Średni czas wykrycia obecności cyberprzestępców w infrastrukturze IT w 2023 r. skrócił się z 10 do 8 dni. Jak wynika z raportu firmy Sophos, hakerzy potrzebują zaledwie 16 godzin, aby dotrzeć do najbardziej krytycznych zasobów przedsiębiorstwa. Celem atakujących jest najczęściej Active Directory, czyli usługa katalogowa systemu Windows, która pozwala na zarządzanie dostępami do danych. Za jej pomocą przeprowadzający atak mogą sami zwiększyć swoje uprawnienia w systemie ofiary i wywołać jeszcze większe szkody.
Cyberprzestępcy atakują „po godzinach”
Według analiz zespołu Sophos X-Ops najbardziej powszechnymi atakami na firmy były te z wykorzystaniem ransomware. Stanowiły one aż 69% wszystkich badanych przypadków. Co więcej, w czterech na pięć ataków cyberprzestępcy szyfrowali firmowe pliki poza godzinami pracy przedsiębiorstw. Blisko połowa (43%) działań hakerów była wykrywana w piątki lub soboty.
John Shier, dyrektor ds. technologii w firmie Sophos, tłumaczy, że dzięki technologiom takim jak XDR (rozszerzone wykrywanie i reagowanie na zagrożenia) i MDR (zarządzane wykrywanie zagrożeń i reagowanie na nie) znacząco skróciło się „okno operacyjne”, w czasie którego atakujący mogą dokonać szkód. W 2021 r. średni czas wykrycia hakerów w infrastrukturze IT wynosił 15 dni, w zeszłym roku 10, a w 2023 r. – zaledwie 8.
– Cyberprzestępcy, zwłaszcza ci którzy mają doświadczenie i zaplecze w postaci dostępu do oprogramowania ransomware, wciąż udoskonalają swoje strategie. Wraz ze wzrostem popularności technologii takich jak XDR i usług typu MDR, wzrosła nasza zdolność do szybszego wykrywania ataków, ale nie oznacza to, że wszyscy jesteśmy dzięki nim bezpieczniejsi. Atakujący wciąż dostają się do naszych sieci, a jeśli nie czują presji czasu, mają tendencję do pozostawania w nich. Dlatego tak ważne jest ciągłe i proaktywne monitorowanie sytuacji – wyjaśnia John Shier.
Dlaczego hakerom zależy na Active Directory?
Analitycy Sophos zwracają również uwagę na to, jak niewiele czasu potrzebują atakujący, by przejąć kontrolę nad infrastrukturą Active Directory (AD), która odpowiada za zarządzanie dostępami. Zazwyczaj wystarczy zaledwie 16 godzin, aby cyberprzestępcy zapewnili sobie szeroki dostęp do wszystkich firmowych systemów, aplikacji oraz plików.
– Kontrolując Active Directory, kontroluje się całą firmę – przestrzega John Shier. – Przejęcie AD i nadanie sobie odpowiednich dostępów do zasobów zaatakowanej firmy pozwala hakerom pozostać niezauważonymi i w spokoju planować kolejne ruchy, takie jak łamanie kolejnych zabezpieczeń – dodaje specjalista Sophos.
Atak, w czasie którego Active Directory trafi w ręce cyberprzestępców, jest jednym z najgorszych scenariuszy dla osób zajmujących się cyberbezpieczeństwem. Hakerzy niszczą w ten sposób fundament bezpieczeństwa całej firmy, co oznacza, że obrońcy swoje działania na rzecz przywrócenia pełnej funkcjonalności systemów muszą zaczynać właściwie od zera. Tym samym powrót do operacyjności jest dłuższy i bardziej kosztowny.
– Dlatego realną pomocą dla obrońców mogą być rozwiązania MDR. Sztab zewnętrznych specjalistów może czuwać nad bezpieczeństwem firmy i reagować na wykryte zagrożenia nawet „po godzinach” – podsumowuje ekspert.
O raporcie
Raport „The Sophos Active Adversary Report for Business” został opracowany na podstawie analiz sporządzonych przez zespół Sophos Incident Response. Dane zawarte w raporcie pochodzą ze śledztw przeprowadzonych od stycznia do lipca 2023 r. w firmach z 25 różnych branż w 33 krajach z całego świata, w tym w Polsce. 88% śledztw dotyczyło firm zatrudniających mniej niż 1000 pracowników.