Z analiz danych o incydentach bezpieczeństwa prowadzonych przez ponad 2,5 roku przez zespół Cisco Talos Incident Response (Talos IR) wynika, że czas reakcji odgrywa kluczową rolę w ograniczaniu skutków ataków ransomware. Firmy, które reagowały na alerty bezpieczeństwa w ciągu dwóch godzin lub angażowały ekspertów Talos IR w ciągu 1–2 dni, w jednej trzeciej przypadków zdołały powstrzymać wdrożenie ransomware zanim doszło do zaszyfrowania danych.
Analiza dotyczy tzw. incydentów pre-ransomware, czyli sytuacji, w których napastnicy uzyskali już dostęp do systemów, ale nie rozpoczęli jeszcze szyfrowania danych. Według Cisco Talos, to właśnie ten etap daje organizacjom największe szanse na skuteczną obronę.
Eksperci podkreślają, że wczesne wykrywanie podejrzanych działań – takich jak zdalny dostęp, kradzież poświadczeń czy rekonesans sieciowy – pozwala zatrzymać atak zanim wyrządzi szkody. Kluczowe są nie tylko technologie zabezpieczeń, ale również procesy i współpraca z zespołami reagowania na incydenty.
Cisco rekomenduje stosowanie uwierzytelniania wieloskładnikowego (MFA), regularnych aktualizacji oprogramowania, kopii zapasowych offline oraz szkoleń pracowników w zakresie rozpoznawania zagrożeń.
Pełna analiza dostępna jest na blogu Cisco Talos.
