Nepříjemná fakta o bezpečnosti koncových bodů

Z globálního průzkumu Sophos vyplývá, že 20% IT manažerů, kteří se setkali s nejméně jedním kybernetickým útokem, nedokáže určit místo průniku do podnikové informační architektury jejich organizace a 17% netuší, jak dlouho útok před odhalením probíhal.

Pro zlepšení tohoto nežádoucího stavu potřebují IT manažeři EDR (Endpoint Detection and Response) technologii pro detekci a reakci na útoky na koncové body, která odhaluje vstupní body útoku a digitální stopy útočníků pohybujících se po síti.

Technologie EDR pomáhá identifikovat rizika a zavádí odpovídající procesy na obou koncích bezpečnostního modelu. Je-li IT více zaměřené na detekci, EDR může rychleji najít, blokovat a napravit dopady bezpečnostního incidentu. A pokud IT oddělení stále ještě buduje základy ochrany podnikové informační architektury, je technologie EDR jejich nedílnou součástí, která umožňuje sdílení bezpečnostních informací.

Organizace, které vyšetřují jeden nebo více potenciálně rizikových incidentů měsíčně, stráví podle průzkumu těmito aktivitami v průměru 48 dní v roce - tedy čtyři dny každý měsíc.

Není překvapením, že IT manažeři považují za tři nejdůležitější funkce požadované od EDR řešení identifikace podezřelých událostí (27%), správu varování (18%) a prioritizaci podezřelých událostí (13%). Od všech těchto vlastností očekávají především snížení času nutného pro vyhodnocení a reakci na bezpečnostní varování.

"Většinu necílených útoků lze zastavit během několika vteřin přímo na koncovém bodu, a to bez vyvolání jakéhokoli alarmu. Vytrvalí útočníci, včetně těch, kteří provádí cílené ransomwarové útoky jako SamSam, věnují dostatek času tomu, aby pronikli do systému - např. nalezením slabého hesla pro vzdáleně dostupné služby (RDP, VNC, VPN apod.), vytvořili základ pro své aktivity a tiše se pohybovali po okolí, dokud dílo zkázy nedokončí. Pokud mají IT manažeři k dispozici důkladnou obranu s technologií EDR, mohou také rychleji vyšetřovat jednotlivé incidenty a využívat sdílení získaných bezpečnostních informací ke snadnějšímu nalezení shodné infekce napříč podnikovou informační architekturou," říká Chester Wisniewski, hlavní výzkumník společnosti Sophos.

Jakmile se kybernetičtí zločinci jednou dozví, že některé typy útoků fungují, obvykle je v rámci organizace používají opakovaně. Odhalování a blokování útoků shodného typu pomáhá snížit počet dnů, které musí IT manažeři věnovat na vyšetřování bezpečnostních incidentů.

57% respondentů uvedlo, že plánují nasadit EDR řešení během následujících 12 měsíců. Tato technologie navíc pomáhá řešit i nedostatečné znalosti v bezpečnostní problematice. 80% IT manažerů si dle průzkumu přeje, aby měli k dispozici přímo ve firmě silný expertní tým.

Další klíčová zjištění průzkumu:

Většina kybernetických zločinců je odhalena na serverech (37%) nebo v síťové infrastruktuře (37%). Na koncové body připadá 17% a na mobilní zařízení 10% zjištěných útoků.

20% IT manažerů připouští, že netuší, jakým způsobem došlo u nejzávažnějšího útoku k průniku do jejich infrastruktury nebo jak dlouho takový útok před odhalením trval.

Organizace, které vyšetřují jeden nebo více potenciálně rizikových incidentů měsíčně, stráví těmito aktivitami v průměru 48 dní v roce - tedy čtyři dny každý měsíc.

7 nepříjemných faktů o bezpečnosti koncových bodů

Průzkum s názvem 7 nepříjemných faktů o bezpečnosti koncových bodů provedla přední nezávislá analytická firma Vanson Bourne, která se specializuje na průzkumy trhu.

Dotazování proběhlo v prosinci 2018 a lednu 2019 mezi 3100 IT manažery s rozhodovacími pravomocemi, a to ve 12 zemích napříč šesti kontinenty - ve Spojených státech amerických, Kanadě, Mexiku, Columbii, Brazílii, Velké Británii, Francii, Německu, Austrálii, Japonsku, Indii a Jihoafrické republice.

Všichni respondenti pocházeli z organizací se 100 až 5000 zaměstnanci.

Další články k tématům - bezpečnost - detekce - EDR - infrastruktura - průzkum - ransomware - SamSam - VPN - Chester Wisniewski

Článek Sophos ze dne středa 13. března 2019