LASTING System & Sophos: Anatomia unui atac cibernetic

LASTING System & Sophos: Anatomia unui atac cibernetic

LASTING System & Sophos: Anatomia unui atac cibernetic

 

Active Adversary playbook 2021  – Un studiu Sophos

 

Securitatea cibernetică este un domeniu aflat în continuă schimbare și care necesită un grad de adaptare foarte ridicat din partea tuturor actorilor implicați, indiferent de care parte a baricadei sunt. Din fericire companiile de cybersecurity pot utiliza astăzi tehnologii precum inteligența artificială și deep learning-ul pentru a studia atacurile care au avut loc și a identifica suficiente similarități încât să poată concepe linii de apărare eficiente împotriva următorilor atacatori.

 

Vă invităm să citiți mai jos câteva răspunsuri identificate de Sophos în cercetările companiei:

 

Care sunt primele semne ale unui atac cibernetic?

 

De cele mai multe ori (30% din cazuri) atacurile încep prin intermediul serviciilor de acces de la distanță (RDP), phishing (unul din 8 atacuri) sau prin exploatarea sistemelor vulnerabile (unul din 10 atacuri). În 5% din cazuri primul semnal de atac a fost identificare prezenței Cobalt Strike în sistem.

 

Cum se declanșează atacurile?

 

Declanșatorii (droppers) sunt modalitățile în care sunt livrați virușii (malware sau trojan) concepuți special pentru a introduce în sistem alte tipuri de malware. Uneori malware-ul este inclus în dropper, alteori activarea dropper-ului declanșează descărcarea malware-ului. Ulterior pot fi preluate și alte module precum backdoors sau ransomware. În 47% dintre investigații dropperul a fost necunoscut.

 

 

Cât timp rămân atacatorii în rețea?

 

În medie cam 11 zile (având aproximativ 264 de ore de activitate criminală). Cel mai lung atac a fost de 439 de zile (mai bine de 15 luni!).

 

Ce se întâmplă în timpul atacului cibernetic?

 

Extinderea atacului prin infiltrare “laterală” în mai multe echipamente sau rețele, recunoaștere, descărcarea datelor de autentificare, exfiltrarea datelor, exfiltrare de fișiere, cryptominare, declanșarea unui proces de ransomware, banking trojans, wipers, droppers, pen test/ instrumente de atac și multe altele.

 

LASTING-Sophos-Ce se întâmplă în timpul atacului cibernetic?

De ce este dificil să identificăm prezența unui atac?

 

Camuflarea atacului îl face greu de identificat. În foarte multe dintre cazuri un atac utilizează grupări de instrumente distincte, majoritatea dintre acestea fiind instrumente sau programe benigne, utilizate în mod curent de către echipele de IT. Investigatorii au găsit nu mai puțin de 405 de astfel de instrumente diferite.

 

Prin ce se diferențiază un atac cibernetic “camuflat” de activitatea comună din sistem?

 

Deși unele proceduri din atac ar putea trece neobservate, combinațiile dintre acestea trebuie să ridice semne de întrebare: de ex atunci când este utilizat PowerShell în atac, utilizatorii vor mai folosi și alte tool-uri precum Cobalt Strike (58% din cazuri), PsExec (49%), Mimikatz (33%), și GMER(19%).

Alte combinații deja cunoscute sunt:

  • Mimikatz și PsExec (31% din atacuri)
  • Cobalt Strike și PsExec ( 27% din atacuri)
  • Cobalt Strike, PowerShell și PsExec (12% din atacuri)

 

Care sunt cele mai întâlnite grupuri de atac?

 

Grupurile de atac cele mai întâlnite sunt cele din familia ransomware. În multe dintre cazuri succesul operațiunii de neutralizare a atacului face ca pașii finali din atac să rămână neidentificați. În imaginea de mai jos se poate vedea o clasificare a grupurilor cunoscute.

 

LASTING-SOPHOS-Care sunt cele mai întâlnite grupuri de atac?

 

Datele furnizate mai sus fac parte din Active Adversary playbook 2021 lansat de Sophos. Mai multe statstici din acest studiu puteți citi aici.

 

Pe lângă soluțiile de securitate cibernetică promovate de către LASTING în mod curent, Sophos poate oferi și servicii tehnice de securitate cibernetică, threat hunting și asistență imediată în caz de atac.

 

Sophos Managed Threat Response – Un serviciu complet activ 24/7, livrat de către o echipă de experți care oferă intervenții de threat hunting, detecție și are capabilități de răspuns.

 

Sophos EDR – Include instrumente avansate pentru threat hunting și operațiuni de securitate IT.

LASTING- Sophos-EDR

 

Sophos Rapid Response – Ajută organizațiile atacate să încadreze, neutralizeze și investigheze incidentul. Echipele Sophos Rapid Response oferă suport 24/7 și asistență imediată.

 

Toate aceste servicii sunt disponibile și în România, exclusiv prin intermediul LASTING. Pentru mai multe detalii ne puteți contacta la adresa de email sales@lasting.ro 

Contactează-ne

No Comments

Post a Comment

Contact