Кибер-нападателите често имат преднина пред защитниците
(графика: CC0 Public Domain)
Очаква ни значителен скок от 25% в броя на често срещаните киберуязвимости през 2024 г. Това ще означава приблизително 34 888 уязвимости или средно по около 2900 всеки месец. При подобни темпове светът на киберзащитата се превръща в същинско бойно поле в разгара на война, която вече взема твърде много и твърде сериозни жертви.
Уязвимостите са един от водещите три вектора, използвани от организаторите на рансъмуер атаки за постигане на пробив у организациите-мишени. Това означава, че е от съществено значение да се разбира значимостта на кибер-уязвимостите и справянето с тях. Но най-новите данни са обезсърчаващи: броят на този тип проблеми ще скочи с четвъртина през настоящата година.
Плашещи нюанси
Предвид високата скорост, с която новите уязвимости излизат на бял свят, съчетани с разпространението на различните системи за мониторинг и предупреждения, драмата с кибернетичните рискове придобива плашещи нюанси. Повечето организации-потребители са претоварени и изтощени от постоянната надпревара за справяне с новооткритите уязвимости. Откриването на нови и нови не спира нито за миг.
Различни предупредителни системи постоянно вдигат аларма, показват червени флагове. Умората от несекващите предупреждения и известия постига ефект, обратен на търсения: вместо да намалява цялостния риск и атакуемата повърхност, изтощението прави екипите по ИТ защитата по-малко бдителни. Говори се за състояние на отвращение от предупрежденията, за объркване относно въпроси като какво трябва да се направи най-напред.
„В сегашния климат на киберсигурността е нереалистично да очакваме организациите да управляват независимо всички уязвимости“, коментира Тиаго Енрикес, ръководител на отдела за изследвания в Coalition – един от водещите доставчици на киберзастраховки и автор на прогнозата за увеличението на проблема. „Организациите имат нужда от експертно управление на проблемите в сигурността и насоки за приоритизиране на отстраняването“.
В допълнение, липсва ясна система за оценка на критичността и спешността на уязвимостите. Отделите за защита се нуждаят от навременен, обективен метод за оценяване на уязвимостите. В много случаи експлойтите вече са достъпни за злонамерените лица, преди данните да бъдат публикувани, което означава, че злодеите често имат преднина пред защитниците.
Липсата на оценителна система означава, защитниците са изправени пред две трудни битки по отношение на управлението на уязвимостите. Първо, те се нуждаят от метод за приоритизиране, за да определят кои от хилядите уязвимости, публикувани всеки месец, трябва коригират най-спешно. Второ, те трябва да коригират, преди злонамерените лица да използват експлойтите, за да атакуват конкретната организация.
Проблеми валят от всички страни
В по-широк мащаб проблемите с киберзащитата се роят и „валят“ от всички страни. Например, според констатациите, налице е тревожното увеличение от 59% на броя на уникалните IP адреси, които са били сканирани за използване на протокола за отдалечен работен плот (RDP). Това е тревожно, тъй като фирмите, работещи с RDP през интернет, е много вероятно да станат обект на рансъмуер атака. А интересът на злосторниците очевидно расте.
Наред с това данните говорят, че има около 10 000 фирми, работещи с базата данни Microsoft SQL Server 2000, която е в края на живота си (EOL), и над 100 000 организации, работещи с Microsoft SQL сървъри в края на живота им.
Решението MDR
Все пак картината не е напълно безнадеждна. Технологиите за управляемо откриване и реагиране (MDR) могат да намалят времето за реакция при атака с 50% или повече. А подобно намаление си е „огромно въздействие в борбата за защита на бизнеса от киберзаплахи“, добавя Джон Робъртс, генерален мениджър в Coalition.
Вече не е достатъчно да инсталираме дадено решение и просто да го оставим да работи, казва Робъртс. Сега експертите по киберсигурност трябва да играят активна роля в управлението на уязвимостите и рисковете – постоянно, ежедневно.
Това, което може да облекчи работата им, е MDR. След като технологията открие подозрителна дейност, хората е екипа по киберзащита могат да се намесят по различни начини, като например изолиране на засегнати машини или снемане на привилегии. Това може да се окаже решаваща крачка за спиране на зловредната дейност на киберпрестъпниците при успешен пробив.