7 δυσάρεστες αλήθειες της Ασφάλειας Endpoint: Μια έκθεση της Sophos
Μια έκθεση που κυκλοφόρησε πρόσφατα από τη Sophos αποκαλύπτει ότι οι διαχειριστές πληροφορικής είναι πιθανότερο να βρουν κυβερνοεγκληματίες στους διακομιστές και στα δίκτυά τους από οπουδήποτε αλλού.
Στη μελέτη, 7 δυσάρεστες αλήθειες της ασφάλειας endpoint (7 Uncomfortable Truths of Endpoint Security), συμμετείχαν πάνω από 3100 διαχειριστές πληροφορικής σε 12 διαφορετικές χώρες σε όλο το εύρος της βιομηχανίας και μεγέθη εταιρειών και οργανισμών και διεξήχθη από την ανεξάρτητη εταιρεία ερευνών Vanson Bourne.
Η έκθεση αποκαλύπτει ότι οι διαχειριστές πληροφορικής ανακάλυψαν ότι το 37% των σημαντικότερων κυβερνοεπιθέσεων πραγματοποιείται στους διακομιστές του οργανισμού τους και το 37% στα εταιρικά δίκτυά τους. Μόνο το 17% των επιθέσεων ανακαλύφθηκε σε τερματικές συσκευές (endpoints) και μόλις το 10% σε φορητές συσκευές (π.χ smartphones).
Πιθανότατα θα έχετε ακούσει το εξής: «Δεν είναι θέμα «αν», αλλά το «πότε» θα παραβιαστείτε». Μάλιστα, τα αποτελέσματα της έρευνας υποστηρίζουν το παραπάνω, αφού η πλειονότητα των οργανισμών που ανταποκρίθηκε στην έρευνα της Sophos δήλωσε ότι έχει ήδη παραβιαστεί (68% κατά μέσο όρο σε παγκόσμιο επίπεδο).
Αυτός είναι και ο λόγος που παρατηρείται μία ολοένα αυξανόμενη δυναμική, να μην επικεντρωνόμαστε μόνο σε εργαλεία και τακτικές που απλώς εξουδετερώνουν τις επιθέσεις, αλλά και να ενισχύουμε τα προγράμματα αντιμετώπισης απειλών ώστε να εντοπίζουν ταχύτερα τους εισβολείς εντός του δικτύου ενώ παράλληλα ανταποκρίνονται αποτελεσματικότερα στις ήδη υπάρχουσες επιθέσεις.
Με άλλα λόγια, για την ασφάλεια των οργανισμών δεν είναι πλέον αρκετό να λαμβάνουμε υπόψη μόνο τις απειλές που αποκλείστηκαν στην «περίμετρο». Οι εταιρείες πρέπει επίσης να επικεντρωθούν και στο “χρόνο παραμονής”, που είναι ο χρόνος που χρειάζεται για να εντοπιστεί μια επίθεση που βρίσκεται σε εξέλιξη.
Από τις ομάδες που μπόρεσαν να μετρήσουν οριστικά τον μέσο χρόνο παραμονής ενός επιτιθέμενου, απάντησαν ότι θα μπορούσαν να εντοπίσουν κάποιον εισβολέα σε μόλις 13 ώρες, ενώ οργανισμοί στην Αυστραλία, στη Βραζιλία και στο Καναδά ανέφεραν τις 10 ώρες παραμονής στο ένα άκρο του μέσου όρου. Η Ιαπωνία αναφέρει 17 ώρες από την άλλη.
Αν δεν είστε εξοικειωμένοι για τη συζήτηση στη βιομηχανία γύρω από το χρόνο παραμονής, οι 13 ώρες μοιάζουν με μια αιωνιότητα για έναν εισβολέα που θα ριζώσει γύρω από τα οργανωτικά σας περιουσιακά στοιχεία, όμως σε σύγκριση με άλλα σημεία αναφοράς της βιομηχανίας – όπως είναι η έκθεση Verizon Data Breach Investigations Report (DBIR) που οι ερωτηθέντες κατά μέσο όρο αναφέρθηκαν σε χρόνο παραμονής εβδομάδων ή μηνών – οι 13 ώρες μοιάζουν εξαιρετικά λίγες.
Καθώς οι συμμετέχοντας και οι τύποι απειλών που έλαβαν μέρος σε αυτήν την έρευνα και οι μελέτες Verizon Data Breach Investigations Reports δεν είναι όμοια, δεν μπορούμε και δεν πρέπει να μπαίνουμε σε διαδικασία σύγκρισης μεταξύ των δύο. Αντ ‘αυτού, η συγκεκριμένη έκθεση της Sophos εξηγεί σε βάθος γιατί υπάρχει τέτοια διαφορά στα αποτελέσματα και γιατί η απόσταση στους χρόνους ανίχνευσης από εκείνους με dedicated ομάδες ασφαλείας έναντι εκείνων που δεν έχουν επιδεικνύει τέτοια μεταβλητότητα.
Η έλλειψη ορατότητας στη συμπεριφορά των επιτιθέμενων και οι πληροφορίες σχετικά με τις διαδρομές των εισβολέων εξακολουθούν να αποτελούν σημαντικό εμπόδιο για την ανίχνευση των επιθέσεων και τη μείωση του χρόνου παραμονής. Το 20% των διαχειριστών πληροφορικής που έπεσαν θύματα ενός ή περισσοτέρων κυβερνοεπιθέσεων πέρυσι δεν μπορεί να προσδιορίσει τον τρόπο που εισέβαλαν οι επιτιθέμενοι στις υποδομές τους και το 17% δεν γνωρίζει πόσο καιρό βρίσκεται η απειλή στο περιβάλλον τους πριν εντοπιστεί, σύμφωνα με την έρευνα.
Για να βελτιωθεί αυτή η έλλειψη ορατότητας, οι διαχειριστές πληροφορικής χρειάζονται τεχνολογία ανίχνευσης και απόκρισης endpoint (Endpoint Detection and Response – EDR), η οποία προσδιορίζει από που προέρχονται οι απειλές, καθώς και τα ψηφιακά αποτυπώματα των εισβολέων που κινούνται «πλευρικά» εντός του δικτύου. Το 57% των ερωτηθέντων δήλωσε ότι δεν είχαν στη διάθεσή τους μια λύση EDR εκείνη τη στιγμή, αλλά σχεδίαζαν να εφαρμόσουν μία λύση μέσα στους επόμενους 12 μήνες.
Ο Chester Wisniewski, επικεφαλής ερευνητής της Sophos δήλωσε:
«Εάν οι διαχειριστές πληροφορικής δεν γνωρίζουν την προέλευση ή την κίνηση μιας επίθεσης, τότε δεν μπορούν να ελαχιστοποιήσουν τον κίνδυνο και να διακόψουν την αλυσίδα επίθεσης για να αποτρέψουν περαιτέρω διείσδυση.
Το EDR (Endpoint Detection and Response ) βοηθά τους διαχειριστές IT να εντοπίσουν τον κίνδυνο και να θέσουν σε εφαρμογή μια διαδικασία για τους οργανισμούς και στα δύο άκρα του μοντέλου ωριμότητας ασφαλείας. Αν το τμήμα IT επικεντρώνεται περισσότερο στην ανίχνευση, μία λύση EDR μπορεί να εντοπίσει, να μπλοκάρει και να αποκαταστήσει ταχύτερα. Αν το τμήμα IT βρίσκεται σε φάση οικοδόμησης των θεμελίων της ασφάλειας ενός οργανισμού, το EDR είναι ένα αναπόσπαστο κομμάτι που παρέχει το εξαιρετικά αναγκαίο “threat intelligence”»
Κατά μέσο όρο, οι οργανισμοί που διερευνούν ένα ή περισσότερα δυνητικά συμβάντα ασφαλείας κάθε μήνα, δαπανούν 48 ημέρες το χρόνο (τέσσερις ημέρες το μήνα) για την διερεύνηση των περιστατικών, σύμφωνα με την έρευνα. Δεν αποτελεί έκπληξη ότι οι διαχειριστές πληροφορικής κατέταξαν τον εντοπισμό των ύποπτων γεγονότων (27%), τη διαχείριση συναγερμών (18%) και την ιεράρχησης των ύποπτων γεγονότων (13%) στα τρία κορυφαία χαρακτηριστικά που χρειάζονται από τις λύσεις EDR για να ανιχνεύσουν και να ανταποκριθούν σε ειδοποιήσεις ασφαλείας.
Αν οι managers IT έχουν στο οπλοστάσιο τους την άμυνα σε βάθους που φέρνει μία λύση EDR, μπορούν να διερευνήσουν ένα περιστατικό πιο γρήγορα και να χρησιμοποιήσουν την προκύπτουσα «threat intelligence» για να βοηθήσουν στην εξεύρεση της ίδιας λοίμωξης σε ολόκληρο το φάσμα ενός οργανισμού, σε μία ομάδα εταιρειών ή ακόμα σε μεγαλύτερη κλίμακα. Από τη στιγμή που οι κυβερνοεγκληματίες γνωρίζουν ότι ορισμένα είδη επιθέσεων λειτουργούν, τότε τυπικώς τα αναπαράγουν μέσα στους οργανισμούς. Η αποκάλυψη και η παρεμπόδιση μοτίβων επίθεσης θα βοηθούσε στη μείωση του αριθμού των ημερών που δαπανούν οι διαχειριστές πληροφορικής για τη διερεύνηση πιθανών περιστατικών.
Αυτή η αναφορά εξηγεί τις ιδιαιτερότητες των απειλών που εντοπίστηκαν (τι είδους και που), καθώς και τους πόρους που δαπανώνται για την έρευνα περιστατικών και συμβάντων. Έχοντας μια ευρύτερη εικόνα των βιομηχανιών σε διάφορες γεωγραφικές περιοχές και οργανωτικά μεγέθη, η έκθεση αυτή αναδεικνύει τις απροσδόκητες προκλήσεις που αντιμετωπίζει η ασφάλεια των επιχειρήσεων σε ολόκληρο τον κόσμο.
Διαβάστε την πλήρη έκθεση ή μάθετε περισσότερα για το Sophos Intercept X με EDR.