Чудили ли сте се някога как се разработват упражненията на сините екипи? Една симулация на ransomware и кибер изнудване демонстрира най-добрите практики.
Понеделник сутрин, 8:00 ч. Влизате в офиса и на екрана на компютъра си виждате нещо, което сте преживявали само в кошмарите си.
„Бум! Организацията ви е ударена от атака с ransomware“, казва Шери Давидоф, главен изпълнителен директор на LMG Security, в първия поглед за Dark Reading на планирано настолно упражнение на предстоящата RSA Conference 2023. „Всички системи са изключени. Какво правите?“
Надяваме се, че знаете какво да правите благодарение на тренировките за такива сценарии под формата на настолни учения, които уъркшопват реакцията при инциденти за различни сценарии.
Създаването на такова упражнение е приключение, но си струва да се подготвят специалистите по сигурността за предизвикателствата, с които един ден неизбежно ще се сблъскат. „Това е точно като курсовете по изкуствено дишане на Червения кръст“, казва Давидов. „Обучението на първите ви отговорници е от значение.“
На 24 април, от 8:30 до 10:30 ч. българско време, Давидоф и Мат Дърин, директор по обучението и изследванията в LMG Security, ще проведат на RSA Conference 2023 учение за ransomware и киберизнудване. Събитието ще хвърли участниците във водовъртеж, вдъхновен от реални атаки с ransomware, и ще ги предизвика да избегнат капаните, характерни за реакцията при инциденти в предприятията.
„Основното нещо, към което искаме да се стремим в тези настолни упражнения, е възможно най-голяма степен на реализъм“, казва Дърин.
Но реализмът е труден за симулиране. Давидов се шегува, че „се опитахме да използваме ChatGPT, за да проведем настолно упражнение“, но не се получи добре. „Това е като: „Аз съм фасилитаторът“ и започва да ви превежда през стъпките. Но това е много скучно. Не ви дава никакви предизвикателства.“
Симулирането на реализъм, по ирония на съдбата, изисква голяма доза шоуменство: разказване на истории, аудио- и визуални материали, както и известна креативност, за да се генерира хаосът и непредсказуемостта, които бихте открили при кибератака в реалния живот. Но малка част от този театър е напълно измислена.
„Опитваме се да използваме опита, който сме натрупали през годините, когато действително сме се справяли с тези атаки в реални условия“, отбелязва Дърин, „така че имаме елементи, които съответстват на това как би изглеждала една съвременна атака с рансъмуер.“
За RSAC 2023 те избират да моделират своята симулация по класическа атака на LockBit. „Първото нещо, което правите сутринта в понеделник, е, че влизате в мрежата и тя е напълно изключена“, обяснява Дурин. „На работния ви плот има бележки за откуп. Те ви казват, че файловете ви са били криптирани. Възможно е да са проникнали в принтера ви и да са изчерпали всеки лист хартия, с който разполагате, отпечатвайки копия на бележката с откупа.“
Всички локални данни са криптирани и вътрешните системи са невъзстановими. Цената за възстановяване е 2,5 млн. долара, която ще се удвои след 48 часа.
Настъпва паника. „Как да определим къде трябва да търсим допълнителен зловреден софтуер?“ Дурин продължава. „Как да разберем от колко време са в мрежата? И тогава какви промени трябва да направим в нашия план?“ Участниците извършват триаж, разпределят задачите между членовете на групата и събират доказателства, като се борят за ограничаване на щетите.
Всяко усещане за контрол обаче се заличава, когато пристигат още лоши новини: Хакерите вече са изнесли данни. Двойно изнудване, един от няколкото удара, които хакерите ще хвърлят през оградата до края на кампанията.
„Тук нещата стават доста страшни, особено за по-изпълнителната аудитория“, казва Дурин. „Когато започнем да говорим за публично излагане и увреждане на репутацията, това наистина ги кара да се притесняват и води до добра дискусия между техническите и нетехническите хора. По време на атака има толкова много взаимодействия между тези две групи.“
Няколко изнудвания може да са много, за да се поберат в двучасово събитие. Но Давидов и Дурин подчертават, че цели 80 % от жертвите на ransomware преживяват двойно изнудване, като 68 % от тях в рамките на един месец след първото нарушение.
Забележително е, че 40% от жертвите на ransomware плащат два пъти, 10% плащат три пъти, а 1% всъщност плащат четири откупа на нападателите си.
„Това е част от причините, поради които настолната конференция е толкова важна“, казва Давидов. „Вие всъщност преминавате през тези проблеми и всички – от отговорниците на първа линия до ръководителите – се учат. Защото в много случаи отговорниците на първа линия получават натиск от ръководителите да възстановят системата възможно най-скоро, така че пропускат стъпки, а след това нападателите се връщат обратно и проблемът се задълбочава. И те обикновено начисляват по-висока сума за втория път.“
Предприятията, които провеждат този вид симулации, обикновено избягват тези грешки. „Всъщност успяхме да видим как тези промени, които направихме и тествахме в рамките на плана за реагиране на инциденти, са от полза за организациите в много осезаем и реален смисъл“, казва Дурин, „по отношение на скоростта на възстановяване, качеството на възстановяването и начина, по който организацията всъщност е в състояние да се изправи на крака след претърпян инцидент.“
Разликата може да се открие в крайния резултат. Според доклада на IBM Cost of a Data Breach Report 2022 организациите със стриктно тествани планове за реакция при инциденти спестяват средно над 2,5 млн. долара в сравнение с тези без планове. Така че ученията не са просто забавна дейност за сплотяване на екипа.
„Първите няколко минути и часове след инцидента са абсолютно критични“, казва Давидов. „Всеки трябва да се увери, че е подготвен.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
