A Sophos megjelentette az "Active Adversary Report for Tech Leaders 2023" anyagát (magyarul "Jelentés az aktív ellenfelekről a technikai vezetőknek, 2023"), amely alapos áttekintést nyújt a támadók tevékenységeiről és eszközeiről 2023 első felében. A Sophos Incident Response (IR) 2023 januárja és júliusa közötti eseteinek elemzése után a Sophos megállapította, hogy a támadók tartózkodási ideje- a támadás kezdetétől az észleléséig eltelt idő - az összes támadásnál 10-ről 8 napra csökkent, és 5-re a zsarolóvírus-támadások esetében. 2022-ben a tartózkodási idő átlaga 15-ről 10 napra csökkent.
Átlagosan kevesebb mint egy napba - körülbelül 16 órába - tartott, mire a támadók elérték az Active Directory-t (AD), amely a vállalat egyik legkritikusabb eszköze. Az AD általában egy szervezeten belül az azonosítást és az erőforrásokhoz való hozzáférést kezeli, ami azt jelenti, hogy a támadók az AD-t használva könnyedén kiterjeszthetik jogosultságaikat a rendszeren, és számos káros célú tevékenységet hajthatnak végre.
"A szervezet Active Directory infrastruktúrájának megtámadása offenzív szemszögből logikus. Az AD általában a hálózat legerősebb és legmagasabb jogosultságú rendszere, amely széles körű hozzáférést biztosít azokhoz a rendszerekhez, alkalmazásokhoz, erőforrásokhoz és adatokhoz, amelyeket a támadók kihasználhatnak támadásaik során. Amikor egy támadó irányítja az AD-t, irányíthatja a szervezetet. Amiért célozzák az Active Directoryt a támadások során:a a hatás, az eszkaláció, illetve a helyreállítás költsége" - mondta John Shier, a Sophos field CTO-ja.
"A domain kompromittállódása utáni teljes helyreállítás hosszadalmas és fáradtságos munka lehet. Egy ilyen támadás megkárosítja a biztonsági alapokat, amelyre a szervezet infrastruktúrája támaszkodik. Egy sikeres AD-támadás nagyon gyakran azt jelenti, hogy a biztonsági csapatnak nulláról kell újrakezdeni."
A zsarolóvírus-támadásoknál a "dwell time", a hálózaton töltött idő szintén csökkent. Ez volt a leggyakoribb támadástípus az elemzett IR-esetek között: a vizsgált esetek 69%-át tette ki. A tartózkodási idő átlaga mindössze 5 nap volt ezeknél a támadásoknál. A zsarolóvírus-támadások 81%-ában a végső payloadot a hagyományos munkaidőn kívül indították el, a munkaidőben indítottak közül pedig mindössze 5 esetnél történt hétköznap.
Az észlelt támadások száma a hét előrehaladtával nőtt, leginkább a zsarolóvírus-támadások vizsgálatakor. A zsarolóvírus-támadások közel felét (43%) pénteken vagy szombaton észlelték.
"Bizonyos szempontból saját sikereink áldozatai lettünk. Az olyan technológiák elterjedésével, mint az XDR és az olyan szolgáltatások, mint az MDR, egyre gyorsabban észleljük a támadásokat. Az észlelési idők csökkentése gyorsabb válaszadáshoz vezet, ami rövidebb cselekvési időt jelent a támadók számára. Ugyanakkor a bűnözők finomították, csiszolgatták a módszereiket, különösen a tapasztalt és jó erőforrásokkal bíró zsarolóvírus-támadók, akik továbbra is gyorsítják a zajos támadásaikat a jobb védelem mellett.
De ez nem jelenti, hogy kollektíven nagyobb biztonságban lennénk. Ezt bizonyítja a kiegyenlítődés a nem-zsarolóvírus-es tartózkodási időknél. A támadók még mindig bejutnak a hálózatainkba, és ha nem sürgős a helyzet, hajlamosak ott elidőzni. De a világ összes eszköze sem tud megmenteni, ha nem figyelsz oda. Megfelelő eszközökre és folyamatos, proaktív megfigyelésre egyaránt szükség van ahhoz, hogy a bűnözőknek rosszabb legyen a napja, mint neked. Ez az a pont, ahol az MDR valóban csökkentheti a szakadékot a támadók és a védők között.
A "Sophos Active Adversary Report for Business Leaders" jelentés a Sophos Incident Response (IR) adatain alapul, amelyek 2023 januárja és júliusa közötti vizsgálatokból származnak, 25 szektorból, szerte a világból. A megcélzott szervezetek 6 kontinens 33 országában működnek. Az esetek 88 százaléka 1000 főnél kevesebb alkalmazottat foglalkoztató szervezetektől származott.
