Mądry Amerykanin po szkodzie

Brak dbałości o system IT

Wiele firm opracowało dobrą politykę bezpieczeństwa, ale okazuje się, że w praktyce jej nie stosują i nie wymuszają, bo aż 83% wszystkich ataków na firmowe sieci była łatwa do odparcia bez potrzeby stosowania szczególnie zaawansowanych zabezpieczeń. Oprócz tego 85% przypadków wycieku danych było związane nie z celowym, dobrze przygotowanym atakiem skierowanym przeciwko systemowi konkretnej firmy, ale z przypadkowymi włamaniami wykorzystującymi standardowe mechanizmy statystycznego skanowania luk, czy takie popularne i dobrze znane techniki jak phishing. Co więcej, 82% analizowanych luk w systemach bezpieczeństwa było wcześniej opisanych i udokumentowanych, ale pracownicy poszkodowanych firm odpowiedzialni za system IT nie zwrócili na to uwagi lub też wiedzieli, że jest taki problem, ale nie podjęli żadnych działań.

Warto pamiętać o podstawach

Najważniejsza rada autorów raportu to konieczność koncentracji osób odpowiedzialnych za bezpieczeństwo systemów korporacyjnych na podstawowych mechanizmach umożliwiających zabezpieczenie danych, takich jak aktywne monitorowanie logów, zanim w firmie zaczną być wdrażane dodatkowe systemy zabezpieczające przed zaawansowanymi atakami wykorzystującymi skomplikowane i trudne do przewidzenia metody.

Zobacz również:

Oprócz tego większość menedżerów IT odpowiedzialnych za bezpieczeństwo obsesyjnie dba o mechanizmy chroniące system przed atakami zewnętrznymi. Ale w 9 na 10 analizowanych w raporcie przypadków udałoby się uniknąć kradzieży danych, gdyby zadbano o prawidłowe działanie podstawowych mechanizmów ich ochrony w systemie wewnętrznym. "Silna ochrona brzegu sieci jest ważna, ale nie może być najważniejszym elementem, który ma zabezpieczać wrażliwe dane" - konkludują autorzy raportu.

Co atakowali hakerzy?

39% atak na luki w warstwie aplikacyjnej lub usługowej

23% wykorzystanie luk w systemie operacyjnym lub platformie

18% wykorzystywanie znanych od miesięcy exploitów


TOP 200