Najbardziej niebezpiecznym etapem naruszenia jest jednak ten ostatni, czyli dostęp do wewnętrznych danych. Zgodnie z wynikami analizy przeprowadzonej przez firmę Vectra Networks to zaledwie 3% wszystkich wykrytych zagrożeń. Wiedza o tym, że hakerzy dotarli tak daleko, ma ogromne znaczenie, bo daje firmie możliwość odparcia ataku zanim zostaną wyrządzone poważne szkody. Jednocześnie analiza wyjaśnia, w jaki sposób hakerzy są w stanie spędzić nawet kilka miesięcy w sieci korporacyjnej, zanim zostaną złapani.

Wade Williamson zwraca jednak uwagę na to, że wspomniane 3% ataków w fazie eksfiltracji danych wcale nie oznacza, że hakerzy poświęcają na ten etap najmniej czasu. Jak twierdzi, niewielki odsetek wszystkich ataków wcale nie musi być proporcjonalny do zajmowanego czasu. Często jest bowiem tak, że po ustanowieniu kanałów eksfiltracji, hakerzy pozostawiają je otwartymi, a kradzież danych może odbywać się jeszcze przez długi czas.

Zobacz również:

• Bezpieczeństwo w chmurze publicznej nadal priorytetowe
• Rosja użyła technologii rozpoznawania twarzy. Chce wiedzieć, kto był na pogrzebie Nawalnego
• Cyberobrona? Mamy w planach

Optymistycznym wnioskiem płynącym z tegorocznego raportu jest jednak to, że odsetek zagrożeń związanych z eksfiltracją danych zmniejszył się o około połowę w porównaniu z ubiegłorocznymi wynikami.

Równie interesujące wnioski z badania dotyczą także sposobów, w jaki hakerzy maskują swoją obecność w obrębie sieci.

Najbardziej rozpowszechnioną metodą ukrywania się intruzów jest fałszowanie aktywności w przeglądarce i kamuflowanie komunikacji, a także świeżo generowane domeny – stanowią odpowiednio 36% i 25% stosowanych technik. Na kolejnych miejscach uplasowały się: korzystanie z anonimowej sieci TOR (14%) i korzystanie z zewnętrznego dostępu zdalnego (13%). Co ciekawe, hakerzy najrzadziej korzystają z techniki wyciągania instrukcji, metody POST, ukrytych tuneli HTTP, aktualizacji złośliwego oprogramowania oraz korzystania z sieci peer-to-peer.

Szczególną trudność sprawia identyfikacja ukrytych tuneli, które dają atakującym możliwość umieszczania zaszyfrowanych wiadomości w polach tekstowych, nagłówkach lub innych elementach sesji podczas pozornie normalnego ruchu. Dodatkowym utrudnieniem jest stosowane czasem przez hakerów szyfrowanie ruchu sieciowego.

Firmy specjalizujące się w wykrywaniu włamań są w stanie identyfikować ukryte tunele nawet w obrębie zaszyfrowanego ruchu sieciowego, bez konieczności ich deszyfracji, w oparciu o analizę wzorców zachowania w sieci. Dzięki zaawansowanym technologiom wykrywają i identyfikują atak zanim ten wejdzie w fazę eksfiltracji danych, a nastepnie odpierają go.