Łowcy utraconych danych: Z codziennego życia zespołu reagowania na incydenty
20 stycznia 2023
Sophos
Schwachstellen, Cybersecurity, Zukunft, Datenschutz
Peter Mackenzie, dyrektor ds. reagowania na incydenty w Sophos, jest czymś w rodzaju Indiany Jonesa cyberprzestrzeni: on i jego zespół niestrudzenie skanują systemy komputerowe w poszukiwaniu anomalii, które wskazują na cyberzagrożenie. W większości przypadków ofiary wzywają ekspertów, ponieważ były ofiarą ataku ransomware, na przykład, lub nadal są w środku jednego. Sedno: kiedy taki incydent z oprogramowaniem ransomware paraliżuje komputery, nie jest to początek cyberataku, ale jego agresywny finał. "Często opisuję ransomware jako paragon, który przestępcy zostawiają na koniec. Wiele ofiar, które pytamy o to, kiedy co się stało, mówi, że szyfrowanie rozpoczęło się o pierwszej w nocy i w efekcie otrzymali powiadomienia. Kiedy następnie badamy systemy, często okazuje się, że oszuści byli w sieci już od dwóch tygodni i poczynili przygotowania - mówi Peter Mackenzie.
Cyberprzestępczość już dawno została sprofesjonalizowana
Kto teraz myśli, że osoba lub grupa hakuje klawiaturę dzień i noc, finezyjnie przechowuje zaszyfrowane dane i zwraca je d'accord na honor oszustów po wymuszonej zapłacie, aby z zrabowanym ciastem ułożyć sobie miłe życie na Copacabanie, ten widział zbyt wiele filmów z lat 80. W rzeczywistości cyberataki już dawno zostały sprofesjonalizowane. Istnieją wyspecjalizowani dostawcy dla każdego obszaru ataku, począwszy od "Wprowadzimy cię do każdej sieci" (istnieje już zawód Initial Access Broker tu....), poprzez "Kupimy skradzione dane", aż po "Zajmiemy się szantażem". Wiedza ekspercka nie jest konieczna, a nawet osoby, które wzbraniają się przed dostępem do dark web, mogą stać się praktykantami cybercrooka za pośrednictwem Google i filmów how-to na YouTube.Zbyt duży entuzjazm również może pójść w złą stronę, czego dowodzi opisany niedawno przypadek wielu napastników, którzy jako konkurujące ze sobą grupy ransomware zaatakowali przypadkowo wspólną ofiarę w ramach swoistej zmiany i sabotowali się nawzajem w tym procesie.Niechlujstwo w konserwacji urządzeń staje się piętą achillesową
Według Mackenziego, dla oszustów po wejściu do sieci niezmiernie ważny jest jeden aspekt: do czego mam dostęp? W tym celu skanują sieć, nawet nie tyle w poszukiwaniu czegoś konkretnego, ile raczej jak złodziej w biurowym korytarzu, naciskając każdą klamkę, aż w końcu otwierają się drzwi.Możliwości dla sprytnych oszustów są dziś ogromne. Jeśli więc w systemie pojawia się podejrzany impuls, oprogramowanie zabezpieczające wykrywa go i eliminuje, nie oznacza to, że problem został rozwiązany. W większości przypadków niechlujna obsługa aktualizacji, łatek i wyposażenia każdego urządzenia z osobna to mały początek wielkiej katastrofy.Nowoczesna cyberobrona tylko z aktualnym oprogramowaniem i ludzką wiedzą
Cyberprzestępczość już dawno została sprofesjonalizowana
Kto teraz myśli, że osoba lub grupa hakuje klawiaturę dzień i noc, finezyjnie przechowuje zaszyfrowane dane i zwraca je d'accord na honor oszustów po wymuszonej zapłacie, aby z zrabowanym ciastem ułożyć sobie miłe życie na Copacabanie, ten widział zbyt wiele filmów z lat 80. W rzeczywistości cyberataki już dawno zostały sprofesjonalizowane. Istnieją wyspecjalizowani dostawcy dla każdego obszaru ataku, począwszy od "Wprowadzimy cię do każdej sieci" (istnieje już zawód Initial Access Broker tu....), poprzez "Kupimy skradzione dane", aż po "Zajmiemy się szantażem". Wiedza ekspercka nie jest konieczna, a nawet osoby, które wzbraniają się przed dostępem do dark web, mogą stać się praktykantami cybercrooka za pośrednictwem Google i filmów how-to na YouTube.Zbyt duży entuzjazm również może pójść w złą stronę, czego dowodzi opisany niedawno przypadek wielu napastników, którzy jako konkurujące ze sobą grupy ransomware zaatakowali przypadkowo wspólną ofiarę w ramach swoistej zmiany i sabotowali się nawzajem w tym procesie.Niechlujstwo w konserwacji urządzeń staje się piętą achillesową
Zespół reagowania na incydenty nie tylko zatrzymuje atak, ale analizuje procesy w systemach, co cyberoszust robił i w jakim celu. Także to, czy nie wbudowali backdoorów do późniejszego powrotu.
Według Mackenziego, dla oszustów po wejściu do sieci niezmiernie ważny jest jeden aspekt: do czego mam dostęp? W tym celu skanują sieć, nawet nie tyle w poszukiwaniu czegoś konkretnego, ile raczej jak złodziej w biurowym korytarzu, naciskając każdą klamkę, aż w końcu otwierają się drzwi.Możliwości dla sprytnych oszustów są dziś ogromne. Jeśli więc w systemie pojawia się podejrzany impuls, oprogramowanie zabezpieczające wykrywa go i eliminuje, nie oznacza to, że problem został rozwiązany. W większości przypadków niechlujna obsługa aktualizacji, łatek i wyposażenia każdego urządzenia z osobna to mały początek wielkiej katastrofy.Nowoczesna cyberobrona tylko z aktualnym oprogramowaniem i ludzką wiedzą
Peter Mackenzie, po całym swoim doświadczeniu w codziennym zmaganiu się z cyberzagrożeniami w firmach dużych i małych, radzi zapobiegać. Poniższe pytania pomagają zidentyfikować słabe punkty w firmie i podjąć wobec nich środki ostrożności (narzędzia, eksperci, usługi itp.). I najlepiej od razu, aby móc szybko zareagować w sytuacji kryzysowej.Co się stanie, jeśli będziemy mieli atak typu ransomware? Co się stanie, jeśli nasze kopie zapasowe zostaną usunięte? Co się stanie, jeśli ktoś powie nam, że mamy napastnika w naszej sieci? Bezpieczeństwo to kompleksowy i czasochłonny proces, który wymaga ciągłej konserwacji i korekty. Oprogramowanie, które wstępnie wykrywa anomalie oraz eksperci MDR (Managed Detection and Response), którzy przez całą dobę identyfikują i powstrzymują ataki oraz ograniczają szkody w systemach to niezbędne fundamenty nowoczesnego zapobiegania i obrony przed cyberatakami.