firmy, co oznacza, że obrońcy swoje działania na rzecz przywrócenia pełnej funkcjonalności systemów muszą zaczynać właściwie od zera. Tym samym powrót do operacyjności jest dłuższy i bardziej kosztowny.
Sophos Incident Response Services Retainer – nowość od firmy Sophos
W ostatnim roku aż 65% firm doświadczyło poważnego naruszenia bezpieczeństwa mimo znacznych inwestycji w narzędzia cyberbezpieczeństwa.
W 2022 roku średni czas powrotu do operacyjności wyniósł aż 63 dni, przy wydatkach rzędu 3 milionów dolarów (ponad 12 milionów złotych) na usuwanie szkód. Sposobem na zwiększenie bezpieczeństwa, przy jednoczesnym obniżeniu kosztów, jest posiadanie zespołu specjalistów reagujących na zagrożenia, zanim dojdzie do cyberataku.
Sophos Incident Response Services Retainer to nowa roczna subskrypcja obejmująca zestaw narzędzi do reagowania na krytyczne incydenty naruszenia bezpieczeństwa oraz całodobowy dostęp do grupy specjalistów zajmujących się reagowaniem na zagrożenia.
Poza krótszym czasem reakcji na działania cyberprzestępców abonenci zyskują również opinie ekspertów na temat podatności firmy na ataki, porady na temat uszczelniania ochrony systemów i przeciwdziałania zaistniałym incydentom. W przypadku ataku abonent natychmiastowo zyskuje dostęp do najbardziej zaawansowanej usługi Sophos MDR na okres 45 dni bez żadnych dodatkowych opłat.
