Fortinet, światowy lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań ochronnych, zaprezentował raport z badania „2021 Global State of Ransomware”. Wynika z niego, że większość firm obawia się ataków z użyciem oprogramowania szyfrującego bardziej niż innych cyberzagrożeń. Wielu badanych wskazało jednak, że w ich miejscach pracy podejmowane są działania przygotowujące na ataki ransomware, takie jak szkolenia dla pracowników, tworzenie planów oceny ryzyka oraz inwestycje w ubezpieczenia.
U ankietowanych można jednak zaobserwować wyraźny dysonans poznawczy – za niezbędne do ochrony często postrzegają nie te rozwiązania, których zastosowanie rzeczywiście mogłoby pomóc.
Jako niezbędne najczęściej wskazywane były rozwiązania Secure Web Gateway (bezpieczna brama sieciowa), wirtualne sieci prywatne VPN oraz mechanizmy kontroli dostępu do sieci (Network Access Control). Widać po tym, że przedstawiciele firm najbardziej martwią się o pracowników zdalnych i wykorzystywane przez nich urządzenia. Tymczasem, chociaż korzystanie z podejścia Zero Trust Network Access jest dopiero wschodzącym trendem, to ono powinno być traktowane jako zamiennik tradycyjnie stosowanych rozwiązań VPN.
Jednak najbardziej niepokojący był niski odsetek respondentów, którzy dostrzegli znaczenie segmentacji sieci (31%). Jest to rozwiązanie o krytycznym znaczeniu, ponieważ uniemożliwia napastnikom wykorzystywanie tzw. ruchu pobocznego (lateral movement), aby uzyskać dostęp do ważnych danych oraz własności intelektualnej przedsiębiorstwa. Podobnie kluczową rolę w identyfikowaniu włamań i nowych rodzajów złośliwego oprogramowania odgrywają rozwiązania do analizy zachowania użytkowników i podmiotów (User and Entity Behavior Analytics, UEBA) oraz środowiska testowe typu sandbox – oba również znalazły się na niższych pozycjach na liście.
Kolejną niespodzianką był niski odsetek respondentów wskazujących na bramy zapewniające bezpieczeństwo poczty elektronicznej (33%), zwłaszcza biorąc pod uwagę powszechną świadomość faktu, że phishing jest często stosowaną metodą pomocną atakującym przy wchodzeniu do sieci.
Przedsiębiorstwa są bardzo zaniepokojone ryzykiem utraty danych
Największe obawy firm związane z atakami ransomware dotyczyły ryzyka utraty dostępu do danych, a zaraz za nimi uplasowała się utrata produktywności i przerwanie działalności. Ponadto, 84% badanych zadeklarowało, że posiada plan reagowania na incydenty, a ubezpieczenie od przypadków naruszenia bezpieczeństwa było częścią tych planów w 57% przypadków.
W planach tych odniesiono się także do taktyki płacenia okupu, gdy atak się powiedzie. W przypadku 49% badanych procedura polega na zapłaceniu okupu bezwarunkowo, zaś dla kolejnych 25% firm sytuacja będzie zależała od wysokości okupu. Spośród jednej czwartej ankietowanych firm, które zdecydowały się na zapłacenie okupu, większość, ale nie wszystkie, odzyskały swoje dane.
Obawy związane z oprogramowaniem ransomware są spójne w skali globalnej
Można zaobserwować pewne różnice geograficzne związane z obawami dotyczącymi oprogramowania szyfrującego. Respondenci z regionu EMEA (95%), Ameryki Łacińskiej (98%) oraz Azji, Pacyfiku i Japonii (98%) obawiali się ataków ransomware tylko nieznacznie bardziej niż respondenci z Ameryki Północnej (92%). Przedstawiciele wszystkich regionów wskazali utratę dostępu do danych za największe ryzyko związane z atakiem ransomware, a także obawiają się, że nie będą w stanie nadążyć za coraz bardziej zróżnicowanymi zagrożeniami. Tylko przez respondentów w regionie Azji, Pacyfiku i Japonii jako najważniejsze zmartwienie wskazywany był brak świadomości użytkowników i przeznaczonych dla nich szkoleń. Ankietowani z tego samego regionu oraz Ameryki Łacińskiej częściej padali ofiarą ataku ransomware w przeszłości (78%), w porównaniu z 59% w Ameryce Północnej i 58% w regionie EMEA. Najczęściej jako narzędzie ataku stosowany jest phishing, tylko w regionie Azji, Pacyfiku i Japonii oraz w Ameryce Łacińskiej były to włamania poprzez protokół zdalnego pulpitu (RDP) oraz otwarte porty prowadzące do wrażliwych zasobów.
Potrzeba integracji i inteligencji
Niemal wszyscy ankietowani uważają, że analiza zagrożeń z zastosowaniem zintegrowanych rozwiązań ochronnych lub platform zabezpieczających ma kluczowe znaczenie dla zapobiegania atakom typu ransomware. Dostrzegają również znaczenie funkcji wykrywania zagrożeń z wykorzystaniem sztucznej inteligencji (AI).
Prawie wszyscy ankietowani uważają, że są umiarkowanie przygotowani w zakresie cyberbezpieczeństwa i planują zainwestować w szkolenia dla pracowników z zakresu świadomości zasad cyberhigieny. Z badania jednak jasno wynika, że oprócz podstawowych rozwiązań, takich jak NGFW, SWG czy EDR, firmy muszą uznać też wartość inwestycji w zaawansowane techniki, takie jak zabezpieczenia poczty elektronicznej, segmentacja i sandboxing. Pomoże to wykrywać ataki ransomware, zapobiegać im oraz ograniczyć ich skutki.
– Ważne jest też, aby firmy rozważyły użycie tych rozwiązań i oceniły je pod kątem zmniejszenia ryzyka, zwłaszcza biorąc pod uwagę stosowane dziś przez cyberprzestępców taktyki i techniki mające na celu zarażenie kodem ransomware. Najbardziej zaawansowane przedsiębiorstwa przyjmują taką strategię ochrony przed nim, która bazuje na platformie zabezpieczającej i zapewnia podstawowe funkcje, w pełni zintegrowane z mechanizmami wykrywaniem zagrożeń. Rozwiązania te muszą być również zaprojektowane tak, aby współpracować ze sobą jako jednolity system i być wzbogacone o sztuczną inteligencję i uczenie maszynowe, aby lepiej wykrywać ransomware i reagować na próbę ataku. – John Maddison, EVP of Products and CMO w Fortinet
Według ostatniego raportu FortiGuard Labs „Global Threat Landscape”, liczba ataków z użyciem ransomware wzrosła o 1070% rok do roku. Nic dziwnego, że ewoluujący charakter zagrożeń był wymieniany jako jedno z głównych wyzwań przy zapobieganiu atakom tego rodzaju. Jak wynika z naszego badania dotyczącego ataków ransomware, istnieje ogromna szansa na przyjęcie rozwiązań technicznych, takich jak segmentacja, SD-WAN, ZTNA, a także SWG i EDR, aby pomóc w ochronie przed oprogramowaniem szyfrującym i sposobami jego instalowania najczęściej zgłaszanymi przez respondentów. Wysoka liczba ataków świadczy o tym, że firmy muszą pilnie zadbać o to, aby infrastruktura ich zabezpieczeń była przygotowana na najnowsze techniki ataków na sieci, urządzenia końcowe i chmurę. Dobrą wiadomością jest to, że respondenci dostrzegają wartość podejścia platformowego do obrony przed oprogramowaniem ransomware.
Informacje o badaniu:
- Raport powstał na bazie wyników globalnego badania osób decyzyjnych w obszarze IT, którego celem było lepsze zrozumienie, jak przedsiębiorstwa postrzegają zagrożenie ransomware, w jaki sposób obecnie się przed nim chronią i jak planują robić to w przyszłości.
- Badanie zostało przeprowadzone w sierpniu 2021 roku na próbie 455 respondentów z małych, średnich i dużych przedsiębiorstw na całym świecie. Uczestnicy badania to firmy wiodące w wykorzystaniu rozwiązań IT i bezpieczeństwa z 24 różnych krajów, reprezentujący niemal wszystkie branże, w tym sektor publiczny.