Является ли быстрое восстановление данных лучшей надеждой Австралии на победу над программами-вымогателями?
techrepublic

Является ли быстрое восстановление данных лучшей надеждой Австралии на победу над программами-вымогателями?

14 октября 2023 г.
Успех кибератак в Австралии может сделать неизбежным подход к кибербезопасности с «предполагаемым нарушением» и заставить ИТ-команды переключить свое внимание на защиту резервных копий данных любой ценой.

Технологический лидер Rubrik в Австралии и Новой Зеландии Дейл Хит заявил, что многие местные организации по-прежнему придерживаются принципа оперативной устойчивости и полагаются на системы, не предназначенные для киберустойчивости, когда злоумышленники с программами-вымогателями нарушают защиту периметра.

По его словам, местные ИТ-команды могут воспользоваться этим преимуществом, приняв подход с нулевым доверием, улучшив связь между командами ITOps и SecOps и уменьшив количество неизвестных за счет тестирования сценариев вымогательства, а также уделив приоритетное внимание быстрому восстановлению резервных копий данных, сказал он.

Перейти к:

    Атаки программ-вымогателей требуют срочного изменения принципа «предполагать взлом» Быстрое восстановление данных может сэкономить организациям миллионы Три проблемы в современных подходах к кибербезопасности Неизвестные могут оказаться врагом при подготовке к атаке

Атаки программ-вымогателей требуют срочного изменения принципа «предполагать взлом»

По данным Всемирного экономического форума, ожидается, что в период с 2019 по 2023 год киберпреступность обойдется глобальным компаниям в 5,2 триллиона долларов США (8,8 триллиона австралийских долларов), что превышает показатель третьей по величине экономики мира. Кроме того, ожидается, что к 2031 году атаки программ-вымогателей будут происходить каждые две секунды.

Ряд австралийских организаций стали громкими жертвами. Одним из примеров является атака на юридическую фирму HWL Ebsworth в 2023 году связанной с Россией группой вымогателей ALPHV/BlackCat. В результате этой атаки пострадали в общей сложности 65 правительственных ведомств и агентств Австралии.

Рубрик ежедневно видит, как клиенты по всему миру подвергаются атакам программ-вымогателей. Только за последние месяцы трое из более чем 100 австралийских клиентов были вовлечены в атаки программ-вымогателей.

«Инвестиции в защиту периметра по-прежнему необходимы организациям для обеспечения киберустойчивости и кибербезопасности», — сказал Хит. «Но защиты приложений, сетей и безопасности периметра недостаточно. Причина в том, что оборона периметра разрушается. В дело вступают плохие актеры».

ПРЕМИУМ: Загрузите нашу комплексную политику восстановления ресурсов и данных.

Резервные копии данных становятся объектом кибератак

Хит сказал, что необходимо изменить подход. В то время как в прошлом организации были сосредоточены на создании средств защиты, необходимых для защиты от киберпреступников, лучшей надеждой на защиту данных в нынешней подверженной риску среде было принятие принципов нулевого доверия для защиты данных.

«Менталитет «предполагать-нарушать» сейчас абсолютно необходим», — сказал Хит. «Они собираются проникнуть внутрь и получить доступ к данным. Они будут следить за вашими резервными копиями данных, что является вашей последней линией защиты, а затем осуществят атаку с использованием программы-вымогателя».

Независимо от того, получают ли киберпреступники доступ через неправильно настроенный брандмауэр, эксплойт нулевого дня, скомпрометированные учетные данные пользователя или стороннее программное обеспечение, Хит говорит, что они проникают, и когда они это делают, они преследуют конфиденциальные данные, включая резервные копии данных.

В исследовании «Состояние безопасности данных: суровые истины» исследовательское подразделение кибербезопасности Zero Labs Rubrik обнаружило, что 99% организаций сообщили о том, что злоумышленники пытались повлиять на резервные копии данных во время кибератаки. При этом 74% заявили, что эти попытки были хотя бы частично успешными.

Плата выкупа не гарантирует восстановления данных

Исследование Рубрика показало, что 64% ​​австралийских руководителей в области ИТ и безопасности, скорее всего, заплатят выкуп за восстановление своих данных после кибератаки. Основная причина этого заключалась в том, что в противном случае у них не было бы возможности получить доступ к своим данным. Однако только 14% австралийских организаций, которые заплатили злоумышленникам за инструменты расшифровки после атаки программы-вымогателя, смогли восстановить все свои данные.

Быстрое восстановление данных может сэкономить организациям миллионы

Чтобы избежать обнаружения, злоумышленники-вымогатели действуют быстрее. Данные показывают, что среднее время пребывания злоумышленников-вымогателей между взломом и обнаружением резко сократилось в последние годы: по некоторым оценкам, в первой половине 2023 года оно составляло всего пять дней. Между тем, по данным Statista, среднее время простоя после атаки с помощью программы-вымогателя составляло 24 дня ( Рисунок А).

Рисунок А

Хит утверждает, что организациям следует сосредоточиться на обеспечении быстрого восстановления после событий, связанных с программами-вымогателями или кибератаками. Вместо того, чтобы рассматривать сроки восстановления в днях, неделях или даже месяцах, он сказал, что теперь организации потенциально могут снова начать работу за несколько часов.

СМОТРИТЕ: просмотрите нашу подборку из 8 лучших программных систем для восстановления данных на 2023 год.

«Эти атаки происходят постоянно, и организации изо всех сил пытаются восстановиться», — сказал Хит. «Оперативно они способны восстановиться, но с точки зрения кибервосстановления это может занять недели, а иногда и месяцы, и в конечном итоге это может стоить им миллионы долларов».

Langs Building Supplies не заплатила 15 миллионов долларов в биткойнах

Хит сказал, что Rubrik стремится обеспечить «пуленепробиваемую» резервную копию данных организации. Это сочетается с возможностью наблюдать и оценивать масштабы и последствия атаки в режиме реального времени, а также восстанавливать работоспособность клиентов в течение нескольких часов без повторного заражения среды.

В качестве примера он упоминает Langs Building Supplies. Он использовал Rubrik, чтобы пережить атаку 2021 года, затронувшую сотни тысяч файлов. Его удалось полностью восстановить и запустить в течение 24 часов без потери каких-либо данных и без уплаты выкупа в биткойнах в размере 15 миллионов долларов.

Три проблемы в современных подходах к кибербезопасности

Помимо традиционного внимания к усилению защиты периметра, организации в настоящее время сталкиваются с рядом ключевых проблем в своем подходе к кибербезопасности.

Системы были разработаны с учетом эксплуатационной устойчивости.

В прошлом организации фокусировались на оперативном восстановлении или аварийном восстановлении, а не на восстановлении после киберсобытия. Системы не предназначены для восстановления и сокращения продолжительности процесса восстановления или для того, чтобы сделать это без повторного заражения ИТ-среды.

Коммуникация между командами ITOps и SecOps

Сотрудничество между ITOps и SecOps могло бы быть более упорядоченным, в том числе за счет технической автоматизации.

«Похоже, что в общении все еще существует некоторый разрыв», — сказал Хит. «У ITO есть своя роль, как и у SecOps, и хотя сотрудничество становится лучше, оно не там, где должно быть».

Тестирование и готовность к кибератакам или атакам программ-вымогателей

Организации не настолько подготовлены к атаке, как могли бы, из-за отсутствия тестирования, а это означает, что они не знают, сколько времени им потребуется, чтобы снова начать работу.

«Они изо всех сил пытаются автоматизировать и протестировать это и иметь возможность сказать с абсолютной уверенностью, когда критически важные рабочие нагрузки вернутся в производство после того, как они столкнулись с событием кибербезопасности», — сказал Хит.

Неизвестные могут оказаться врагом при подготовке к атаке

По словам Хита, советы директоров хотят знать ответы только на два вопроса в случае нападения. Первый — это то, какова на самом деле степень компрометации данных или воздействия, а второй — сколько времени пройдет, прежде чем организация сможет снова начать работу.

Возможность продемонстрировать, как организация будет управлять атакой и восстанавливаться после нее посредством тестирования, а также четкое указание того, сколько времени это займет, может рассеять неизвестные в уравнении для советов директоров и ИТ-руководителей, обеспечивающих защиту организационных данных.

Хит рекомендует ИТ-руководителям подумать о том, как бы они отреагировали на атаку программы-вымогателя, если бы она произошла сегодня. Он также предлагает приобрести возможность увеличить частоту тестирования, вплоть до тестирования еженедельно, а не каждые три, шесть или 12 месяцев.

«Если ваша способность восстанавливаться после нападения неизвестна, это неизвестное может в конечном итоге исчезнуть через несколько дней, недель или даже месяцев», — сказал Хит. «Мы видели, как некоторые организации еще несколько месяцев спустя все еще пытаются восстановиться и оправиться от атаки».

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE