اسکات مک کینون، فیلد CISO، در شرکت مدیریت محصول ابری VMware EMEA برای جلوگیری از پرداخت باج سایبری یک طرح بازیابی چهار مرحله ای قوی ارائه می دهد. او اجزای حیاتی یک رویکرد بازیابی باج افزار را به عنوان راهنمایی برای تیم هایی که به دنبال بهبود انعطاف پذیری خود هستند، پوشش می دهد.
تصور کنید در یک بازی بازی هستید که توسط گیمرهای مشتاق احاطه شده است. هر بازیکنی رویکرد برنده “آزموده و آزمایش شده” خود را متقاعد کرده است که آنها تنها فردی هستند که می دانند چگونه بازی را به روش صحیح انجام دهند. در حالی که چراغ های چشمک زن یک بازی فضایی کمی متفاوت ارائه می دهد، این “ذهنیت برنده” برای متخصصان امنیت سایبری به طرز عجیبی آشنا خواهد بود.
تیمهای امنیتی اغلب در مورد چگونگی بهترین واکنش و بازیابی از آخرین تهدید باجافزاری سازمان خود دچار مشکل هستند. اغلب اوقات افراد بر تجربیات خود تکیه میکنند و میدانند که چگونه میتوانند به روش صحیح با تهدید مقابله کنند. با این حال، در حالی که در بازیهای آرکید، انرژی رقابتی به سرگرمی کمک میکند، در حوزه امنیت سایبری، رقابت تنها زمانی به تضعیف یک سازمان کمک میکند که متخصصان امنیت سایبری آن در بهترین شیوهها هماهنگ نباشند.
اخبار مربوط به تخلفات پرخطر همچنان به سرفصل های منظم تبدیل می شود. رهبران صنعت اغلب با دو سنت خود در مورد علت و نتایج پیشبینیشده وارد عمل میشوند، اما بسیاری از این حوادث با گذشت زمان فراموش میشوند و برخی دیگر به لکهای دائمی بر شهرت یک شرکت تبدیل میشوند. به عنوان مثال حمله WannaCry به NHS در سال 2017 یا هک SolarWinds در سال 2020 را در نظر بگیرید.
مرحله اول: ترسیم بدترین سناریو
تیم هایی که تحت تأثیر احساس فوریت قرار دارند، می توانند وسوسه شوند که زمان برنامه ریزی را قربانی کنند. با توجه به فشار سنگین تیم های امنیت سایبری برای تسهیل تداوم کسب و کار در سریع ترین زمان و ایمن ترین حالت ممکن، این یک تمایل طبیعی است. متاسفانه کوته بینانه است.
بدون یک برنامه در نظر گرفته شده، بازیابی حادثه برای پیاده سازی رویه های واضح و بازیابی عملکردهایی که واقعاً برای تجارت حیاتی هستند، با مشکل مواجه خواهد شد. استقرار باج افزار هر یازده ثانیه یکبار اتفاق می افتد. سازمان هایی که در برنامه ریزی قبلی شکست خورده اند، آسیب پذیرترین سازمان ها در برابر این حملات بی وقفه هستند. کسانی که پس لرزه یک رخنه را پیش بینی می کنند و رویکرد پاسخ خود را با در نظر گرفتن بدترین سناریوی «همه چیز خراب» می سازند، معمولاً با نرخ موفقیت بیشتری بهبود می یابند.
فرآیند برنامه ریزی همچنین باید شامل نقش ها و مسئولیت های روشن و توافق شده باشد. افرادی که نقشی را که در تشخیص و واکنش ایفا می کنند ندانند، ممکن است خطر کند کردن تلاش های تیم گسترده تر را به خطر بیاندازند که منجر به اشتباهاتی می شود که می تواند مضر باشد. تیم ها باید به صورت کارآمد، چه آنلاین و چه آفلاین کار کنند.
مرحله دوم: یکپارچه سازی فناوری بازیابی خودکار
برای محافظت از ذینفعان آسیب دیده، پرداخت باج ممکن است گزینه مناسبی به نظر برسد. با این حال، پرداخت هرگز تضمین نمیکند که هکرها دادههایی را که در گروگان نگه میدارند منتشر کنند. در واقع، در سال 2022، 92 درصد از شرکتهایی که باج را پرداخت کردند، دسترسی کامل به دادههای در معرض خطر خود را دوباره به دست نیاوردند. کسب و کارهایی که سابقه تسلیم دارند نیز به اهداف جذابی برای حملات آینده تبدیل می شوند.
برای جلوگیری از گرفتار شدن در دام خواستههای یک هکر باج، سازمانها باید به دنبال سرمایهگذاری در فناوریهای بازیابی خودکار باشند که از طریق درخشش یادگیری ماشین، برای کنترل پاسخ طراحی شدهاند. این سیستمها که مانند یک پل متحرک عمل میکنند، از شبکههای ایزوله جریان کار گام به گام استفاده میکنند که از حرکت جانبی و عفونت مجدد جلوگیری میکند.
بازیابی خودکار همچنین به تیم هایی که در غیر این صورت صرفاً به تخصص دستی متکی هستند، آرامش خاطر را ارائه می دهد زیرا آنها مسیر روشنی را به جلو نشان می دهند. بازیابی خودکار بهترین دارایی یک شرکت است زیرا در هنگام تلاش برای جلوگیری از حمله ای که می تواند به اعتبار پایدار آسیب برساند، احتمال خطای انسانی را از بین می برد.
مرحله سوم: ارزیابی یکپارچگی داده ها و به دست گرفتن کنترل
وقتی باجافزار دادهها را ربوده، معمولاً با رمزگذاری همه فایلها، از دسترسی به آنها جلوگیری میکند. سپس دسترسی به همه افراد غیر از هکر ممنوع می شود. در برخی موارد، باجافزارها توسط عوامل مخرب کار گذاشته شده و برای هفتهها یا حتی ماهها در معرض دید عموم پنهان شدهاند و به پشتیبانگیری از دادهها سرایت میکنند که در نهایت بیفایده میشوند. هدف این نوع حمله خراب کردن یکپارچگی کل سیستمها از جمله پشتیبانگیری از دادهها است که پس از به خطر افتادن نمیتوانند هدف خود را برآورده کنند.
اکثر حملات باج افزار امروزه شامل تکنیک های بدون فایل هستند. سازمانها باید این را در نظر داشته باشند و اطمینان حاصل کنند که در طول فرآیند شناسایی، پشتیبانهای آلوده با جزئیات بررسی میشوند تا از آلوده شدن مجدد جلوگیری شود و از قرار گرفتن هر گونه فایل غیرقابل نفوذ در پشت خطوط دشمن جلوگیری شود. ادغام رویکردهای سنتی با تشخیص خودکار مدرن، رویکردی قوی و جامع را برای بازیابی باجافزار به ارمغان میآورد.
مرحله چهارم: به اشتراک گذاری دانش و بازتاب حملات قبلی
از بسیاری جهات، تیم های موفق آنهایی هستند که همیشه آماده یادگیری و تطبیق بر اساس تجربیات خود هستند. Ego با توجه به سرعت چشم انداز حملات و توسعه فناوری امنیتی، جایی در امنیت سایبری ندارد. بحث در مورد روش های جدید کار باید در اصل پذیرفته شود.
هنگامی که یک نقض مهار شد، برای تیمها ضروری است که مجدداً جمعبندی شوند و بازخورد خود را در مورد اینکه چه چیزی خوب کار کرده و چه چیزی میتواند برای دفعه بعد بهتر عمل کند به اشتراک بگذارند – زیرا احتمالاً دفعه بعدی وجود خواهد داشت. بازتاب همه بخشهای آسیبدیده باید در طول هر گونه بازنگری در طرح بهبود در نظر گرفته شود تا اطمینان حاصل شود که نیازهای هر بخش برآورده شده است. جلسات در آزمایشگاه و محیط های آزمایشی نیز باید در دستور کار باشد تا تیم ها بتوانند بازیابی را تکرار کنند و بیشتر آماده شوند. اگر اطلاعات شخصی به خطر بیفتد، ضروری است که – طبق GDPR – سازمانها به دفتر کمیساریای اطلاعات گزارش دهند و به افراد مورد نظر و ظرف 72 ساعت پس از نقض اطلاع دهند.
قوی تر شدن
کسب و کارهای بزرگ و کوچک می توانند با حمله باج افزار بی ثبات شوند. بیثباتی کسبوکار بر سهامداران در سراسر سازمان تأثیر میگذارد. با این حال، اگر برنامه ریزی بازیابی بخشی از عملیات اصلی کسب و کار باشد، آسیب وارد شده می تواند حداقل باشد. سرمایهگذاری در جدیدترین فناوری شناسایی و پاسخ و بهترین روش امنیتی، راهی استوار برای اطمینان از اینکه سازمانها میتوانند با کمترین دست اندازها در جاده تثبیت شوند.
منبع: https://professionalsecurity.co.uk/news/interviews/ransomware-recovery-approach/