Pětina IT manažerů při kybernetickém útoku neví, kdy a jak k němu došlo

12. 3. 2019

Sdílet

 Autor: Fotolia © alexskopje
Podle globálního průzkumu společnosti Sophos nejpravděpodobněji kybernetické zločince odhalíme na serverech a v sítích, často však vůbec nezjistíme okamžik a způsob průniku.

Společnost Sophos zveřejnila výsledky svého globálního průzkumu s názvem 7 nepříjemných faktů o bezpečnosti koncových bodů. Studie ukazuje, že největší počet útoků je odhalen na serverech a v síťové infrastruktuře – shodně po 37 %. Pouhých 17 % útoků je zjištěno na koncových bodech a 10 % na mobilních zařízeních. Průzkum probíhal mezi více než 3 100 IT manažery s rozhodovacími pravomocemi napříč středně velkými firmami, a to celkem ve 12 zemích.

„Na serverech bývají ukládána citlivá data včetně finančních a informací o majetku či zaměstnancích. S ohledem na stále přísnější legislativu počítaje nařízení GDPR, které přináší povinnost informovat o případných incidentech týkajících se chráněných dat, jsou snahy o co nejlepší zabezpečení serverů zcela oprávněné. A spolu s tím, jak se IT manažeři zaměřují na ochranu nejdůležitějších serverů a primárně brání útočníkům v průniku do síťové infrastruktury, je logické, že k největšímu počtu odhalení dochází právě v těchto dvou oblastech,“ říká Chester Wisniewski, hlavní výzkumník společnosti Sophos.

„Koncové body však nelze ignorovat, protože většina kybernetických útoků začíná právě na nich. Bohužel stále velký počet IT manažerů nedokáže určit, kudy zločinci do jejich systémů pronikli a kdy k tomu došlo.“

Dvacet procent IT manažerů, kteří se v loňském roce setkali s nejméně jedním kybernetickým útokem, nedokáže určit místo průniku do podnikové informační architektury jejich organizace a 17 % netuší, jak dlouho útok před odhalením probíhal. Pro zlepšení tohoto nežádoucího stavu potřebují IT manažeři technologii pro detekci a reakci na útoky na koncové body (Endpoint Detection and Response, EDR), která odhaluje vstupní body útoku a digitální stopy útočníků pohybujících se po síti.

„Pokud IT manažeři neznají původ ani průběh útoku, nemohou minimalizovat rizika a přerušit útok tak, aby zabránili další infiltraci,“ uvádí Chester Wisniewski.

ICTS24

Organizace, které vyšetřují jeden nebo více potenciálně rizikových incidentů měsíčně, stráví podle průzkumu těmito aktivitami v průměru 48 dní v roce – tedy čtyři dny každý měsíc. Není překvapením, že IT manažeři považují za tři nejdůležitější funkce požadované od EDR řešení identifikace podezřelých událostí (27 %), správu varování (18 %) a prioritizaci podezřelých událostí (13 %). Od všech těchto vlastností očekávají především snížení času nutného pro vyhodnocení a reakci na bezpečnostní varování.

„Většinu necílených útoků lze zastavit během několika vteřin přímo na koncovém bodu, a to bez vyvolání jakéhokoli alarmu. Vytrvalí útočníci, včetně těch, kteří provádí cílené ransomwarové útoky jako SamSam, věnují dostatek času tomu, aby pronikli do systému – například nalezením slabého hesla pro vzdáleně dostupné služby (RDP, VNC, VPN apod.), vytvořili základ pro své aktivity a tiše se pohybovali po okolí, dokud dílo zkázy nedokončí,“ dodává Chester Wisniewski.