מחקר: ארגונים מתקשים להתאושש מפגיעה של מתקפות כופרה
על פי סופוס, הביטחון של מנהלי IT שנפגעו מכופרות והגישה שהם נוקטים במלחמה מול מתקפות סייבר - משתנים באופן משמעותי לעומת מי שלא חוו מתקפות כופרה ● טכניקות חדשות של תוכנת הכופר Ryuk ממחישות כמה מהר תוקפים מחליפים ציוד
ארגונים לא ממש מתאוששים לאחר שנפגעו ממתקפות כופרה. השינוי המשמעותי ביותר קורה לגבי הביטחון של מנהלי IT ובגישה שלהם למתקפות סייבר לאחר שהארגון שלהם עבר מתקפת כופרה; כך עולה ממחקר נערך ביוזמת סופוס.
הסקר הגלובלי "אבטחת סייבר: האתגר האנושי", נערך על ידי Vanson Bourne בקרב 5,000 מקבלי החלטות IT בארגונים המונים בין 100 ל-5,000 עובדים ב-26 מדינות.
מנהלי IT בארגונים שנפגעו מתוכנות כופר הם בעלי סבירות גבוהה פי שלושה לחוש "בפיגור משמעותי" בכל הנוגע להבנת איומי סייבר. זאת בהשוואה לעמיתים שלהם בארגונים שלא נפגעו (17% אל מול 6%). בנוסף, יותר משליש (35%) מנפגעי מתקפות הכופרה אמרו, כי גיוס ושימור של מקצועני אבטחת מידע הוא האתגר הגדול ביותר שלהם בכל הנוגע לאבטחת סייבר. זאת בהשוואה ל-19% מאלה שלא נפגעו.
לגבי מיקוד באבטחה, הסקר מראה, כי קורבנות של כופרות משקיעים פחות זמן במניעת איומים (42.6%) ויותר זמן בתגובה (27%), וזאת בהשוואה לאלו שלא נפגעו (49% ו-22%, בהתאמה). בכך הם מפנים משאבים מהמאמץ לעצירת איומים – להתמודדות עם אירועי אבטחה קיימים.
לדברי צ'סטר ווישנייבסקי, חוקר אבטחה ראשי בסופוס, "ההבדל בהקצאת המשאבים יכול לנבוע מכך, שלקורבנות של כופרות יש מלכתחילה יותר אירועים להתמודד איתם, אבל באותה מידה זה יכול גם להצביע על כך, שהם בעלי מודעות גדולה יותר לאופי המורכב ומרובה השלבים של התקפות מתקדמות. לכן, הם מעמידים משאבים גדולים יותר לצורך זיהוי ותגובה של אירועים, על מנת לזהות את הסימנים המוקדמים ביותר לכך שהתקפה מתרגשת עליהם".
העובדה כי התוקפים שמאחורי תוכנות הכופר ממשיכים לפתח את הטקטיקות, הטכניקות והתהליכים שלהם (TTP) מוסיפה ללחץ שיש על צוותי אבטחת מידע. כך, צוותי התגובה לאירועים של סופוס גילו, כי התוקפים שמאחורי Ryuk השתמשו בגירסה מעודכנת של כלים לגיטימיים, הזמינים לכל, על מנת לפגוע ברשתות ולהפעיל את הכופרה. באופן חריג, התוקפים התקדמו במהירות גדולה: תוך 3 עד 7 שעות מהרגע שבו עובד פתח קובץ זדוני שצורף להודעת פישינג, התוקפים כבר ביצעו סיור מודיעיני ברשת. תוך 24 שעות לתוקפים כבר הייתה גישה ל-domain controller, והם היו ערוכים ומוכנים להשיק את Ryuk.
"המחקר שלנו לגבי מתקפות הכופרה האחרונות של Ryuk ממחיש עם מה צריכים צוותי האבטחה להתמודד", אמר ווישנייבסקי. "אנשי אבטחת IT צריכים להיות ערניים 24 שעות ביממה, 7 ימים בשבוע, ולהכיר ולהבין את מודיעין האיומים העדכני ביותר לגבי כלים והתנהגויות של תוקפים. ממצאי הסקר מדגימים היטב את ההשפעה שיש לדרישות הכמעט בלתי אפשריות האלה. בין היתר מצאנו, כי הביטחון במודעות האישית שלהם לאיומי סייבר ירד משמעותית אצל אלה שנפגעו מכופרות. עם זאת, נראה שהניסיון שלהם בכופרות הגביר את החשיבות שהם מעניקים לעבודה של מקצועני אבטחת סייבר מיומנים, וכן העצים את הדחיפות שלהם להפעיל ציד איומים, כדי להבין ולזהות את התנהגות התוקפים העדכנית ביותר. לא משנה מהן הסיבות, ברור כי בכל הנוגע לאבטחת מידע, ארגונים לעולם לא יהיו אותו הדבר לאחר שנפגעו מכופרה".
תגובות
(0)