19.08.2024
Blue Report 2024, stworzony przez Picus Labs na podstawie ponad 136 milionów symulacji ataków przeprowadzonych na platformie Picus Security Validation Platform, dostarcza wszechstronnego przeglądu aktualnego stanu zarządzania zagrożeniami. Tegoroczne wyniki, uwzględniające również dane z narzędzia Picus Attack Path Validation (APV), które symuluje działania prawdziwych cyberprzestępców w celu identyfikacji luk w zabezpieczeniach, ujawniają utrzymujące się luki w zabezpieczeniach i podkreślają potrzebę proaktywnego podejścia do cyberbezpieczeństwa.
Kluczowe wnioski:
- Wysokie ryzyko ataków: 40% testowanych środowisk posiadało ścieżki prowadzące do dostępu administratora domeny (lateral movement), co stanowi poważne ryzyko przejęcia kontroli nad całą siecią.
- Różnice w wydajności produktów: Wydajność produktów cyberbezpieczeństwa różni się znacznie w środowiskach kontrolowanych i rzeczywistych. Podkreśla to konieczność ciągłego testowania i dostosowywania zabezpieczeń.
- Wyzwania w zakresie reguł wykrywania: Większość problemów z regułami wykrywania w systemach SIEM dotyczyła kwestii gromadzenia logów (38%) i wydajności (33%).
- Luki w zabezpieczeniach punktów końcowych: Punkty końcowe z systemami macOS częściej były źle skonfigurowane lub działały bez narzędzi EDR, co czyniło je bardziej podatnymi na ataki.
- Trudności w obronie przed ransomware: BlackByte był najtrudniejszym do obrony wariantem ransomware, z zaledwie 17% skutecznością zapobiegania.
- Łatwe do złamania hasła: W 25% środowisk atakujący mogli złamać co najmniej jeden skradziony hash hasła.
Rekomendacje:
- Proaktywne podejście do bezpieczeństwa: Przejście od reaktywnego do proaktywnego i ciągłego podejścia do cyberbezpieczeństwa.
- Wdrożenie Continuous Threat Exposure Management (CTEM): Ustanowienie kompleksowego programu CTEM w celu ciągłej identyfikacji, priorytetyzacji, walidacji i naprawy luk w zabezpieczeniach.
- Usprawnienie mechanizmów wykrywania i zapobiegania: Optymalizacja całego procesu inżynierii wykrywania, w tym gromadzenia logów, wydajności i mechanizmów alertów w systemach SIEM i EDR.
- Wzmocnienie obrony przed ransomware: Wdrożenie najnowszych rozwiązań do tworzenia kopii zapasowych i odzyskiwania danych oraz zapewnienie aktualności kontroli bezpieczeństwa na wszystkich punktach końcowych.
- Poprawa konfiguracji bezpieczeństwa punktów końcowych: Zapewnienie prawidłowej konfiguracji narzędzi bezpieczeństwa na wszystkich pukntach końcowych, w tym systemach macOS, oraz wdrożenie odpowiednich narzędzi EDR.
- Usprawnienie zarządzania i analizy logów: Rozwiązanie problemów z gromadzeniem i wydajnością logów w celu poprawy skuteczności reguł wykrywania w systemach SIEM.
- Priorytetowe traktowanie bezpieczeństwa haseł: Wdrożenie silnych polityk haseł i zapewnienie solidności metod hashowania haseł w celu zapobiegania łatwemu łamaniu skrótów haseł.
Podsumowanie
Blue Report 2024 dostarcza wszechstronnego przeglądu aktualnego stanu zarządzania zagrożeniami, ujawniając utrzymujące się luki w zabezpieczeniach oraz podkreślając potrzebę proaktywnego podejścia do cyberbezpieczeństwa. Raport zaleca wdrożenie kompleksowego programu zarządzania zagrożeniami, ciągłe doskonalenie mechanizmów wykrywania i zapobiegania, wzmocnienie obrony przed ransomware, poprawę konfiguracji bezpieczeństwa punktów końcowych oraz lepsze zarządzanie logami.
Zachęcamy do zapoznania się z pełną treścią raportu Blue Report 2024, aby uzyskać szczegółowe informacje i rekomendacje dotyczące hardeningu infrastruktury, aby wzmocnić swoje mechanizmy obronne przed najnowszymi zagrożeniami cybernetycznymi.
Piotr Kawa
Business Development Director,
Bakotech Sp. z o.o.
