Organizacije i dalje ne uspijevaju da sprovedu odgovarajuće mjere za logovanje, povećavajući teškoće s kojima se suočavaju odgovorni za odbranu od incidenata, u identifikaciji uzroka informaciono-bezbjednosnih napada.
U 42 odsto analiziranih slučajeva reagovanja na incidente (IR) prema Sophos-u, organizacije nijesu imale potrebne telemetrijske zapise potrebne za pravilnu analizu događaja. Kompanija za bezbjednost procjenjuje da su u 82 odsto ovih slučajeva sajber kriminalci bili krivi nakon onemogućavanja ili brisanja telemetrije i mogućnosti bilježenja. Glavni ciljevi napadača prilikom brisanja zapisa uključuju izbjegavanje otkrivanja, identifikacije i pripisivanja, kao i održavanje pristupa unutar sistema.
U gotovo četvrtini slučajeva, organizacije koje su doživjele sigurnosni incident nijesu imale odgovarajuće bilježenje dostupno za odgovorne za incidente.
“To je bilo zbog različitih faktora, uključujući nedovoljno zadržavanje, re-imaging ili nedostatak konfiguracije”, navodi Sophos u svom najnovijem izvještaju. “U istrazi, to ne samo da bi značilo da podaci ne bi bili dostupni za ispitivanje, već bi branitelji morali provesti vrijeme razmišljajući o tome zašto nijesu bili dostupni.”
Kada organizacije nemaju odgovarajuće mere bilježenja, to je često zbog ograničenja resursa i uopšte, ograničenih IT i podatkovnih mogućnosti, rekao je Peter Mackenzie, direktor odgovora na incidente u Sophos-u.
Ove entitete često čine kompanije male do srednje veličine i one koje nijesu u sektorima fokusiranim na IT, dodao je. Odsustvo zapisa takođe može ukazivati na moguće napore organizacije da prikrije napad.
“Vrijeme je ključno pri reagovanju na aktivnu prijetnju; vrijeme između uočavanja početnog događaja pristupa i potpune opasnosti od prijetnji trebalo bi da bude što kraće”, kaže John Shier, Sophos field CTO, u izvještaju.
“Što dalje napadač stigne u nizu napada, veća je glavobolja za odgovorne. Nedostatak telemetrije samo dodaje vrijeme remedijacijama koje većina organizacija ne može priuštiti. Zato su potpuni i tačni zapisi esencijalni, ali često vidimo da organizacije nemaju potrebne podatke.”
Bilježenje se često smatra neophodnim u industriji bezbjednosti za preduzeća koja žele izgraditi snažnu bezbjednosnu postavku i plan za odgovor na incidente koji omogućava brzo oporavak od napada.
U slučajevima sigurnosnih incidenata, zapisi omogućavaju odgovornima za incidente da vide gdje i kada je sve počelo, kako je napadač uspio da uđe, gdje pokazuje IP adresa, koji korisnički nalog izvršava određeni zadatak i još mnogo toga.
“Zapisi pružaju ključne uvide u aktivnosti mreže i sistema, pomažući u otkrivanju, istraživanju i razumijevanju sigurnosnih incidenata”, kaže Mackenzie u izveštaju. Oni su takođe izuzetno vrijedan resurs za branitelje i one čije su uloge van ili pored kibernetičke bezbjednosti. Oni mogu pomoći u istraživanju problema s performansama, utvrđivanju koji sistemi mogu pristupiti određenim resursima i pružanju upozorenja na događaje poput skoro pune kapaciteta skladištenja, na primjer.
Organizacije koje traže načine da spriječe brisanje zapisa, treba da implementiraju stroge kontrole pristupa i obezbijediti redovno pravljenje i sigurno skladištenje rezervnih kopija, rekao je Shier. Imati sisteme SIEM uključene za praćenje u stvarnom vremenu i primjenjivati nepromenljive zapise takođe su dobre ideje.
Sophos tvrdi da nema opravdanja za organizacije koje nemaju sistem bilježenja, posebno s obzirom da je Microsoft od septembra ove godine učinio bilježenje besplatnim za korisnike čak i na svojim osnovnim licencama.
Izvan Microsoft-a, Američka agencija za kibernetičku sigurnost i infrastrukturu (CISA) preuzela je kormilo Logging Made Easy, besplatnog i otvorenog SIEM rješenja za organizacije koje nemaju mogućnosti bilježenja.
Originalno razvijen od strane Nacionalne agencije za kibernetičku sigurnost Ujedinjenog Kraljevstva (NCSC), ali penzionisan od strane GCHQ-ove kibernetičke jedinice u aprilu, CISA sada upravlja projektom i čini ga besplatnim za sve putem GitHub-a. “Dizajn samoinstalacije LME koristi besplatni, javno dostupni softver za vođenje performansi i transparentnosti”, rekla je CISA prošlog mjeseca. “Ali besplatan i otvoren ne znači da nije zaštićen. LME je testiran, siguran i pouzdan. Takođe je podržan nasljeđem visokih performansi, što je ilustrovano pozitivnim prijemom njegove prethodne iteracije pod nadzorom NCSC-a.”
Ransomware je brži nego ikada
Zapisi mogu biti posebno korisni prilikom istraživanja ransomware-a, mogu otkriti koje sistemi jesu i nijesu pristupljeni od strane naloga koji zapisi mogu pokazati da je kompromitovan.
Podaci Sophos-a podržavaju Secureworks u oktobru koji je otkrio da su vremena boravka napadača ransomware-a sada mjerena u satima umjesto dana.
Napadi ransomware-a koji traju duže od pet dana sada se smatraju ‘sporim napadima’, kaže izvještaj Sophos-a, sa 62 odsto svih incidenata koji padaju u ovu kategoriju.
Preostalih 38 odsto smatra se ‘brzim’ i odvija se u manje od pet dana. U nekim slučajevima napada na lanac snabdijevanja, vatrogasci Sophos-a su vidjeli implementaciju ransomware-a unutar šest sati jedan za drugim.
Prema Secureworks-u, tipično vrijeme između napadača koji prave početnu intruziju u organizaciju i implementaciju ransomware-a smanjilo se na 24 sata. U deset odsto slučajeva, ransomware je implementiran u roku od pet sati.
U Sophos-ovom izvještaju, Shier kaže da napadači vjerovatno neće mijenjati svoje taktike dok potpuno ne prestanu da rade. To bi trebalo biti dobrodošla vijest za branitelje jer bez inovacija napadača znači da se strategije odbrane ne moraju drastično mijenjati.
“Ključ je povećati trenje kad god je to moguće – ako napadačima otežate posao, možete dodati vredno vrijeme za reagovanje, produžujući svaku fazu napada”, kaže on. “Na primjer, u slučaju napada ransomware-a, ako imate više trenja, možete odložiti vrijeme do eksfiltracije; eksfiltracija se često događa neposredno prije otkrivanja i često je najskuplji dio napada.