U slučaju šest od deset (63%) sajber napada koje je istražio Kaspersky Global Emergency Response tim, napadači su primenjivali brute force tehniku i eksploatisali ranjivosti kao početne vektore za kompromitovanje okruženja organizacije. Rezultati novog izveštaja kompanije Kaspersky pod nazivom Incident Response Analytics pokazuju da samo implementacija odgovarajuće politike upravljanja zakrpama smanjuje rizik od incidenata za 30%, a sveobuhvatna politika upravljanja lozinkama smanjuje verovatnoće napada za 60%.
Iako je važnost redovne primene zakrpa i ažuriranja, kao i korišćenja jakih lozinki, opšte poznata za one koji imaju i najmanje razumevanje sajber bezbednosti, ti aspekti su još uvek slabe tačke u velikom broju organizacija i napadačima pružaju način da prodru u sistem kompanije. Zbog toga bezbednosni problemi sa lozinkama kombinovani sa nezakrpljenim softverom čine veliku većinu inicijalnih vektora za pristup tokom napada.
Analiza anonimnih podataka iz slučajeva odgovora na incidente (incident response – IR) pokazuje da je brute force najčešće korišćeni inicijalni vektor za prodiranje u mrežu kompanije. U poređenju sa prethodnom godinom, udeo brute force napada je porastao sa 13% na 31,6%, možda usled pandemije i iznenadne zastupljenosti rada na daljinu. Drugi najčešći napad je eksploatacija ranjivosti sa udelom od 31,5%. Istraživanje je pokazalo da su u samo nekoliko incidenata korišćene ranjivosti iz 2020. godine. U ostalim slučajevima, napadači su koristili starije nezakrpljene ranjivosti kao što su CVE-2019-11510, CVE-2018-8453 i CVE-2017-0144.
Više od polovine svih napada koji su započeli malicioznim i-mejlovima, brute force tehnikom i eksternom eksploatacijom aplikacija otkriveno je u periodu od nekoliko sati (18%) ili dana (55%). Mada, neki od ovih napada su trajali mnogo duže, uz prosečno trajanje do 90,4 dana. Izveštaj pokazuje da je u teoriji lako otkriti napade koji uključuju početni brute force vektor, ali u praksi je identifikovan samo deo njih pre nego što su načinili štetu.
Iako se čini da sprečavanje brute force napada i kontrola blagovremenih ažuriranja ne predstavljaju problem za profesionalni tim za sajber bezbednost, u praksi je 100% eliminacija ovih problema praktično nemoguća:
„Čak i ako odeljenje za IT bezbednost čini sve kako bi osigurali bezbednost infrastrukture kompanije, faktori kao što su nasleđeno korišćenje operativnog sistema, jeftina oprema, problemi sa kompatibilnošću i ljudski faktori često dovode do proboja bezbednosti, što može da ugrozi bezbednost organizacije. Zaštitne mere same po sebi ne mogu da obezbede sveobuhvatnu sajber odbranu. Stoga ih uvek treba kombinovati sa alatima za detekciju i odgovor koji mogu da prepoznaju i eliminišu napad u ranoj fazi, kao i da saznaju uzrok incidenta”, – komentariše Konstantin Sapronov, direktor Global Emergency Response tima.
Kako biste smanjili šanse od proboja u vašu infrastrukturu, kompanija Kaspersky predlaže sledeće mere:
- Implementirajte snažnu politiku lozinki, uključujući multifaktorsku autentifikaciju (MFA) i alate za upravljanje identitetom i pristupom;
- Postarajte se da upravljanje zakrpama ili mere kompenzacije za javne aplikacije imaju nultu toleranciju. Redovna ažuriranja detalja o ranjivostima od vendora softvera, skeniranje mreže u potrazi za ranjivostima i instalacije zakrpa su ključni za bezbednost infrastrukture kompanije;
- Održavajte visok nivo svesti o bezbednosti među zaposlenima. Sprovođenje sveobuhvatnih i efikasnih programa obuke za zaposlene koje organizuju treće strane je dobar način za uštedu vremena IT odeljenja i obezbeđivanje dobrih rezultata;
- Implementirajte Endpoint Detection and Response rešenje sa MDR servisom, kako biste detektovali i brzo reagovali na napade, između ostalih mera. Korišćenje naprednih bezbednosnih servisa preduzećima omogućuje da smanje troškove napada i spreče nepoželjne posledice.
Kaspersky Incident Response
Kaspersky Incident Response je rešenje koje pomaže u smanjenju uticaja proboja ili napada na IT okruženje kompanije. Usluga pokriva celokupan ciklus istrage incidenta, od prikupljanja dokaza na licu mesta do identifikacije dodatnih naznaka kompromitovanja, pripreme plana za saniranje i eliminisanje pretnje. Incident Response Analyst izveštaj daje uvid u istraživanje incidenata koje je kompanija Kaspersky sprovodila u periodu od januara do decembra 2020. godine u Južnoj i Severnoj Americi, Evropi, Africi, na Bliskom Istoku, u Aziji, kao i u Rusiji i Zajednici nezavisnih država.