Двойните кибератаки срещу MGM Resorts и Caesars Entertainment дадоха възможност да се види какво се случва, когато две сходни организации, подложени на сходни атаки от една и съща заплаха, прилагат противоположни стратегии за реакция при инциденти.
В този случай и двете организации са били жертви на кибератака на Scattered Spider /ALPHV. Caesars бързо се договори с бандитите и предаде 15 млн. долара откуп, което ѝ позволи да продължи дейността си в сравнително кратък срок. Междувременно MGM категорично отказа да плати и току-що обяви, че операциите ѝ са възстановени след над 10 дни прекъсване на работата на казината и хотелите (десетки милиони долари загубени приходи по-късно).
Въпреки че е изкушаващо да се направи преценка кой подход е по-добър, всяко пряко сравнение между реакциите на Caesars и MGM на кибератаката е прекалено опростено, казват експертите. Например Роб Т. Лий, главен директор на учебната програма и ръководител на факултета на SANS Institute, подчертава, че основният принцип на реакцията при инциденти е опитът да се вземе „най-малко лошото решение“. А това обикновено е сложно решение, което винаги има положителен и отрицателен (някои биха казали брутален) набор от резултати.
Той отбелязва, че „много бизнес решения могат да се включат в това. Едва след като инцидентът приключи, можете да видите различни пътища, които биха могли да доведат до различни или поне по-лоши резултати. В тези ситуации няма „победа“, а само решения, които могат да предотвратят влошаването им“.
Дали да се плати откуп след кибератака или не, е едно от онези решения, които отговорниците за инциденти са принудени да вземат под силен натиск.
Добре документирано е, че плащането на откуп не гарантира сигурността на данните или възстановяването на системата. Още по-лошо, то насърчава бъдещи атаки, като създава пазар за тези киберпрестъпления. Но решенията за бизнес рисковете не винаги се основават на ясен избор между правилно и грешно, а целесъобразността винаги е фактор.
„Бързото възстановяване на компанията Caesars след откупа може да създаде впечатлението, че е взела по-добро решение“, казва Кали Гентър, старши мениджър на отдела за изследване на киберзаплахите в Critical Start. „От гледна точка на непрекъснатостта на бизнеса решението им да платят може да изглежда ефективно.“
Джоузеф Карсън, главен учен по сигурността и консултант по CISO в Delinea, обаче обяснява, че има и други сложни моменти. Компаниите, на които им е необходимо известно време, за да обмислят възможностите си, може да решат, че да не плащат е по-разумно. Според неговия опит организациите разполагат само с около четири дни за преговори с престъпници за откуп, преди позициите да се втвърдят и от двете страни. След това атакуващите с ransomware обикновено се разочароват, а екипите по сигурността на предприятията също се вкопчват в позицията си.
„Съществува пристрастие към потъналата цена“, добавя изследователят по сигурността Джейк Уилямс. „Колкото повече се отдалечават от инцидента, толкова по-задълбочени са екипите за реакция и възстановяване на киберсигурността.“
Според Карсън разходите за възстановяване са друг фактор. Ако възстановяването е болезнено, но струва само няколко милиона, това може да е по-добър избор в сравнение с осемцифрено изнудваческо плащане, добавя той.
Оценявайки като цяло реакцията на MGM и Caesars на инцидента, Гюнтер обяснява, че реакцията на Caesars показва, че приоритет е било запазването на дейността, докато реакцията на MGM показва, че организацията е готова да понесе краткосрочна финансова болка за дългосрочни ползи в областта на киберсигурността.
„Изборът на MGM да не плати откуп, въпреки финансовите загуби, може да се дължи на по-широка перспектива за последиците от плащането на откуп“, казва Гуентер. „Продължителността на прекъсването на работата им може да отразява и цялостен вътрешен процес на преглед и възстановяване, гарантиращ пълното намаляване на всички заплахи.“
Тя добавя, че реакцията на Caesars при инцидента е била „решителна“.
„Въпреки това плащането на откуп, макар и да осигурява незабавно облекчение, е свързано с дългосрочни съображения“, допълва Гюнтер. „Бързината на възстановяването след плащането предполага, че те са имали надеждни процеси за архивиране и възстановяване, но също така повдига въпроси относно превантивните им мерки, предхождащи атаката.“
Експертите широко признават, че реакциите на инцидентите в Caesars и MGM са били способни при трудни обстоятелства и са намалили по-широко разпространените щети.
Що се отнася до плащането на откупа от Caesars, Андрю Барат, вицепрезидент в Coalfire, изтъква каква малка част е изнудваческото плащане от 15 млн. долара в по-голямата схема на общите приходи на организацията.
„Плащането на Caesars е около 0,1 % от приходите им за предходната година и това вероятно дори нямаше да се отрази на приходите им, ако беше друг вид разход, амортизиран за периода“, казва Барат.
Той добавя, че според неговия опит 10-дневният срок за възстановяване на MGM е добър в сравнение с други организации.
„Въпреки че изглежда, че се е проточило, съм виждал инциденти, при които пълното разрешаване на проблема отнема до една година, а 10 дни не са страшни за организация със сложността, която MGM неминуемо има“, добавя Барат.
Като оставим настрана хигиената на киберсигурността, системната архитектура, инструментите и наличния набор от таланти, Лий от SANS Institute посочва, че възстановяването на инциденти в крайна сметка е толкова предсказуемо, колкото и тегленето на игрален автомат.
„Това, че Caesars са се възстановили „по-добре“, може да няма нищо общо с плащането на откупа“, добавя Лий. „Не можете да прецените „успеха“ въз основа на резултата – може би просто са имали повече късмет, ако използваме термина от Вегас.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
