В нов доклад на Sophos, фирма за сигурност, се казва, че нападателите са получили първоначален достъп до мрежата – 56% от всички случаи на MDR и IR – чрез използване на външни отдалечени услуги, като защитни стени и VPN, като са използвали валидни идентификационни данни.
Докладът Sophos Active Adversary Report 2025 съдържа подробна информация за поведението и техниките на нападателите от над 400 случая на Managed Detection and Response [MDR] и Incident Response [IR] през 2024 г.
Според доклада комбинацията от външни отдалечени услуги и валидни акаунти съвпада с основните причини за атаките.
За втора поредна година компрометираните идентификационни данни са основната причина за атаки номер едно [41% от случаите]. След това се нареждат експлоатираните уязвимости [21,79%] и атаките с груба сила [21,07%].
При анализа на MDR и IR разследванията екипът на Sophos X-Ops разгледа конкретно случаите на ransomware, ексфилтрация на данни и изнудване на данни, за да установи колко бързо нападателите преминават през етапите на атаката в рамките на организацията.
При тези три вида случаи медианното време между началото на атаката и ексфилтрацията е само 72,98 часа [3,04 дни]. Освен това медианното време от ексфилтрирането до откриването на атаката е било само 2,7 часа.
„Пасивната сигурност вече не е достатъчна. Въпреки че превенцията е от съществено значение, бързата реакция е от решаващо значение. Организациите трябва активно да наблюдават мрежите и да действат бързо спрямо наблюдаваната телеметрия.
Координираните атаки от мотивирани противници изискват координирана защита. „За много организации това означава съчетаване на специфични за бизнеса знания с експертно управление на откриването и реагирането.
Нашият доклад потвърждава, че организациите с проактивен мониторинг откриват атаките по-бързо и постигат по-добри резултати“, казва Джон Шиър, полеви CISO.
Докладът на Sophos за 2025 г. за активните противници разкрива още, че нападателите могат да действат бързо, като медианната стойност между първоначалния достъп и опита за пробив в Active Directory – критичен актив в средите с Windows – е само 11 часа.
Akira се очертава като най-разпространената група за рансъмуер през 2024 г., следвана от Fog и LockBit, като последният все още е активен въпреки голямото му премахване.
Откриването на атаки се е подобрило като цяло, като времето на престой – времето, през което нападателите остават неразкрити – е спаднало от четири дни на само два, до голяма степен благодарение на включването на случаи на MDR (Managed Detection and Response).
Времето на престой варира в зависимост от вида на случая: то се запазва стабилно на 4 дни за случаите на ransomware и 11,5 дни за случаите, които не са свързани с ransomware, при разследванията за реагиране на инциденти (IR).
За разлика от тях, при случаите на MDR времето за реакция е много по-бързо – 3 дни за ransomware и само 1 ден за атаки, които не са свързани с ransomware.
В доклада се подчертава също така, че 83% от случаите на разпространение на ransomware са се случили извън местното работно време, което показва, че нападателите предпочитат нощна дейност.
Освен това протоколът за отдалечен работен плот (Remote Desktop Protocol – RDP) е бил използван в 84% от случаите, което го прави най-често използваният инструмент на Microsoft.
За да засилят своята позиция по отношение на киберсигурността, Sophos съветва организациите да предприемат няколко ключови стъпки.
Първо, те трябва да затворят всички открити портове на протокола за отдалечен работен плот (RDP) и да въведат устойчива на фишинг многофакторна автентикация (MFA), където е възможно, за да намалят рисковете от неоторизиран достъп.
Освен това компаниите трябва да дадат приоритет на навременното пакетиране на уязвимите системи, особено на тези, които са изложени на интернет. От решаващо значение е внедряването на решения за откриване и реагиране на крайни точки (Endpoint Detection and Response – EDR) или управляеми решения за откриване и реагиране (Managed Detection and Response – MDR) с 24-часов мониторинг.
И накрая, наличието на добре дефиниран план за реагиране при инциденти – и редовното му тестване чрез симулации или настолни упражнения – може значително да подобри готовността за потенциални атаки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
