Powiedzenie „czas to pieniądz” nabiera szczególnego znaczenia w kontekście cyberbezpieczeństwa: hakerzy i cyber-włamywacze, dzięki znakomitemu wyczuciu, dobrze wiedzą, jak i kiedy uderzyć. A kiedy już się uaktywniają, czas działa na niekorzyść ich ofiar – im dłużej trwa atak, tym jest bardziej kosztowny.
Z okazji Miesiąca Świadomości Cyberbezpieczeństwa specjaliści z Cisco Talos przedstawiają kilka ciekawych faktów i liczb obrazujących znaczenie czasu w cyberatakach.
- Zaszyfrowanie danych przez oprogramowanie ransomware trwa krócej niż ugotowanie jajka
Zanim przygotujesz śniadanie, najszybsze ransomware na świecie zaszyfruje wszystkie ważne pliki przechowywane w sieci twojej firmy. Oprogramowanie wymuszające okup o nazwie LockBit potrzebowało zaledwie 5 minut i 50 sekund, aby zaszyfrować testowy zbiór prawie 100 tys. plików o łącznej objętości 53 GB. Dzięki sztucznej inteligencji czas szyfrowania w przyszłości jeszcze się skróci (źródło).
- „Mała czarna” z odrobiną phishingu?
Standardowy ekspres do kawy może zaparzyć napój w czasie krótszym niż 60 sekund. Mniej więcej tyle samo czasu zajmuje skuteczny atak phishingowy, w trakcie którego nieświadomy użytkownik daje się nabrać na fałszywego e-maila. Średnio od otwarcia wiadomości phishingowej do kliknięcia w zawartego w niej złośliwego odnośnika upływa zaledwie 21 sekund. W ciągu kolejnych 28 sekund niczego niepodejrzewająca ofiara wprowadza swoje dane na podstawionej witrynie. Warto zatem poświęcić nieco więcej czasu na uważne czytanie poczty elektronicznej – chociażby przy porannym espresso (źródło).
- Analiza zagrożeń 100 razy szybsza niż Google
Aby szybko reagować na cyberataki, najpierw trzeba zidentyfikować potencjalne zagrożenia. Cisco Talos analizuje średnio dziesięć milionów incydentów bezpieczeństwa na sekundę. To sprawia, że jest około 100 razy szybsze niż działanie wyszukiwarki Google, która przetwarza „tylko” 100 tysięcy zapytań na sekundę (źródło).
- Każda minuta przestoju kosztuje 9 tys. dolarów
Wstrzymanie działalności firmy, będące konsekwencją udanego cyberataku, może być kosztowne. Każda minuta przestoju kosztuje średnio 9 tys. dolarów. Godzinny przestój to już straty w wysokości ponad pół miliona dolarów. Tygodniowa przerwa i firmie zagrozi bankructwo. To sprawia, że nie należy oszczędzać na inwestycjach w obronę cybernetyczną oraz narzędzia do odzyskiwania danych. Warto za to zawczasu przygotować plan reagowania na incydenty (źródło).
- Napastnik działa dwa razy szybciej niż obrońca
Przeciętny czas, w jakim przedsiębiorstwa usuwają krytyczne luki w zabezpieczeniach, wynosi 88 dni. Tymczasem średni czas, potrzebny cyberprzestępcy na wykorzystanie takiej luki, to zaledwie 44 dni (źródło 1, źródło 2).
- Zapach ataku na MFA o poranku…
Początek dnia to najlepszy czas na ataki omijające uwierzytelnianie wieloskładnikowe (ang. multi-factor authentication). Inżynierowie Cisco Talos odkryli, że cyberprzestępcy starają się synchronizować swoje działania z rytmem pracy pracowników biurowych. Okres między godziną 9 a 11 to najlepszy czas dla hakerów na obchodzenie systemów MFA poprzez ataki bazujące na fałszywych powiadomieniach push (źródło).
- „Starość nie radość”
Osiem na dziesięć luk w zabezpieczeniach najczęściej wykorzystywanych przez cyberprzestępców w 2023 roku liczyła sobie w momencie ataku więcej niż pięć lat – a w erze cyfrowej to cała wieczność. Co więcej, cztery luki były klasyfikowane jako największe zagrożenia już wtedy, gdy na ekrany kin wchodził słynny „Interstellar” Christophera Nolana, czyli… w 2014 r. (źródło).
- Doba na zgłoszenie incydentu
Zgodnie z zapisami dyrektywy NIS2 (w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej) przedsiębiorcy – również w Polsce – będą mieli obowiązek bezzwłocznego zgłaszania właściwym organom wszystkich zdarzeń mogących mieć istotny wpływ na świadczone przez te firmy usługi. Incydenty sklasyfikowane jako „poważne” będzie trzeba zgłaszać w ciągu maksymalnie 24 godzin. Za nieprzestrzeganie zapisów dyrektywy firmom grożą wysokie kary finansowe (źródło).
- Cyber-złodziej uderza co kwartał
Eksperci Cisco zaobserwowali ciekawy cykl, zgodnie z którym działają cyberprzestępcy specjalizujący się w kradzieży firmowych danych: po trzech miesiącach ponadprzeciętnej aktywności robią miesięczną przerwę. Ta przerwa jest im potrzebna do przeanalizowania i przetworzenia skradzionych danych, zanim zdecydują się na ponowny atak (źródło).
„Cyberprzestępczość to kwestia wyczucia czasu. Aby odnieść sukces, napastnicy wykorzystują szybkość i każdy moment nieuwagi, błyskawicznie przeprowadzając ataki, a szybkość ich działań wymaga od firm równie błyskawicznych reakcji, aby zminimalizować straty” – mówi Holger Unterbrink, dyrektor techniczny Cisco Talos. „Automatyzacja i zaawansowane narzędzia analizy zagrożeń mogą pomóc przedsiębiorstwom zyskać przewagę, sprawiając, że czas zacznie działać na ich korzyść. Jeśli firmy będą w stanie wykorzystać automatyzację i sprawić, by czas działał na ich korzyść, ich zdolności obronne znacznie się poprawią.”