Svet sa neustále digitalizuje, a preto nie je žiadnym prekvapením, že práve naše dáta sú pre počítačových kriminálnikov najvyhľadávanejším aktívom. Kybernetický útok však neprebieha ako ten fyzický, pri ktorom jasne vidíte, čo sa stalo. Pri kybernetických útokoch môže istý čas trvať, a zvyčajne aj trvá, kým sa dôsledky hacknutia alebo akéhokoľvek narušenia objavia.
A preto je otázka, ako dlho trvá odhalenie kybernetického útoku, na mieste. Bohužiaľ nemá jasnú odpoveď. Často sa totiž stáva, že v momente, kedy podniky zistia, že boli napadnuté, je už neskoro. V mnohých prípadoch ubehnú až stovky dní, kým sa kybernetický incident deteguje.
Podľa prieskumu spoločnosti IBM (Cost of a Data Breach Report 2023) je čas potrebný na odhalenie úniku dát v priemere 277 dní.
Detekcia hrozieb je preto jedným z najdôležitejších prvkov kybernetickej bezpečnosti. Vďaka proaktívnej obrane totiž dokážete odhaliť kybernetický útok rýchlejšie ako podniky, ktoré ju zavedenú nemajú.
Aj kybernetický útok má svoj životný cyklus
Čas, ktorý uplynul od počiatočného prieskumu útočníka až do zastavenia útoku, predstavuje životný cyklus útoku. Ako sme už spomenuli, identifikácia kybernetického incidentu trvá približne 9 mesiacov, počas ktorých sa útočníci nepozorovane pohybujú v systémoch a sieťach svojej obete.
Spolu s kolegami z void SOC dobre vieme, že pre spoločnosti je nie len z bezpečnostného, ale aj finančného hľadiska dôležité efektívne sa chrániť pred kybernetickými útokmi. Iba v takom prípade si dokážete všimnúť si príznaky potenciálneho útoku.
Ako odhaliť kybernetický útok
Aj keď na našom webe uvádzame, že samotný prienik do siete obete môže trvať iba 18 minút, útočníci sa po ňom v napadnutej infraštruktúre pohybujú podstatne dlhší čas.
Kybernetický útok totiž nevyzerá tak, ako to vidíme v akčných filmoch, kde útočník sedí k kaviarni, pár klikmi sa dostane do systému obete, a o ďalších pár minút dosiahne to, čo chce.
Kybernetický útok je v realite často zdĺhavý a sofistikovaný proces, ktorý pozostáva z niekoľkých krokov.
Ako prebieha kybernetický útok?
- Ešte pred samotným prienikom do infraštruktúry obete si útočníci robia prieskum, počas ktorého zhromažďujú informácie o cieľovej organizácii, skenujú jej systémy dostupné z internetu, používané cloudové služby, prípadne už uniknuté prihlasovacie údaje.
- Po dokončení prieskumnej fázy nasleduje ďalší krok. Tým je zneužitie získaných informácií – nájdených zraniteľností či prihlasovacích údajov. Zneužitie môže mať formu phishingových emailov či zasielania škodlivých príloh. V mnohých prípadoch stačí, keď jediný používateľ otvorí škodlivý odkaz alebo nevedomky stiahne a nainštaluje škodlivý malvér. Vďaka tomu získa útočník prvotný prístup do systému.
- Aj po úspešnom prieniku sa ale útočník musí v „novom“ prostredí zorientovať – skúma sieť, pričom využíva rôzne nástroje na skenovanie a zber informácií (napríklad IP adresy, konfigurácie a informácie o službách, ktoré v nej prebiehajú). Útočník chce zvyčajne preniknúť do ďalších oblastí, a vytvoriť si permanentné pripojenie k sieti alebo systému, aby mohol útok postúpiť do ďalšej fázy.
- Útočník zároveň môže zakrývať svoje stopy. Môže k tomu využívať rôzne anonymizačné techniky, manipuláciu logov, a pomáha mu aj sledovanie užívateľskej aktivity.
- V podstate až na záver svojej činnosti (keď dosiahne svoj pôvodný zámer) o sebe útočník dá vedieť. Môže ísť o znehodnotenie webovej stránky obete, znefunkčnenie systémov či zašifrovanie údajov a žiadosť o výkupné.
Celý tento proces – od prieniku do siete až po úspešný útok, zvyčajne trvá niekoľko týždňov až mesiacov.
Čo to pre vás znamená? Ak chcete príznaky kybernetického útoku spozorovať čo možno najskôr, svoju sieť musíte (najlepšie nepretržite) monitorovať. Spôsobov, ako škodlivú činnosť odhaliť, je veľmi veľa. V hre sú totiž tisícky možných scenárov a detekčných pravidiel, v ktorých sa musíte vyznať. Práve pri zabezpečovaní bezpečnostného monitoringu svojho podniku vám preto odporúčame obrátiť sa na dôveryhodných odborníkov s adekvátnymi skúsenosťami.
Dá sa čas potrebný na odhalenie kybernetického útoku skrátiť?
Kybernetický útok môže byť pre vašu spoločnosť veľmi nákladný, a čím dlhšie sa útočník pohybuje vo vašom systéme bez povšimnutia, tým väčšie škody môže spôsobiť.
Naše lokálne skúsenosti hovoria, že napríklad pri útoku ransomvérom náklady na zotavenie a obnovu systémov výrazne prevyšujú samotné výkupné. Rátajú sa od desaťnásobku pri menších spoločnostiach, po štvornásobok pri miliardových korporáciách.
>> O koľko peňazí príde vaša firma kvôli ransomvéru? <<
Samotné výkupné je však len špičkou ľadovca. Aby ste znížili finančné škody a škody na reputácii, je dôležité urobiť všetko pre to, aby ste skrátili čas potrebný na detekciu kybernetického útoku.
Ako na to?
Incident response plan, alebo plán reakcie na incidenty
Vaša schopnosť čeliť čoraz sofistikovanejším bezpečnostným rizikám by mala začať vytvorením plánu reakcie na kybernetické incidenty. Ide o prepracovaný postup pre rýchlu reakciu (tzv. Incident Response Plan).
Príkladom môže byť okamžitá izolácia postihnutých systémov a následná analýza útoku. Cieľom plánu reakcie na kybernetické incidenty by mala byť minimalizácia škôd a čo najrýchlejšia obnova normálnej prevádzky podnikových systémov.
Vzdelávanie zamestnancov a budovanie povedomia
Až príliš často je príčinou získania prístupu hackerov k sieťam a údajom ľudská chyba. A preto je jedným z najefektívnejších spôsobov ako skrátiť čas potrebný na odhalenie kybernetického útoku vzdelávanie zamestnancov. Budovanie povedomia o kybernetických hrozbách im totiž môže pomôcť rozpoznať už potenciálne signály incidentu.
Pravidelná zmena hesiel
Pravidelná zmena hesiel používaných na prihlásenie do systémov vášho podniku by mala byť jednou z hlavných politík vašej kybernetickej bezpečnosti. Vďaka nej môžete úspešne zablokovať počiatočný prístup hackerov, ale aj ich ďalšie „návštevy“ vašej infraštruktúry.
Vaši zamestnanci by mali mať povedomie o tom, ako nastaviť bezpečné a silné heslo, a to pre každý systém alebo zariadenie. Aby ste ich povzbudili k pravidelnej zmene, nastavte dátumy vypršania platnosti hesiel a posielajte im pripomienky.
Zabezpečenie vášho podnikania
Bez ohľadu na veľkosť vášho podniku by ochrana údajov a sietí mala byť pre vás prioritou. Vzhľadom na obrovský nárast kybernetických hrozieb by ste už nemali premýšľať hypoteticky – teda či u vás dôjde ku kybernetickému útoku. Lepšie je byť realista, a klásť si otázku, „kedy?“. Takéto nastavenie mysle vám pomôže implementovať správnu stratégiu kybernetickej bezpečnosti.
S jej nastavením a ochranou vášho podnikania vám veľmi radi pomôžeme my. Sme tu pre vás 24/7.