74 % av de som svarade i undersökningen betraktar riktade IT-attacker som ett stort hot för deras organisation. 58% av de undersökta företagen utredde 10 eller fler attacker det senaste året. Dessutom kände sig 76% av företagen osäkra på sin förmåga att upptäcka en attack inom en timme, och nästan hälften räknade med att det skulle ta dagar, veckor – eller månader – innan de upptäckte misstänkt aktivitet.
– Varje minut som går innan en attack upptäcks är kritisk – ett intrång kan förorsaka skador både ekonomiskt och för varumärket som tar år att reparera, om det överhuvudtaget är möjligt. Samtidigt är en viktig faktor att snabbt kunna filtrera och prioritera olika typer av varningar och indikatorer. Det krävs kunskaper om de vanligaste hotbilderna för att snabbt kunna agera, och för att säkra nätverket innan attacker äger rum. Det krävs även kraftfulla verktyg för att sortera och analysera hoten i realtid, för att agera på alla larm, även falska, är inte mycket mer effektivt än att inte agera alls.", säger James Tucker, expert på nätverkssäkerhet vid Intel Security i Sverige.
Rapportens slutsatser sammanfattas i en checklista som består av åtta kritiska indikatorer på misstänkt aktivitet i en organisations nätverk – en checklista som de företag som framgångsrikt skyddar sina data följer.
- En nätverksenhet – exempelvis en dator eller smartphone - kommunicerar med kända misstänkta platser, eller med ett land där företaget inte har verksamhet eller kunder.
- En nätverksenhet kommunicerar med externa enheter genom udda portar, eller där portar och protokoll inte matchar; till exempel genom att sända SSH-trafik över port 80 snarare än HTTP-trafik.
- Publika eller oskyddade (DMZ) enheter som kommunicerar med interna enheter. Detta möjliggör att förbigå säkerhetsarrangemang, föra över data och få tillgång till andra resurser på nätverket.
- Malware vid udda klockslag. Sådana varningar som inträffar nattetid eller på helger kan innebära att nätverksenheten drabbats av intrång.
- Nätverksscanning av interna enheter som kommunicerar med många enheter på kort tid kan vara en indikation på en obehörig som förflyttar sig mellan enheter i nätverket.
- Flera larm från en och samma enhet, eller liknande larm från olika enheter inom 24 timmar, exempelvis upprepade misslyckade inloggningar och autentiseringar.
- När ett system efter att ha rensats från malware åter är infekterat inom några minuter kan detta tyda på att systemet drabbats av rootkits eller andra typer av härdade attacker.
- Ett användarkonto som försöker logga in på flera resurser inom några minuter från olika geografiska platser är ett tecken på att användarens inloggningsinformation är stulen – eller att en användare håller på med något skumt.