Vedoucí pracovníci by měli zbystřit. Přinášíme přehled, který shrnuje zjištění zprávy o trendech v ransomwaru v roce 2022 v regionu EMEA a ověřené postupy, jak vyhrát boj s ransomwarem.

Celou zprávu 2022 Ransomware Trends Report společnosti Veeam Software si můžete stáhnout zdarma.

Zajímáte-li se o problematiku ochrany podnikových dat nebo chcete zjistit více o strategiích moderní ochrany dat navštivte odbornou konferenci VeeamON Tour, která se koná 13. září 2022 ve Slovanském domě v Praze a jejíž obsah bude k dispozici i online na adrese https://go.veeam.com/veeamon-tour-2022-cz.

V lednu 2022 provedla nezávislá výzkumná agentura Vanson Bourne průzkum mezi 1000 nezaujatých vedoucích pracovníků v oblasti IT, který se týkal dopadu ransomwaru na jejich prostředí, jejich metod nápravy a bezpečnostních strategií do budoucna. Dotazováni byli pracovníci na pozicích CISO, odborníci na bezpečnost, zálohování a provoz IT v organizacích všech velikostí v 16 různých zemích včetně 300 podniků z regionu EMEA.

Předchozí výzkumná zpráva od stejné agentury ukázala, že v roce 2021 čelilo alespoň jednomu kybernetickému útoku 76 % organizací, přičemž zbylých 24 % podniků napadeno nebylo nebo si útoku není vědomo. S cílem získat více informací o vývoji ransomwaru, byl proveden druhý průzkum, v němž byli dotazování respondenti, kteří v roce 2021 zažili alespoň jeden kybernetický útok – většina z nich však ve skutečnosti čelila v tomto období útokům dvěma. Jednou z nejvíce alarmujících statistik týkajících se těchto kybernetických útoků v roce 2021 byla skutečnost, že organizace přiznaly, že se jim podařilo obnovit pouze 69 % svých dat. Celkově tyto výsledky však poukázaly na nejméně tři klíčové oblasti:
• Efektivitu a všudypřítomnost útočníků
• Klíčové atributy úspěšné strategie nápravy
• Příležitosti ke zlepšení mezi týmy odpovědnými za proaktivní prevenci a následnou nápravu

Efektivita a všudypřítomnost útočníků
I přes celosvětové povědomí o ransomwaru a malwaru a stále se zvyšující ostražitost IT týmů je podle 44 % respondentů v celosvětovém měřítku a 46 % v regionu EMEA nejčastějším místem vstupu ransomwaru náhodné kliknutí na škodlivý odkaz, návštěva nezabezpečeného webu nebo phishingový e-mail. Příliš mnoho kybernetických zločinců však získává přístup i prostřednictvím infikovaných softwarových balíčků a ukradených přihlašovacích údajů.

Po průniku do prostředí organizace většina (80 %) útočníků vyhledává běžné systémy se známými zranitelnostmi, včetně standardních operačních systémů a hypervisorů, ale i NAS platforem a databázových serverů. Mezi zajímavé poznatky průzkumu patří i zjištění, jak mohou být vůči kybernetickým útokům více (nebo méně) zranitelné některé části hybridní nebo distribuované IT infrastruktury. Na dotaz, které části jejich prostředí byly zašifrovány, odpověděly zástupci organizací následovně:
• 48 % zažilo zašifrování serverů v rámci datového centra
• 49 % čelilo zašifrování platforem v rámci řešení vzdálených kanceláří
• 46 % se setkalo se zašifrováním serverových instancí hostovaných v cloudu

V regionu EMEA bylo zasaženo 47 % serverů datových center, 50 % řešení vzdálených kanceláří a 44 % cloudových instancí. Více znepokojivá je však efektivita útočníků, kteří proaktivně ničí úložiště datových záloh svých obětí. Je to vidět na obrázku 1.1., který reflektuje otázku, zda se útočník pokusil v rámci ransomwarového útoku upravit nebo odstranit úložiště záloh.

Obr. 1.1. Pokusil se útočník v rámci ransomwarového útoku upravit/odstranit úložiště záloh? (n=1000)

Nenechte se však mýlit, kybernetičtí zločinci „prodávají“ možnost obnovy dat oběti, přičemž pravděpodobnost, že oběť zaplatí výkupné, se výrazně zvyšuje, pokud již není možná obnova ze zálohy. Tato skutečnost je ještě zajímavější, když se podíváme na to, zda organizace zaplatily výkupné, pokud se jim data obnovit podařilo, viz obrázek 1.2

Obr. 1.2. Zaplatila vaše organizace za obnovu dat výkupné? (n=1000)

Výše uvedený graf (1.2.) ukazuje i několik klíčových bodů, ze kterých by se mohla každá společnost poučit:
• Při necelé polovině útoků organizace zaplatily výkupné a zároveň se jim podařilo data obnovit
• Na druhou stranu každá čtvrtá organizace (24 %) výkupné zaplatila, ale přesto se jí data obnovit nepodařilo
• Nejzajímavější je, že jedna z pěti (19 %) organizací výkupné nezaplatila, ale data přesto dokázala obnovit

Jinými slovy, téměř stejné množství organizací dokázalo provést obnovu dat, aniž by výkupné zaplatily, jako organizací, které zaplatily, ale obnovu provést nedokázaly. V oblasti EMEA dokázalo 22 % organizací provést obnovu bez zaplacení výkupného. Proto se společnosti zabývající se ochranou dat tolik zaměřují na scénáře s ransomwarem – aby i zbývajících 78 % obětí kybernetických útoků mohlo říci, že provedlo obnovu dat bez zaplacení.

Klíčové vlastnosti úspěšné strategie nápravy
Vzhledem k výše uvedenému není překvapivé, že mnoho organizací používá alespoň jeden typ neměnného nebo fyzicky odděleného úložiště záloh v naději, že se jim v případě potřeby podaří data obnovit (viz obrázek 1.3).

Obr. 1.3. Jaká offline, fyzicky oddělená nebo neměnná úložiště záloh vaše organizace používá? (n=398)

Zatímco pouze 5 % organizací má v rámci ochrany svých dat méně než jednu neměnnou vrstvu, mnoho z nich jich používá více. To ukazuje, že jejich data záloh jsou neměnná po celou dobu svého životního cyklu:
• 74 % organizací využívá cloudová úložiště, která nabízejí neměnnost
• 67 % podniků využívá on-site disková úložiště s možností neměnnosti nebo uzamčení
• 22 % organizací využívá pásku nebo fyzické odpojení

Po snížení pravděpodobnosti, že budou úložiště narušena, je dalším krokem zajištění možnosti obnovy čistých dat zpět do produkčního prostředí. Téměř polovina dotázaných organizací toho dosahuje tak, že než data opět zavede do produkčního prostředí, nejprve je obnoví do izolovaného prostředí, aby otestovala jejich bezpečnost.
Tento osvědčený postup izolace a „obnovení nanečisto“ aplikuje 46 % organizací po celém světě a 52 % organizací v oblasti EMEA. Dalším osvědčeným postupem, který se ukázal u menšího počtu (16 %) organizací, je proaktivní testování obnovitelnosti dat pomocí automatického ověřování skutečných obnov namísto spoléhání na protokoly zálohování a testy médií.

Příležitosti ke zlepšení v rámci organizace
Výše popsané technologie jsou sice v boji proti ransomwaru, který má roční dopad 50 miliard dolarů1, nepostradatelné, ale skutečnou sílu při obraně před kybernetickými útoky nebo zmírňování jejich dopadu přinášejí odborné znalosti různě zaměřených týmů a jejich vzájemné sladění. Z hlediska strategie mezi kybernetickou připraveností organizací a jejich celkovou přípravou na kontinuitu podnikání a zotavení po havárii studie zjistila, že:
• 23 % organizací má zcela sjednocenou strategii
• 58 % podniků je většinově integrováno v rámci dvou iniciativ
• 17 % organizací je pouze do určité míry integrováno
• 2 % podniků jsou zcela nepropojeny

Ačkoli se zdá, že strategie jsou ve většině (81 %) organizací sladěné, resp. 84 % organizací podniků v regionu EMEA, existuje zřejmě značný nesoulad mezi týmy odpovědnými za kybernetickou bezpečnost a týmy odpovědnými za zálohování.

Vypadá to, že ti, kteří mají blíže k prevenci (tj. odborníci na zabezpečení) a nápravě (tj. správci zálohování), vidí ještě větší potřebu zlepšení než ti, kteří jsou o interakcích méně informováni (tj. provozní a vedoucí pracovníci IT). Přestože mezi funkčními týmy dochází ke zlepšení, širší skupina, která je zodpovědná za pomoc organizacím přežít kybernetický útok, často označovaná jako „tým reakce na incidenty“, chápe ověřitelnou obnovitelnost a zajištěnou čistotu zálohovaných dat jako nejčastější součást svého plánu.

Jak vyhrát boj s ransomwarem
Ransomware demokratizoval krádeže dat, protože stačí, aby zacílená data měla pro oběti dostatečnou hodnotu, aby se je podařilo přesvědčit k zaplacení výkupného za obnovu. Model ransomwarového útoku je úspěšný i přes zvýšené investice do obranných bezpečnostních technologií. Odborníci společnosti Veeam Software, která provozuje v České republice své celosvětově největší výzkumné a vývojové centrum a která zadávala citovanou studii, věří, že zabezpečené zálohování je poslední linií obrany podniku před ransomwarem. Softwarově definovaný přístup, který aplikuje Veeam při vývoji svých řešení pro zálohování, obnovu a správu dat umožňujících Modern Data Protection, znamená, že neexistuje žádná závislost na proprietárním hardwaru a řešení funguje se stávající architekturou, onsite i v cloudu.

Celou zprávu 2022 Ransomware Trends Report společnosti Veeam Software si můžete stáhnout zdarma.

Rubriky: Security