Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Når et hackerangreb rammer, sker det sjældent pludseligt.
Der er næsten altid et tegn. En ændret MFA-konfiguration. Et ukendt fjernadgangsværktøj. En EDR-alarm, der bliver markeret som lav prioritet.
Alligevel bliver de undervurderet.
Ciscos sikkerhedsteam Talos har netop analyseret data fra de seneste 2,5 års arbejde med at stoppe hackerangreb, mens de stadig var i den såkaldte pre-ransomware-fase.
Det betyder, at hackerne allerede havde fået adgang til virksomhedens systemer og bevægede sig rundt for at forberede det egentlige angreb.
Analysen viser, at to timer kan gøre hele forskellen. To timer til at reagere på en alarm.
To timer til at beslutte, hvem der har mandat til at afbryde forbindelsen, før krypteringen begynder.
I en tredjedel af sagerne blev ransomware afværget, fordi organisationen reagerede hurtigt på en alarm - og i en anden tredjedel, fordi de inddrog deres incident response-team tidligt.
Når virksomheder handlede inden for det vindue, blev angrebet stoppet, før det udviklede sig til nedlukning.
Når reaktionen først kom dagen efter, var det for sent.
Når teknologien står i tomgang
Talos’ gennemgang af hundredvis af hændelser afslører også et bekymrende mønster.
Mange virksomheder tror, de er beskyttet, men kører med passive EDR-løsninger. Systemer, der godt nok advarer, men ikke blokerer.
Det svarer til at have en røgalarm, der blinker uden at aktivere sprinkleren.
I mere end 10 procent af tilfældene blev angrebet stoppet alene, fordi sikkerhedssystemerne var konfigureret til aktiv blokering og karantæne frem for passiv overvågning.
Når systemet kun advarer, får hackerne arbejdsro.
De bruger værktøjer som AnyDesk, PowerShell og RDP til at bevæge sig rundt i netværket, høste adgangskoder fra LSASS (Local Security Authority Subsystem Service) og ændrer MFA-indstillinger for at skjule sig.
Et ledelsesansvar
Cybersikkerhed handler ikke længere om, hvor mange værktøjer man har.
Det handler om, hvor hurtigt man bruger dem.
Ledelser bør spørge sig selv:
• Hvor lang tid går der, fra en kritisk alarm lyder, til nogen reagerer
• Har vores sikkerhedsteam lov til at isolere systemer uden at spørge først
• Øver vi os i at træffe beslutninger, mens tiden løber
Ransomware er sjældent et spørgsmål om, om man bliver ramt, men hvordan man reagerer, når det sker.
Og Talos’ data viser det sort på hvidt.
To timer kan redde din virksomhed.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.