A FireEye-hoz tartozó Mandiant cég nemrégi kiadott 2020-as „Biztonsági hatékonysági jelentés”-e tartalmaz néhány érdekességet, és sok megszívlelendő dolgot.
A jelentésben az alábbi megállapításokra jutottak:
Felderítés
A hálózati forgalom tesztelése után a szervezetek a felderítési (támadási) tevékenységek mindössze 4% -át jelentették riasztásként. Ez a tévesen konfigurált kontrollokból fakad, ami a sikeres támadó-szkennelés és profilozás nagyobb kockázatával, valamint a támadási kísérletek korai fázisának magas eredményességével járhat.
Gyakori okok
- A hálózati szegmentálás pontatlan konfigurációja
- Belső biztonsági kontroll-pontok hiánya
- Nem tudjuk megkülönböztetni a támadó-felderítést a normál hálózati megfigyeléstől
Behatolások és a zsarolóvírusok
A beszivárgásos és a zsarolóvírus taktikákkal szembeni ellenőrzések után a szervezetek arról számoltak be, hogy ellenőrzéseik nem akadályozták meg vagy fedezték fel a kárt a környezetükben az esetek 68% -ban.
Gyakori okok
- Az alapértelmezett „out-of-the-box” konfigurációk telepítve
- Ismeretlen „fail-open” körülmények a biztonsági ellenőrzésekben
- Elavult vagy gyengén karbantartott aláírások
Szabály-megkerülés
Ha a támadók elterelő, célzott támadási technikákat hajtott végre a szabályok vagy szabályzatok megkerülése érdekében, az esetek 65% -ban a cégek nem voltak képesek megakadályozni vagy észlelni ezeket a megközelítéseket.
Gyakori okok
- Elavult klasszifikációs kategóriák
- Korlátozott hálózati megfigyelés a várható protokollokon
- A változások nem megfelelő nyomon követése és kommunikációja egyszeri kivételek esetén
Rosszindulatú fájlátvitel
A rosszindulatú fájlok mozgatásához kapcsolódó technikák és taktikák végrehajtásakor az esetek 48% -ban az ellenőrzések nem tudták megakadályozni vagy észlelni a támadásnak ezt a szakaszát.
Gyakori okok
- A rosszindulatú programok aláírásainak szállítóinak nem ismerete
- A meglévő biztonsági kontrollok téves konfigurálása
- Alacsony erőforrású vagy elavult „sandbox” technikák és technológiák
Command és Control
A tesztelt C&C tevékenységek közül a viselkedések 97% -ra nem volt megfelelő riasztás a SIEM rendszerekben.
Gyakori okok
- Elavult vagy hiányzó oldal-klasszifikáció
- Az SSL ellenőrzés hiánya
- Biztonsági események, amelyek nem jutnak el a SIEM rendszerhez
Az adatszivárgás
Az adatszivárgás elleni védelem továbbra is a legfontosabb a CISO-k számára, ám az ilyen technikák és taktikák az esetek 67% -ban mégis sikeresek voltak.
Gyakori okok
- Ismeretlen „fail-open” körülmények a biztonsági ellenőrzésekben
- Az SSL ellenőrzés hiánya
- A meglévő biztonsági kontrollok téves konfigurálása
- Alacsony erőforrású vagy elavult „sandbox” technikák és technológiák
Oldalirányú mozgás
Az oldalirányú mozgás gyakori taktika a beszivárgásoknál. Az ilyen támadások tesztelésére használt technikák és taktikák ötvennégy százaléka hiányzott, és a támadások 96% -nál nem volt megfelelő figyelmeztető jelzés a SIEM-ben.
Gyakori okok
- A hálózati szegmentálás pontatlan konfigurációja
- Belső biztonsági kontroll-pontok hiánya
- Nem tudjuk megkülönböztetni az adminisztratív magatartást a rosszindulatú tevékenységektől.
A tanulság? A szokásos…
A vállalatok sokkal nagyobb kockázatnak vannak kitéve, mint gondolják.
A szervezetek komoly beruházásokat hajtanak végre a biztonsági infrastruktúrába, szakértőket és külsősöket alkalmaznak, és szabályokat vezetnek be a kritikus eszközök védelme érdekében. De a kutatás azt mutatta, hogy a szervezetek olyan feltételezéseken működnek, amelyek nem felelnek meg a valóságnak, és jelentős kockázatnak teszik ki magukat.
Egy-egy cég számára a legjobb módszer, ha folyamatos, automatizált értékeléssel, optimalizálással és ésszerűsítéssel javítja a biztonsági programjának a hatékonyságát.