Tid till upptäckt, eller så kallad ”dwell time”, syftar till den tid en angripare förblir oupptäckt inom ett system efter att ha infiltrerat det. Detta är en avgörande faktor i kampen mot cyberattacker som övervakas noga av cybersäkerhetsexperter.
null

Konsekvenser av en cyberattack mot en organisation kan bli mer allvarliga vid sen upptäckt eller fördröjd respons. Den goda nyheten är att det finns sätt att minska längden på en oönskad besökares vistelse.

Varför är tid till upptäckt viktig?

Tid till upptäckt avser perioden som en angripare har tillgång till ett system, från att cyberintrång sker tills det upptäcks. Det representerar angriparens förmåga att navigera genom nätverket, eskalera privilegier, exfiltrera data och potentiellt orsaka betydande skada. Ju längre en angripare förblir oupptäckt, desto mer tid har de att utnyttja sårbarheter. Det kan också leda till ytterligare attacker.

När upptäckstid minskar höjer angriparna sin nivå

När organisationer investerar i cybersäkerhet för att stoppa angripare, kommer vistelsetider oundvikligen att minska; en rapport från Sophos visade bevis på detta under 20231. Även om detta verkar vara positiva nyheter, tvingar det cyberangripare att bli mer sofistikerade i sina tekniker för att maximera kortare operativa fönster.

För att utöka tid till upptäckt planeras ofta attacker till att äga rum nattetid, mellan 23:00-08:00 i måltavlans tidzon, ofta i slutet av veckan. Sophos-rapporten fann till exempel att nästan hälften 43% av ransomware-attacker upptäcktes antingen på en fredag eller lördag. Detta är bara ett av många knep cyberangripare har i rockärmen för att skapa kaos så länge som möjligt innan upptäckt och för att motverka snabb respons.

Kostnaderna vid förlängd tid

I grund och botten blir förlusterna större ju längre tid ett angrepp går oupptäckt.

  • Ekonomisk förlust: Ju längre en angripare förblir oupptäckt, desto större är den potentiella ekonomiska förlusten en organisation kan drabbas av genom bedrägliga transaktioner eller komprometterade betalningsprocesser.
  • Dataintrång och förlust av immateriella rättigheter: Mer tid ger angripare större möjlighet att få tillgång till och exfiltrera värdefull data, inklusive kundinformation, affärshemligheter och immateriella rättigheter. Förutom risken för skadat rykte och böter kan detta resultera i förlust av konkurrensfördelar.
  • Lagefterlevnad och juridiska konsekvenser: Förlängd tid till upptäckt kan leda till bristande efterlevnad av dataskyddsregler, såsom GDPR. Att inte upptäcka och svara snabbt på intrång kan medföra juridiska konsekvenser och betydande böter.
  • Operativa störningar: Ju längre tid angriparen har, desto större är risken för störningar i kritiska system, vilket kan leda till driftstopp, produktivitetsförlust och avbrott i verksamheten.
  • Responskostnader: Ju längre en angripare förblir oupptäckt, desto mer omfattande blir incidentresponsinsatserna som krävs för att mildra skadan.

Minimera tid till upptäckt: Behovet av snabb respons

Med tanke på den skada en angripare kan åsamka när tid och möjlighet finns, är det viktigt att vidta förebyggande åtgärder för att skydda organisationens säkerhet. Det är också viktigt att ha en handlingsplan för vad man ska göra om ett intrång sker. Följande åtgärder kan verka tillsammans minimera tiden till upptäckt:

  • Avancerad hotdetektion: Robusta säkerhetsåtgärder, inklusive Intrusion Detection Systems (IDS), lösningar för Security Information and Event Management (SIEM) och beteendeanalysverktyg kan hjälpa till att identifiera misstänkt aktivitet och potentiella intrång.
  • Realtidsövervakning: Kontinuerlig övervakning av nätverkstrafik, systemloggar och användarbeteende kan möjliggöra snabb hotdetektion. Implementering av automatiserade varningar och incidenter kan hjälpa cybersäkerhetsteam att agera snabbt för att mildra risker.
  • Incidentresponsberedskap: Det är viktigt att etablera tydliga roller, ansvar och kommunikationsprotokoll i din incidentresponsplan, tillsammans med fördefinierade steg för att begränsa och åtgärda attacker. Dessa planer bör testas och uppdateras regelbundet.
  • Medvetenhet och utbildning av anställda: En vaksam arbetsstyrka fungerar som ett ytterligare försvarslager. Utbilda anställda om bästa praxis för cybersäkerhet, såsom att känna igen phishing-försök och rapportera misstänkta aktiviteter för att hjälpa till att upptäcka och svara på attacker i ett tidigt skede.

Även om cyberattacker inte alltid kan förhindras, är det möjligt att begränsa delar av attacken så att angreppstiden reduceras. Därför är det viktigt att samarbeta med en specialist på cyberriskhantering – oavsett storleken på din organisation eller sektorn du arbetar i – för att säkerställa att dina cybersäkerhetsteam alltid har lämpliga responsåtgärder på plats.

Gallaghers globala Cyber Risk Management-team håller regelbundna webbinarier som ger djup insikt i hur man planerar och förbereder sig för cyberincidenter. Vi erbjuder också en uppsättning tjänster genom Gallagher Cyber Defence Centre. Kontakta gärna en expert hos oss för att ta reda på mer.

Källor

1 Dwell Time—Time From the Start of an Attack to When It’s Detected—Shrinks to 8 Days in the First Half of 2023, Sophos Finds., Sophos Finds.” Sophos., 23 August 2023.
2 When Time is Ticking: How to Cut the Dwell Time of a Cyber-Attacker, AJG.com/uk, 21 May 2024

Vi håller dig uppdaterad på vad som är på gång i branschen.