Τα παραδοσιακά προϊόντα κυβερνοασφάλειας ήταν κάποτε αρκετά για την προστασία των οργανισμών από απόπειρες hacking και ιούς. Ωστόσο, οι περισσότερες κυβερνοαπειλές σήμερα είναι πιο περίπλοκες και πιο καταστροφικές και απαιτούν πιο ισχυρές άμυνες. Για παράδειγμα, μια έκθεση της εταιρείας Titaniam αναφέρει επίσης ότι τα παραδοσιακά εργαλεία ασφάλειας δεν είναι αρκετά για να προστατεύσουν τους οργανισμούς από ransomware.
Στα πλαίσια της έρευνας για το “State of Data Exfiltration & Extortion Report” της, η Titaniam ανέθεσε στη CensusWide να εξετάσει 107 επαγγελματίες IT στις ΗΠΑ και να μιλήσει μαζί τους σχετικά με τις εμπειρίες τους όσον αφορά στην ασφάλεια στον κυβερνοχώρο και το ransomware. Πάνω από το 75% των ερωτηθέντων δήλωσε ότι διαθέτει εργαλεία για την προστασία δεδομένων, την πρόληψη και τον εντοπισμό, καθώς και τη δημιουργία αντιγράφων ασφαλείας και την ανάκτηση δεδομένων. Για την προστασία των δεδομένων τους, οι επαγγελματίες που ερωτήθηκαν, επεσήμαναν τεχνολογίες όπως η κρυπτογράφηση, το data masking και το tokenization.
Ωστόσο, οι άμυνες δεν μπορούσαν να προστατεύσουν επαρκώς τους οργανισμούς από επιθέσεις ransomware. Σχεδόν το 40% από αυτούς έχουν πληγεί από επιθέσεις ransomware τον τελευταίο χρόνο, ενώ πάνω από το 70% έχει δει μια τέτοια επίθεση εναντίον τους τα τελευταία πέντε χρόνια.
Μια τακτική που έχει γίνει πολύ δημοφιλής τον τελευταίο χρόνο, είναι ο διπλός εκβιασμός. Σε αυτές τις περιπτώσεις, οι ransomware συμμορίες κλέβουν δεδομένα προτού κρυπτογραφήσουν τα συστήματα και μετά απειλούν ότι θα διαρρεύσουν τα δεδομένα αν τα θύματα δεν πληρώσουν τα λύτρα.
- Επομένως, ακόμα και αν οι οργανισμοί έχουν αντίγραφα ασφαλείας και μπορούν να ανακτήσουν μόνοι τους τα δεδομένα τους, κινδυνεύουν με διαρροή. Οι hackers χρησιμοποιούν αυτή την τακτική για να ασκήσουν περισσότερη πίεση στα θύματα και να αυξήσουν τις πιθανότητες να λάβουν τα λύτρα.
Το 65% των ερωτηθέντων που επλήγησαν από επίθεση ransomware, αντιμετώπισαν επίσης κλοπή δεδομένων. Μεταξύ αυτών των θυμάτων, το 60% είπε ότι οι επιτιθέμενοι χρησιμοποίησαν τα κλεμμένα αρχεία για να τους εκβιάσουν περαιτέρω απειλώντας να διαρρεύσουν τα δεδομένα. Ως αποτέλεσμα, το 59% από αυτούς ένιωσαν ότι δεν είχαν άλλη επιλογή από το να πληρώσουν τα λύτρα.
Πώς μπορούν να προστατευτούν οι οργανισμοί;
Με την τακτική του διπλού εκβιασμού να γίνεται όλο και πιο δημοφιλής, οι οργανισμοί πρέπει να λάβουν παραπάνω μέτρα ασφαλείας για να προστατευτούν από τις ransomware επιθέσεις. Η Διευθύνων Σύμβουλος και ιδρυτής της Titaniam, Arti Raman, προσφέρει μερικές συμβουλές.
“Δεν μπορείτε να προστατευτείτε από κάτι που δεν καταλαβαίνετε επαρκώς, επομένως το πρώτο πράγμα που πρέπει να κάνουν οι οργανισμοί είναι να αναλύσουν το πώς και το γιατί γίνονται οι ransomware επιθέσεις και να τις εξετάσουν υπό το πρίσμα του δικού τους οργανισμού“, είπε η Raman. “Συγκεκριμένα, οι επιθέσεις ransomware περιλαμβάνουν τρία διαφορετικά στάδια: διείσδυση, εξαγωγή δεδομένων και κλείδωμα συστήματος μέσω κρυπτογράφησης. Η επιτυχία σε οποιοδήποτε από αυτά τα στάδια έχει ως αποτέλεσμα τη νίκη για τους επιτιθέμενους, καθώς έχουν περισσότερες μεθόδους για να εκβιάσουν το θύμα“.
Τα διάφορα στάδια λειτουργούν ως εξής:
Διείσδυση: Μόλις διεισδύσουν σε ένα δίκτυο, οι εισβολείς μπορούν να παρακολουθούν τις συμπεριφορές των θυμάτων και να εγκαταστήσουν backdoors.
Εξαγωγή δεδομένων: Αυτό μπορεί να είναι το πιο κερδοφόρο στάδιο, καθώς οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν τις κλεμμένες πληροφορίες για να ζητήσουν λύτρα από τα θύματα, τους πελάτες τους, τους συνεργάτες τους, τα μέλη του διοικητικού συμβουλίου τους, ακόμη και τους υπαλλήλους τους.
Κλείδωμα συστήματος: Οι εισβολείς μπορούν να εμποδίσουν το θύμα να αποκτήσει πρόσβαση στα στα συστήματά του, κάτι το οποίο δημιουργεί, επίσης, προβλήματα αν ο οργανισμός δεν διαθέτει αντίγραφα ασφαλείας.
“Αφού κατανοήσετε καλά αυτά τα τρία στάδια, γίνεται σαφές ότι το καθένα πρέπει να λαμβάνεται υπόψη ξεχωριστά στη στρατηγική άμυνας έναντι των ransomware“, εξήγησε η Raman.
Προστασία δικτύου ενάντια στα στάδια επιθέσεων ransomware
Αρχικά, οι οργανισμοί πρέπει να επενδύσουν σε συστήματα πρόληψης και ανίχνευσης για τον μετριασμό της διείσδυσης. Ωστόσο, αυτό δεν αρκεί από μόνο του, δεδομένου ότι οι εγκληματίες μπορούν να εκμεταλλευτούν κλεμμένα credentials για να παρακάμψουν αυτούς τους τύπους εργαλείων.
Για να αποφευχθεί η διείσδυση δεδομένων, οι οργανισμοί πρέπει να επενδύσουν στους τρεις τύπους κρυπτογράφησης: encryption at rest, encryption in transit και encryption in use. Ο νεότερος διαθέσιμος τύπος προστασίας, το encryption in use, οι εισβολείς που χρησιμοποιούν κλεμμένα credentials δεν μπορούν να έχουν πρόσβαση σε δεδομένα ακόμη και με privileged access. Ως αποτέλεσμα, αυτή η μέθοδος είναι μια αποτελεσματική άμυνα έναντι των πτυχών των ransomware επιθέσεων που σχετίζονται με τα δεδομένα.
Σε περίπτωση που ένας εισβολέας είναι σε θέση να διεισδύσει σε ένα δίκτυο, οι οργανισμοί μπορούν να προφυλαχθούν από το κλείδωμα του συστήματος επενδύοντας σε λύσεις δημιουργίας αντιγράφων ασφαλείας και ανάκτησης.
“Το να εστιάσουμε μόνο σε ένα ή δύο… δεν είναι σίγουρα αρκετό, όπως αποδεικνύεται από χιλιάδες επιτυχημένες επιθέσεις ransomware που έχουν ήδη πραγματοποιηθεί φέτος“, είπε h Raman. “Μια πλήρης αμυντική στρατηγική ransomware θα πρέπει να περιλαμβάνει και τα τρία“.
Ωστόσο, οι συμμορίες ransomware εστιάζουν περισσότερο στην εξαγωγή δεδομένων και λιγότερο στο κλείδωμα του συστήματος, σύμφωνα με την Raman. Επομένως, είναι καλύτερο για τις εταιρείες να επικεντρωθούν στην ανάπτυξη στρατηγικών που μετριάζουν τη διείσδυση σε δεδομένα, μαζί με μεθόδους προστασίας έναντι του κλειδώματος των συστημάτων.