Hogyan változtak az incidens trendek 2021-re? 

A BakerHostetler közzétette a 2020-ra vonatkozó incidens trend és incidenskezelési riportját. Az incidenskezelési folyamatokat is támogató nemzetközi ügyvédi iroda évek óta statisztikázza az eseményeket, a tavalyi évet bemutató riportjuk az általuk vizsgált 1250 észak-amerikai esemény feldolgozásának eredményeit összegzi. 

A következőekben a riport fontosabb adatai kerülnek kiemelésre illetve kommentelésre. 

Érintett iparágak
A vizsgált eseményben érintett szervezetek iparági bontásban - BakerHostetlern

A vizsgált 1250 incidens közül az oktatási (23%) és az egészségügy (20%) volt a leginkább érintett, a harmadik helyen pedig meglepően az ipari és gyártói környezetek szerepelnek 11 százalékkal.

Fontos kiemelni, hogy a banki és pénzügyi szervezeteket közel azonos számban érintették események. Ez mindenképpen érdekes adat, hiszen a bank és pénzintézetek, illetve az ipari és gyártói környezetek közel sem azonos lehetőségekkel gazdálkodnak, illetve a rendszerek fejlettsége is teljesen eltérő.

Jellemzően a pénzintézetek sokkal modernebb infrastruktúrával rendelkeznek, míg az ipari és gyártási terület az adottságából eredően sokkal inkább használ a technokraták által elavultnak mondható technológiákat. Az elavultság az iparban azonban nagyon  viszonylagos fogalom, nem ritka, hogy egy 20 éves de tökéletesen működő technológia akár még 10 évig is üzemben maradhat (minden sérülékenységével együtt), míg a másik oldalon inkább 3 és 5 éves életciklusokkal kalkulálnak és dinamikusabbak a fejlesztések. 

Csökken a az adathalászat, növekszik a behatolások súlya

A 2020-as évet tekintve a riportban átható, hogy az incidensek bekövetkezésének legfőbb kiinduló oka a hálózati oldalról érkező behatolás volt (53%). A korábbiakhoz képest a trend megfordult, az előző öt évben még az adathalászat szerepelt a bekövetkezett események fő okaként, most azonban visszaszorult a második helyre (24%).

Az adathalászattal kapcsolatos események 33 százalékából következett hálózati oldalról történő behatolás, 26 százalékából zsarolóvírus esemény, 24 százalékból adatlopás és 1 százalékukból valamilyen kémkedéssel kapcsolatos esemény következett be. 

Egyre összetettebbé válnak az események

A korábbi időszakban a zsarolóvírus támadások csak az adatok rendelkezésre állását sértették, de a BakerHostetler szerint ez 2019-re megváltozott, például a Maze csoport a titkosítás előtt el is lopta az adatokat (majd közzé is tette vagy áruba bocsátotta), ez pedig kettős nyomás alá helyezheti az érintett szervezeteket és dupla profittal (vagy biztosabb sikerrel) kecsegtetheti az elkövetőket. A Maze csoport 2020 novemberében ugyan bejelentette a "visszavonulását", de aligha feltételezhető, hogy a módszer nem válik felkapottá más elkövető csoportok esetében is. 

Ezzel együtt változnia kell a szervezetek hozzáállásának is. A ransomware támadások ellen a felismerés és hárítás mellett a szervezetek a mentési stratégia megerősítésével, pontosabb és precízebb, akár offline tárolással is kiegészített mentésekkel reagálnak, azonban a Maze és a hasonló csoportok gyakorlata arra kell hogy kényszerítse a szervezeteket, hogy a zsarolóvírus eseményeket ne kezelje félvállról csak azért, mert gyorsan helyre tudnak állni és nem következik be szignifikáns kiesés vagy adatvesztés. A kockázatokat, sérülékenységeket és gyengeségeket összefüggésükben is értékelni és kezelni kell.

A bekövetkezési okok között harmadik helyen szerepelnek a véletlen közzétételek és az ellopott vagy elvesztett eszközök miatt bekövetkezett incidensek (6%). Az ilyen események során az adatok bizalmassága nem egy külső oldalról érkező támadás miatt, hanem a szervezet saját munkavállalóinak hibájából, vagy a biztonságtudatosság hiányából fakadóan sérül. 

Amíg az elvesztett vagy ellopott eszközökön tárolt és az incidens miatt jogosulatlanul hozzáférhetővé vált adatok viszonylag egyszerűen védhetők meg (például eszköz és diszk titkosítás, adattitkosítás, mobileszköz-menedzsment - MDM bevezetésével), addig a véletlen közzététel sokkal nehezebben kezelhető probléma, amelyen szervezet folyamatainak és az adattovábbítások jobb szabályozásával lehet  segíteni. 

Gyorsuló tempó, növekvő költségek

Nem meglepő, hogy a pandémiás helyzet akadályozza a szervezetek incidenskezelési folyamatait. A járványhelyzet miatti home office egyrészt növelheti a bekövetkező események számát, ugyanakkor megnehezíti az események feltárásában, kivizsgálásában és hárításában közreműködő szakemberek dolgát. 

Network Intrusion Timeline - BakerHostetler

Míg 2019-ben átlagosan 70 nap alatt ismerte fel egy szervezet a rendszereibe hálózati oldalról történő behatolást, ez a szám 2020-ban már 92 napra növekedett. Míg az észlelt esemény elszigetelése (containment) 2019-ben átlagosan 6 napot vett igénybe, addig ez 2020-ban átlagosan 10 napra növekedett.

A behatolásból bekövetkezett események feltárásához szükséges idő egy kissé csökkent, a korábbi 44 napról 42 napra sikerült letornázni a szükséges időt (feltehetőleg itt a lassan, de terjedő EDR technológiák is kapnak szerepet). Megnövekedett azonban az esemény lejelentésének és az érintettek kiértékelésének ideje, mégpedig 60 napról 90 napra.

Az különféle fejlett, végpontvédelmi észlelő és reagáló eszközök (Endpoint Detect and Response  - EDR) terjedése meglehetősen lassú. Az ilyen megoldások segítik a végponton bekövetkező események észlelését és hárítását, valamint jelentősen növelhetik a reagálási képességet.

A 2020-ban vizsgált eseményekben szereplő szervezetek csak körülbelül 10 százaléka rendelkezett teljesen bevezetett és működő EDR megoldással az esemény bekövetkeztekor.

Itthon is tapasztalt, hogy az EDR technológiák terjedési sebessége és a fenyegetettség  növekedése nem arányos, ennek oka, hogy bár az EDR eszközök kiváló és hatékony észlelési és reagálási képességekkel ruházzák fel a szervezeteket, a költségek jelenleg még komoly problémát jelentenek a hazai vállalatok számára. 

A nagyobb EDR gyártók megoldásai jellemzően csak a hazai nagyvállalatok számára elérhetők, a több tíz vagy akár százezer dolláros költség nem vállalható a kisebb szervezetek részéről.

A kisebb szervezetek jellemzően a végpontvédelmi megoldások valamely bővebb licenszének keretein belül juthatnak hozzá EDR funkcionalitásokhoz, mert a legtöbb végpontvédelmi gyártó (például a Sophos, BitDefender vagy az ESET) is rendelkezik olyan licenszel, amely a hagyományos vírusvédelmi rendszereket felruházza a fejlettebb EDR funkciókkal.

Általánosságban elmondható, hogy ezek a licenszek akár 30-50% többletköltségeket jelenthetnek, azonban a növekvő fenyegetettség  és a kockázattal arányos védelem elve már egyre inkább arra kell hogy késztesse a kisebb szervezeteket is, hogy elmozduljanak a "szükséges-elégséges" szintet jelentő hagyományos végpontvédelem felől a fejlett és EDR funkciókkal felruházott végpontvédelem irányába. 

Az incidens eseményekre történő reagálással kapcsolatban a riport (nem csak a behatolás, hanem minden incidenstípusra átlagosan vonatkoztatva) megállapította, hogy ott is tapasztalhatók olyan kisebb változások, amelyekkel érdemesebb kicsit közelebbről is foglalkozni. 

Változások az incidenskezelésben és reagálásban - BakerHostetler

Látható, hogy a vizsgált eseményekben 2019-hez képest az észlelés területén nem történt elmozdulás (bár 2018-hoz képes három nappal megnövekedett a szükséges idő), azonban az incidenskezelés elszigetelési folyamata 2019-hez képest három nappal, 2018-hoz képest pedig két nappal vett átlagosan kevesebb időt igénybe minden eseményre vonatkoztatva. Talán itt is felhozható az EDR technológiák jelentősége, vagy egyéb, például a pandémiás helyzetre történő reagálással együtt járó intézkedések értéke.

A pandémiás helyzet munkaszervezési nehézségei (például a bejutás és hozzáférés, vagy az együttműködés külső, szakértői szervezetekkel) mindenképpen megnehezítik az incidenskezelést, ez tetten is érhető a 2019-képest átlagosan két nappal megnövekedett kivizsgálási időkben. Látható, hogy 2018-hoz képest ez az idő jelentősen változott, 28-ról 36 napra ugrott, amely majdnem 29 százalékos  növekedést jelent.

Még kiugróbb változás, hogy míg 2018-ban a vizsgálatok lezárást követően 33 napra volt szükség az érintettek kiértesítésére, addig 2020-ban ez már 66 napot vett igénybe, amely 200 százalékos növekedést jelent. Ez az arány a 2019-ben mért 38 naphoz képest is 170 százalékos emelkedést mutat. 

A pandémiás helyzet mellett ennek a növekedésnek oka lehet az is, hogy nemcsak az incidensek mennyisége növekszik, de azzal együtt jelentősen emelkedik az érintettek száma is.

Kiszivárgott adatrekordok száma 2019-2020 viszonylatban - Kiberblog

Amíg régebben sokkolóan hatott 100-200 millió rekordnyi adatot érintő adatszivárgás, addig 2020-ra a 400-500 millió rekordos események - mondhatni - mindennapossá váltak. 

Jelentősen megnövekedtek a digitális nyomelemzés (forensic) költségei is.

Az összes vizsgált eseményt tekintve az átlagos forensic költség körülbelül 60 ezer dollárra rúgott, azonban egyes eseménytípusoknál a szakértői vizsgálat akár ennek a sokszorosa is lehet, például a hálózati behatolásoknál az átlagos költség elérheti a 75 ezer dollárt is.

Átlagos forensic költségek - BakerHostetler

A legnagyobb ilyen hálózati behatolásból bekövetkező események forensic költségei átlagosan akár félmillió dollárjába is fájhatnak a szervezeteknek, itt esetleg érdemes lehet belegondolni abba, hogy mennyibe kerülhettek a SolarWinds-támadással összefüggő események forensic vizsgálatai. 

A vizsgált események 24%-a valamilyen külső beszállító vagy szolgáltató miatt következett be. A beszállítói lánc vagy a külső szolgáltató miatt bekövetkezett események 80%-a járt lejelentési kötelezettséggel, amelyből 25% miatt indult valamilyen hivatalos (akár felügyeleti) vizsgálat. 

Ez mindenképpen rámutat arra, hogy a beszállítói lánc védelme és az igénybe vett szolgáltatások biztonsága kiemelt fontosságú tényező, a szervezeteknek több erőforrást kell fordítania a beszállítói lánc lehetséges kockázatainak azonosítására és kezelésére (Cyber Supply Chain Risk Management, C-SCRM).