Cyberprzestępcy spędzają w firmowej sieci średnio 11 dni, zanim zostaną wykryci

W trakcie pandemii ponad połowa polskich firm (54 proc.) zauważyła wzrost liczby cyberataków. W opublikowanej w maju br. analizie Active Adversary Playbook 2021 analitycy firmy Sophos ujawniają, że przestępcy zostają wykryci średnio dopiero po 11 dniach od przeniknięcia do firmowej sieci. W tym czasie mogą swobodnie poruszać się po zasobach i wykradać dane przedsiębiorstwa. Coraz trudniej namierzyć złośliwą działalność, jednak pomocna w tym zakresie może okazać się pandemia. W ub.r. wzrosły bowiem umiejętności i szybkość reagowania zespołów IT.

Nawet rok na wykradanie danych i złośliwe działania

Mimo że średnio atakujący mają aż 11 dni na działania w firmowych systemach, zanim zostaną wykryci, to według analityków Sophos w niektórych przypadkach cyberprzestępcy są namierzani nawet dopiero po 15 miesiącach. W tym czasie mogą swobodnie przemieszczać się w sieci, przeglądać firmowe zasoby, pobierać dane uwierzytelniające i wykradać poufne informacje. W większości przypadków do ich powstrzymania nie wystarczy VPN czy wieloskładnikowe uwierzytelnianie. Metody te zabezpieczają przed nieuprawnionym dostępem z zewnątrz, jednak w aż 69 proc. ataków zabezpieczenia te są obchodzone poprzez wykorzystanie do poruszania się wewnątrz sieci protokołu zdalnego pulpitu RDP (Remote Desktop Protocol).

Setki narzędzi, dziesiątki grup przestępczych

Środowisko cyberzagrożeń jest złożone – w 2020 r. analitycy Sophos zidentyfikowali aż 37 różnych grup atakujących, które stosowały ponad 400 narzędzi. Wiele z nich w pełni legalnych i wykorzystywanych na co dzień także przez administratorów czy specjalistów IT. Dlatego dostrzeżenie różnicy między niegroźną a złośliwą aktywnością jest coraz trudniejsze. Sytuację dodatkowo utrudnia fakt, że przestępcy często instalują sterowniki wyłączające programy zabezpieczające, które mogłyby przerwać atak.

– Czerwoną lampkę powinno zapalić wykrycie legalnego narzędzia lub aktywności w nietypowym miejscu. Ważne jest sprawdzanie każdego incydentu: fakt zablokowania pewnego działania nie oznacza, że zagrożenie w pełni zneutralizowano. Atakujący już naruszył zabezpieczenia serwera i może wypróbować inne techniki, które nie zostały wykryte. Warto ustanowić odpowiednie zasady dostępu pracowników i urządzeń do narzędzi czy aplikacji. Łatwiej wtedy namierzyć podejrzane działania – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

Zespoły IT szybsze i skuteczniejsze

Według badania IT Security Team: 2021 and Beyond, ponad połowa zespołów IT w Polsce w trakcie pandemii zauważyła wzrost liczby cyberataków. Intensyfikacja zagrożeń i nakładów pracy umożliwiła im jednak nabycie nowych doświadczeń. Aż 53 proc. zespołów uważa, że w ostatnim roku rozwinęło swoje umiejętności i wiedzę z zakresu cyfrowego bezpieczeństwa. Pomimo nowych wyzwań, 36 proc. stwierdziło, że ich morale wzrosło. Ponad połowa (52 proc.) zauważa też, że szybciej reaguje na incydenty.

– 54 proc. zespołów IT na świecie uważa, że cyberataki są obecnie zbyt zaawansowane, aby móc sobie z nimi poradzić samodzielnie. Znaczenia nabierają więc rozwiązania bazujące na sztucznej inteligencji. Jednak nie można zapominać, że równie ważnym, jak cyfrowe techniki elementem ochrony firmy jest człowiek i jego zdolność reagowania. Rozwój umiejętności i doświadczenia specjalistów IT, związany ze wzrostem nakładu pracy, przełoży się na zwiększenie bezpieczeństwa firm. Specjaliści będą umieli korzystać z dostępnych narzędzi tak, aby w pełni chronić zasoby – podkreśla Grzegorz Nocoń.

Badanie IT Security Team: 2021 and Beyond zostało przeprowadzone przez Vanson Bourne, niezależną agencję badawczą, w styczniu i lutym 2021 r. W badaniu wzięło udział 5,4 tys. decydentów z branży IT w 30 krajach, m.in. w: USA, Francji, Niemczech, Wielkiej Brytanii, Włoszech, Polsce, Czechach i Japonii. Wszyscy respondenci pochodzili z firm zatrudniających od 100 do 5 tys. pracowników.