रॅन्समवेअर धमक्या आणि त्यांना थांबवण्याचे उद्दिष्ट असलेल्या संरक्षणांमधील अंतर अधिक वाईट होत आहे, चांगले नाही. इवंतीच्या 2026 च्या स्टेट ऑफ सायबरसुरक्षा अहवालात असे आढळून आले आहे की कंपनी ट्रॅक करत असलेल्या प्रत्येक धोक्याच्या श्रेणीमध्ये सज्जतेचे अंतर वर्षानुवर्षे सरासरी 10 गुणांनी वाढले आहे. रॅन्समवेअर व्यापक बनले आहे: 63% सुरक्षा व्यावसायिकांनी याला मोठा किंवा गंभीर धोका म्हणून रेट केले आहे, परंतु केवळ 30% लोक म्हणतात की ते त्यापासून बचाव करण्यासाठी “खूप तयार” आहेत. एका वर्षापूर्वीच्या 29 गुणांच्या तुलनेत हे 33 गुणांचे अंतर आहे.
सायबरआर्कच्या 2025 आयडेंटिटी सिक्युरिटी लँडस्केपमध्ये संख्यांची समस्या आहे: जगभरातील संस्थांमध्ये प्रत्येक माणसासाठी 82 मशीन ओळख. यापैकी बेचाळीस टक्के उपकरण ओळखींना विशेषाधिकार किंवा संवेदनशील प्रवेश आहे.
सर्वात विश्वासार्ह प्लेबुक फ्रेमवर्कमध्ये समान अंध स्थान आहे
गार्टनरची रॅन्समवेअर तयारी मार्गदर्शक तत्त्वे, एप्रिल 2024 ची संशोधन टीप “हाऊ टू प्रिपेअर फॉर रॅन्समवेअर अटॅक” ज्याचा संदर्भ एंटरप्राइझ सुरक्षा संघ घटना प्रतिसाद प्रक्रिया तयार करताना संदर्भित करते, विशेषत: प्रतिबंध दरम्यान “प्रभावित वापरकर्ता/होस्ट क्रेडेन्शियल” रीसेट करण्याची आवश्यकता आहे. सोबत असलेले Ransomware Playbook टूलकिट संघांना चार टप्प्यांत मार्गदर्शन करते: नियंत्रण, विश्लेषण, उपाय आणि पुनर्प्राप्ती. सर्व प्रभावित वापरकर्ता खाती आणि उपकरणे रीसेट केली आहेत याची खात्री करण्यासाठी रीसेट क्रेडेन्शियल्स चरण संघांना मार्गदर्शन करते.
सेवा खाती अनुपस्थित आहेत. तसेच API की, टोकन आणि प्रमाणपत्रे. एंटरप्राइझ सिक्युरिटीमध्ये सर्वाधिक वापरले जाणारे प्लेबुक मानवी आणि मशीन क्रेडेंशियल्सवर थांबते. त्यांचे पालन करणाऱ्या संस्थांना हे आंधळे स्थान कळत नकळत वारसाहक्काने मिळते.
समान संशोधन नोट समस्येचा निराकरणाशी दुवा न जोडता परिभाषित करते. गार्टनर चेतावणी देतो की “खराब ओळख आणि प्रवेश व्यवस्थापन (IAM) पद्धती” रॅन्समवेअर हल्ल्यांसाठी प्राथमिक प्रारंभिक बिंदू आहेत आणि पूर्वी तडजोड केलेली क्रेडेन्शियल्स रॉ ऍक्सेस ब्रोकर्स आणि गडद वेब डेटा रिपॉझिटरीजद्वारे प्रवेशासाठी वापरली जात आहेत. पुनर्प्राप्ती विभागात, मार्गदर्शन स्पष्ट आहे: तडजोड केलेली क्रेडेन्शियल्स अद्यतनित करणे किंवा काढून टाकणे आवश्यक आहे कारण या चरणाशिवाय, आक्रमणकर्त्याला पुन्हा प्रवेश मिळेल. मशीन ओळख IAM आहेत. तडजोड केलेली सेवा खाती क्रेडेन्शियल आहेत. परंतु खेळाच्या पत्त्याच्या नियमांद्वारे बंधनकारक उपाय अनिवार्य नाहीत.
गार्टनरने या हल्ल्यांची निकड काही इतर स्त्रोतांशी जुळणाऱ्या अटींमध्ये ठेवली आहे: “रॅन्समवेअर इतर कोणत्याही सुरक्षा घटनेपेक्षा वेगळे आहे,” संशोधन नोट म्हणते. “हे प्रभावित संस्थांना काउंटडाउन टाइमरवर ठेवते. निर्णय घेण्याच्या प्रक्रियेत कोणताही विलंब अतिरिक्त जोखीम निर्माण करतो.” समान मार्गदर्शक तत्त्वे यावर जोर देतात की पुनर्प्राप्ती खर्च खंडणीच्या 10 पट असू शकतो आणि 50% पेक्षा जास्त पोस्टमध्ये प्रारंभिक प्रवेशाच्या एका दिवसात रॅन्समवेअर तैनात केले जाते. घड्याळ आधीच चालू आहे, परंतु प्रतिबंधात्मक उपाय तात्काळ जुळत नाहीत — जेव्हा क्रेडेन्शियल्सची सर्वात वेगाने वाढणारी श्रेणी संबोधित केली जात नाही तेव्हा नाही.
तयारीची तूट कोणत्याही एका सर्वेक्षणापेक्षा खोलवर चालते
Ivanti अहवाल प्रत्येक मुख्य धोक्याच्या श्रेणींमध्ये सज्जतेच्या अंतराचा मागोवा घेतो: रॅन्समवेअर, फिशिंग, सॉफ्टवेअर भेद्यता, API भेद्यता, सप्लाय चेन हल्ले आणि अगदी कमकुवत एन्क्रिप्शन. प्रत्येकाचा वर्षानुवर्षे विस्तार होत गेला.
“जरी सायबरसुरक्षा मध्ये AI च्या वचनाबद्दल वकील आशावादी असले तरी, Ivanti चे निष्कर्ष हे देखील दर्शवतात की कंपन्या विविध प्रकारच्या धोक्यांपासून बचाव करण्यासाठी किती तयार आहेत त्यामध्ये ते आणखी मागे पडत आहेत,” इवंतीचे मुख्य सुरक्षा अधिकारी डॅनियल स्पायसर म्हणाले. “यालाच मी ‘सायबरसुरक्षा सज्जतेची तूट’ म्हणतो, एका संस्थेच्या डेटा, लोक आणि नेटवर्कचे रक्षण करण्याच्या एका विकसित धोक्याच्या लँडस्केपपासून संरक्षण करण्याच्या क्षमतेमध्ये सतत आणि वर्षानुवर्षे वाढणारी कमतरता.”
CrowdStrike चे स्टेट ऑफ रॅन्समवेअर 2025 सर्वेक्षण दर्शवते की ही तूट उद्योगासाठी कशी दिसते. ज्या उत्पादकांनी स्वतःला “खूप चांगली तयारी” असे रेट केले आहे त्यांच्यापैकी केवळ 12% 24 तासांत बरे झाले आणि 40% लोकांना मोठ्या ऑपरेशनल व्यत्ययांचा सामना करावा लागला. सार्वजनिक क्षेत्रातील संस्थांची कामगिरी वाईट झाली: 60% आत्मविश्वास असूनही 12% रीबाउंड. सर्व उद्योगांमध्ये, रॅन्समवेअर हल्ल्याचा फटका बसलेल्या केवळ 38% संस्थांनी हल्लेखोरांना आत येऊ देणाऱ्या विशिष्ट समस्येचे निराकरण केले. बाकीची प्रवेशाची जागा बंद न करता सामान्य सुरक्षा सुधारणांमध्ये गुंतवली गेली.
2026 च्या अहवालानुसार, पैसे देण्याच्या विरोधात FBI चे मार्गदर्शन असूनही, 54% संस्थांनी आज रॅन्समवेअरच्या संपर्कात आल्यास ते पैसे देतील किंवा कदाचित देतील. देय देण्याची ही इच्छा नियंत्रण पर्यायांची मूलभूत कमतरता दर्शवते, ज्या प्रकारची स्वयंचलित ओळख प्रक्रिया प्रदान करेल.
जेथे मशीन ओळख प्लेबुक कमी पडतात
पाच पायऱ्या आजच्या बहुतेक रॅन्समवेअर प्रतिसाद प्रक्रियेची रूपरेषा देतात. त्या प्रत्येकातून मशीनची ओळख गायब आहे.
क्रेडेन्शियल रीसेट डिव्हाइसेससाठी डिझाइन केलेले नाहीत
एखाद्या घटनेनंतर प्रत्येक कर्मचाऱ्याचा पासवर्ड रीसेट करणे ही एक मानक सराव आहे, परंतु ते तडजोड केलेल्या सेवा खात्याद्वारे पार्श्व हालचाली थांबवत नाही. गार्टनरचे प्लेबुक मॉडेल स्पष्टपणे अंध स्थान दर्शविते.
नमुना रॅन्समवेअर प्लेबुक कंटेनमेंट शीट क्रेडेन्शियल्स रीसेट करण्यासाठी तीन चरणांची सूची देते: सक्रिय निर्देशिका द्वारे सर्व प्रभावित वापरकर्ता खात्यांमधून सक्तीने लॉग आउट करा, सक्रिय निर्देशिकेद्वारे सर्व प्रभावित वापरकर्त्यांच्या खात्यांवर पासवर्ड बदलण्याची सक्ती करा आणि सक्रिय निर्देशिकेद्वारे डिव्हाइस खाते रीसेट करा. तीन पायऱ्या, सर्व सक्रिय निर्देशिका, मानवेतर क्रेडेन्शियल शून्य. कोणतीही सेवा खाती नाहीत, API की नाहीत, टोकन नाहीत आणि प्रमाणपत्रे नाहीत. मशीन क्रेडेन्शियल्सना त्यांची स्वतःची कमांड ऑफ कमांड आवश्यक आहे.
अपघात होण्यापूर्वी कोणीही मशीनची ओळखपत्र घेत नाही
तुम्हाला माहीत नसलेली क्रेडेंशियल तुम्ही रीसेट करू शकत नाही. सेवा खाती, API की आणि टोकन यांना घटनेपूर्वी मालकी असाइनमेंट सेट करणे आवश्यक आहे. उल्लंघनाच्या मध्यभागी ते शोधण्यात दिवस खर्ची पडतात.
Ivanti अहवालात असे आढळून आले की केवळ 51% संस्थांकडे सायबरसुरक्षा एक्सपोजरची डिग्री आहे, याचा अर्थ उद्या त्याबद्दल विचारले तर त्यापैकी जवळजवळ निम्म्या संस्था त्यांच्या डिव्हाइसच्या ओळखीच्या प्रदर्शनाबद्दल बोर्डाला सांगू शकणार नाहीत. केवळ 27% लोकांनी त्यांच्या जोखीम प्रदर्शनास “उत्कृष्ट” म्हणून रेट केले, तरीही 64% लोकांनी त्यांच्या जोखीम प्रदर्शनाचे व्यवस्थापन करण्यासाठी गुंतवणूक केली. गुंतवणूक आणि अंमलबजावणी यातील अंतर आहे जेथे मशीनची ओळख नाहीशी होते.
नेटवर्क अलगाव विश्वासाची साखळी काढून टाकत नाही
नेटवर्कमधून डिव्हाइस काढून टाकल्याने सिस्टम समाप्त करण्यासाठी जारी केलेल्या API की रद्द होत नाहीत. नेटवर्क परिमितीवर थांबणारे कंटेनमेंट हे गृहित धरते की विश्वास टोपोलॉजीने बांधलेला आहे. मशीन ओळख या सीमांचा आदर करत नाही. आणि ते त्याच्याशी मैत्री करतात.
गार्टनरच्या संशोधन नोटमध्ये चेतावणी देण्यात आली आहे की रॅन्समवेअर उपयोजित करण्यापूर्वी विरोधक लपून राहण्यात, नेटवर्कमध्ये पार्श्व ट्रॅफिक मिळवण्यासाठी आणि क्रेडेन्शियल्सची कापणी करण्यासाठी दिवस ते महिने घालवू शकतात. या खाण टप्प्यात, सेवा खाती आणि API टोकन ही अशी क्रेडेन्शियल्स आहेत जी अलर्ट ट्रिगर न करता सहजपणे काढली जातात. CrowdStrike नुसार, 76% संस्था SMB नेटवर्क शेअर्सवर अनियंत्रित होस्टकडून पसरण्यापासून रॅन्समवेअरला थांबवण्याबद्दल चिंतित आहेत. सुरक्षा नेत्यांनी प्रत्येक डिव्हाइसच्या ओळखीवर कोणत्या सिस्टमवर विश्वास आहे हे निर्धारित करणे आवश्यक आहे जेणेकरून ते केवळ तडजोड केलेल्या एंडपॉइंटवरच नव्हे तर संपूर्ण शृंखलामधील प्रवेश रद्द करू शकतील.
डिटेक्शन लॉजिक मशीनच्या वर्तनासाठी तयार केलेले नाही
असामान्य डिव्हाइस ओळख वर्तन तडजोड केलेले वापरकर्ता खाते जसे अलर्ट ट्रिगर करत नाही. असामान्य API कॉल व्हॉल्यूम, ऑटोमेशन विंडोच्या बाहेर वापरलेले टोकन आणि नवीन ठिकाणांवरील सेवा खात्यांचे प्रमाणीकरण यासाठी शोध नियम आवश्यक आहेत जे बहुतेक सुरक्षा ऑपरेशन केंद्रांनी (SOCs) लिहिलेले नाहीत. CrowdStrike सर्वेक्षणात असे आढळून आले की 85% सुरक्षा दलांनी हे मान्य केले आहे की पारंपारिक शोध पद्धती आधुनिक धोक्यांशी जुळवून घेऊ शकत नाहीत. तथापि, केवळ 53% लोकांनी एआय-संचालित धोका शोध लागू केला आहे. डिटेक्शन लॉजिक जे डिव्हाइस ओळखीचा गैरवापर शोधेल ते बहुतेक वातावरणात क्वचितच अस्तित्वात असते.
लेगसी सेवा खाती सर्वात सोपा एंट्री पॉइंट राहतात
वर्षानुवर्षे बदलली न गेलेली खाती, ज्यापैकी काही दीर्घकाळ निघून गेलेल्या कर्मचाऱ्यांनी तयार केली होती, ती बॉट हल्ल्यांसाठी सर्वात कमकुवत पृष्ठभाग आहेत.
गार्टनरची मार्गदर्शक तत्त्वे “विशेषाधिकारप्राप्त वापरकर्त्यांसाठी, जसे की डेटाबेस प्रशासक, पायाभूत सुविधा आणि सेवा खाती” साठी मजबूत प्रमाणीकरणाची मागणी करतात, परंतु ती शिफारस प्रतिबंध विभागात आहे, प्रतिबंधित प्लेबुकमध्ये नाही जिथे संघांना सक्रिय घटनेदरम्यान त्याची आवश्यकता असते. अनाथ ऑडिट आणि रोटेशन शेड्यूल घटनापूर्व तयारीशी संबंधित आहेत, उल्लंघनानंतरच्या स्क्रॅम्बल्सचे नाहीत.
अर्थव्यवस्थेने हे आता निकडीचे बनवले आहे
एआय एजंट समस्या वाढवेल. ऐंशी टक्के सुरक्षा व्यावसायिकांचे म्हणणे आहे की एजंटिक AI समाकलित करणे हे प्राधान्य आहे आणि 77% अहवाल स्वायत्त AI ला मानवी देखरेखीशिवाय ऑपरेट करण्यास परवानगी देण्यास सोयीस्कर आहेत, इव्हांती अहवालानुसार. परंतु केवळ 55% औपचारिक रेलिंग वापरतात. प्रत्येक स्वायत्त एजंट नवीन मशीन ओळख निर्माण करतो, ओळख जे प्रमाणीकृत करतात, निर्णय घेतात आणि स्वतंत्रपणे कार्य करतात. संस्था आज त्यांच्याकडे असलेल्या उपकरण ओळख नियंत्रित करू शकत नसल्यास, ते आणखी स्केल जोडणार आहेत.
गार्टनरचा अंदाज आहे की एकूण पुनर्प्राप्ती खर्च खंडणीच्या 10 पट आहे. CrowdStrike चा अंदाज आहे की ransomware थांबवण्याची सरासरी किंमत प्रति घटनेत $1.7 दशलक्ष आहे, तर सार्वजनिक क्षेत्रातील संस्थांची सरासरी किंमत $2.5 दशलक्ष आहे. पैसे देऊन मदत होत नाही. तथापि, 93% संस्था ज्यांनी पैसे दिले त्यांचा डेटा चोरीला गेला आणि त्यापैकी 83% वर पुन्हा हल्ला झाला. जवळपास 40% रॅन्समवेअर घटनांनंतर बॅकअपमधून डेटा पूर्णपणे पुनर्संचयित करण्यात अक्षम होते. रॅन्समवेअर इकॉनॉमी इतकी व्यावसायिक बनली आहे की प्रतिस्पर्धी गट आता व्यवस्थापित नसलेल्या सिस्टम्समधून SMB नेटवर्क शेअर्सवर दूरस्थपणे फायली एन्क्रिप्ट करतात, रॅन्समवेअर बायनरी कधीही व्यवस्थापित एंडपॉईंटवर हलवत नाहीत.
त्यांच्या प्लेबुकमध्ये मशीन ओळख भांडार, शोध नियम आणि प्रतिबंधात्मक प्रक्रिया तयार करणारे सुरक्षा नेते आता केवळ हल्लेखोर आज शोषण करत असलेली पोकळीच बंद करणार नाहीत तर पुढे येणाऱ्या स्वतंत्र ओळखांवर नियंत्रण ठेवण्याच्या स्थितीत असतील. पुढील टेबलटॉप व्यायामामध्ये या जोडण्या टिकतील की नाही याची चाचणी आहे. जर ते तिथे थांबले नाहीत तर ते प्रत्यक्ष अपघातात टिकणार नाहीत.
