Чудили ли сте се някога как се разработват упражненията на сините екипи? Една симулация на ransomware и кибер изнудване демонстрира най-добрите практики.

Понеделник сутрин, 8:00 ч. Влизате в офиса и на екрана на компютъра си виждате нещо, което сте преживявали само в кошмарите си.

„Бум! Организацията ви е ударена от атака с ransomware“, казва Шери Давидоф, главен изпълнителен директор на LMG Security, в първия поглед за Dark Reading на планирано настолно упражнение на предстоящата RSA Conference 2023. „Всички системи са изключени. Какво правите?“

Надяваме се, че знаете какво да правите благодарение на тренировките за такива сценарии под формата на настолни учения, които уъркшопват реакцията при инциденти за различни сценарии.

Създаването на такова упражнение е приключение, но си струва да се подготвят специалистите по сигурността за предизвикателствата, с които един ден неизбежно ще се сблъскат. „Това е точно като курсовете по изкуствено дишане на Червения кръст“, казва Давидов. „Обучението на първите ви отговорници е от значение.“

На 24 април, от 8:30 до 10:30 ч. българско време, Давидоф и Мат Дърин, директор по обучението и изследванията в LMG Security, ще проведат на RSA Conference 2023  учение за ransomware и киберизнудване. Събитието ще хвърли участниците във водовъртеж, вдъхновен от реални атаки с ransomware, и ще ги предизвика да избегнат капаните, характерни за реакцията при инциденти в предприятията.

Проектиране на настолно упражнение

„Основното нещо, към което искаме да се стремим в тези настолни упражнения, е възможно най-голяма степен на реализъм“, казва Дърин.

Но реализмът е труден за симулиране. Давидов се шегува, че „се опитахме да използваме ChatGPT, за да проведем настолно упражнение“, но не се получи добре. „Това е като: „Аз съм фасилитаторът“ и започва да ви превежда през стъпките. Но това е много скучно. Не ви дава никакви предизвикателства.“

Симулирането на реализъм, по ирония на съдбата, изисква голяма доза шоуменство: разказване на истории, аудио- и визуални материали, както и известна креативност, за да се генерира хаосът и непредсказуемостта, които бихте открили при кибератака в реалния живот. Но малка част от този театър е напълно измислена.

„Опитваме се да използваме опита, който сме натрупали през годините, когато действително сме се справяли с тези атаки в реални условия“, отбелязва Дърин, „така че имаме елементи, които съответстват на това как би изглеждала една съвременна атака с рансъмуер.“

За RSAC 2023 те избират да моделират своята симулация по класическа атака на LockBit. „Първото нещо, което правите сутринта в понеделник, е, че влизате в мрежата и тя е напълно изключена“, обяснява Дурин. „На работния ви плот има бележки за откуп. Те ви казват, че файловете ви са били криптирани. Възможно е да са проникнали в принтера ви и да са изчерпали всеки лист хартия, с който разполагате, отпечатвайки копия на бележката с откупа.“

Всички локални данни са криптирани и вътрешните системи са невъзстановими. Цената за възстановяване е 2,5 млн. долара, която ще се удвои след 48 часа.

Настъпва паника. „Как да определим къде трябва да търсим допълнителен зловреден софтуер?“ Дурин продължава. „Как да разберем от колко време са в мрежата? И тогава какви промени трябва да направим в нашия план?“ Участниците извършват триаж, разпределят задачите между членовете на групата и събират доказателства, като се борят за ограничаване на щетите.

Всяко усещане за контрол обаче се заличава, когато пристигат още лоши новини: Хакерите вече са изнесли данни. Двойно изнудване, един от няколкото удара, които хакерите ще хвърлят през оградата до края на кампанията.

„Тук нещата стават доста страшни, особено за по-изпълнителната аудитория“, казва Дурин. „Когато започнем да говорим за публично излагане и увреждане на репутацията, това наистина ги кара да се притесняват и води до добра дискусия между техническите и нетехническите хора. По време на атака има толкова много взаимодействия между тези две групи.“

Помагат ли ученията  за сигурност в реално време?

Няколко изнудвания може да са много, за да се поберат в двучасово събитие. Но Давидов и Дурин подчертават, че цели 80 % от жертвите на ransomware преживяват двойно изнудване, като 68 % от тях в рамките на един месец след първото нарушение.

Забележително е, че 40% от жертвите на ransomware плащат два пъти, 10% плащат три пъти, а 1% всъщност плащат четири откупа на нападателите си.

„Това е част от причините, поради които настолната конференция е толкова важна“, казва Давидов. „Вие всъщност преминавате през тези проблеми и всички – от отговорниците на първа линия до ръководителите – се учат. Защото в много случаи отговорниците на първа линия получават натиск от ръководителите да възстановят системата възможно най-скоро, така че пропускат стъпки, а след това нападателите се връщат обратно и проблемът се задълбочава. И те обикновено начисляват по-висока сума за втория път.“

Предприятията, които провеждат този вид симулации, обикновено избягват тези грешки. „Всъщност успяхме да видим как тези промени, които направихме и тествахме в рамките на плана за реагиране на инциденти, са от полза за организациите в много осезаем и реален смисъл“, казва Дурин, „по отношение на скоростта на възстановяване, качеството на възстановяването и начина, по който организацията всъщност е в състояние да се изправи на крака след претърпян инцидент.“

Разликата може да се открие в крайния резултат. Според доклада на IBM Cost of a Data Breach Report 2022 организациите със стриктно тествани планове за реакция при инциденти спестяват средно над 2,5 млн. долара в сравнение с тези без планове. Така че ученията  не са просто забавна дейност за сплотяване на екипа.

„Първите няколко минути и часове след инцидента са абсолютно критични“, казва Давидов. „Всеки трябва да се увери, че е подготвен.“