MGM Resorts ve Caesars Entertainment’a yapılan ikiz siber saldırılar, aynı tehdit aktörü tarafından yapılan benzer saldırılara maruz kalan iki benzer kuruluşun farklı olay müdahale stratejileri izlemesi durumunda ne olacağına dair benzersiz bir bakış açısı sağladı.
Bu örnekte her ikisi de Scattered Spider /ALPHV siber saldırısının kurbanıydı. Caesars, siber saldırganlarla hızla pazarlık yaptı ve 15 milyon dolarlık fidye ödemesini teslim etti, bu da işine nispeten kısa sürede devam etmesine olanak sağladı. Bu arada MGM açıkça ödeme yapmayı reddetti ve az önce, kumarhane ve otellerin 10 günü aşkın operasyonel kesintisinden sonra (daha sonra on milyonlarca dolar gelir kaybı) operasyonlarının normale döndüğünü duyurdu.
Uzmanlar, hangi yaklaşımın daha iyi olduğuna karar vermek cazip gelse de, Caesars ile MGM’nin siber saldırıya verdiği tepkiler arasında herhangi bir doğrudan karşılaştırmanın aşırı basitleştirme olacağını söylüyor. Örneğin, SANS Enstitüsü’nün baş müfredat direktörü ve öğretim üyesi Rob T. Lee şunu vurguluyor: Olaya müdahalenin temel prensibi “en az kötü kararı” vermeye çalışmaktır. Ve bu, her zaman olumlu ve olumsuz (bazılarına göre acımasız) sonuçları olan karmaşık bir karar olma eğilimindedir.
Şunları belirtiyor: “Birçok iş kararı buna dahil olabilir. Ancak bir olay bittiğinde, farklı veya en azından daha kötü sonuçlara yol açabilecek farklı yolları görebilirsiniz. Bu durumlarda ‘kazanç’ yoktur, yalnızca olayı önleyebilecek kararlar vardır. kötüleşmesini önlüyor.”
Fidyeyi Ödemeli misiniz? MGM Haklı mıydı yoksa Caesars mı? Karmaşık
Bir siber saldırının ardından fidye ödenip ödenmeyeceği, olay müdahale ekiplerinin yoğun baskı altında vermek zorunda kaldığı, kazanılamayan kararlardan biridir.
Fidye ödemenin veri güvenliğini veya sistem kurtarmayı garanti etmek açısından hiçbir işe yaramadığı belgelenmiştir. Daha da kötüsü, bu siber suçlar için bir pazar yaratarak gelecekteki saldırıları teşvik ediyor. Ancak iş riski kararları her zaman doğru ve yanlış arasındaki net seçimleri ortaya çıkarmaz ve uygunluk her zaman göz önünde bulundurulması gereken bir husustur.
“Caesars’ın fidye sonrası daha hızlı iyileşmesi, daha iyi bir karar verdikleri izlenimini verebilir” diyor Callie Guenther, Critical Start’ın siber tehdit araştırmalarından sorumlu kıdemli yöneticisi. “İş sürekliliği açısından bakıldığında, ödeme kararları etkili görünebilir.”
Bununla birlikte, Delinea’nın baş güvenlik bilimcisi ve danışman CISO’su Joseph Carson, işin içinde başka karmaşıklıkların da olduğunu açıklıyor. Seçeneklerini düşünmek için biraz zaman harcayan şirketler, ödeme yapmamanın daha mantıklı olduğuna karar verebilir. Tecrübesine göre, kuruluşların her iki tarafta da pozisyonları sertleşmeden önce fidye yazılımı tehdit aktörleriyle müzakere etmek için yalnızca dört günlük bir zaman aralığı olduğunu söylüyor. Bundan sonra fidye yazılımı saldırganları hüsrana uğrar ve kurumsal güvenlik ekipleri de onların durumuna düşer.
Güvenlik araştırmacısı Jake Williams, “Bir batık maliyet eğilimi var” diye ekledi. “Onlar (siber güvenlik müdahale ve kurtarma ekipleri) olaydan ne kadar uzaklaşırlarsa, kurtarma sürecine o kadar sağlam bir şekilde dahil olurlar.”
Carson’a göre kurtarma maliyetleri başka bir husustur. İyileşme sancılıysa ancak yalnızca birkaç milyona mal oluyorsa, bunun sekiz rakamlı bir şantaj ödemesinden daha iyi bir seçim olabileceğini ekliyor.
Her Yanıt İş Öncelikleri Hakkında Neye İşaret Ediyor?
Hem MGM hem de Caesars’ın olaya müdahalesini genel olarak değerlendiren Günther, Caesars’ın tepkisinin operasyonları çalışır durumda tutmanın öncelikli olduğunu gösterdiğini, MGM tepkisinin ise kuruluşun uzun vadeli siber güvenlik kazanımları için kısa vadeli mali acıya katlanmaya istekli olduğunu gösterdiğini açıklıyor.
Günther, “MGM’nin mali kayıplara rağmen fidyeyi ödememe tercihi, fidye ödemelerinin sonuçlarına ilişkin daha geniş bir perspektiften kaynaklanıyor olabilir” diyor. “Kesintilerin süresi aynı zamanda kapsamlı bir dahili inceleme ve restorasyon sürecini de yansıtabilir ve tüm tehditlerin tamamen azaltılmasını sağlayabilir.”
Caesars’ın olaya tepkisinin “belirleyici” olduğunu ekliyor.
Günther, “Ancak fidye ödemek, anında rahatlama sağlarken uzun vadeli değerlendirmeler de gerektirir” diye ekliyor. “Ödeme sonrası kurtarma işlemlerinin hızı, güçlü yedekleme ve geri yükleme süreçlerine sahip olduklarını gösteriyor, ancak aynı zamanda saldırıya yol açan önleyici tedbirlerle ilgili soruları da gündeme getiriyor.”
Bazı Yİ Ekipleri Vegas’ta Şanslı Oldu
Uzmanlar, hem Caesars’ın hem de MGM’nin olay müdahalelerinin zor koşullar altında başarılı olduğunu ve daha yaygın hasarı azalttığını yaygın olarak kabul ediyor.
Coalfire’ın başkan yardımcısı Andrew Barratt, Caesars’ın fidye ödemesi açısından, 15 milyon dolarlık şantaj ödemesinin kuruluşun genel gelirleri içerisinde ne kadar küçük bir paya sahip olduğuna dikkat çekiyor.
Barratt, “Caesars’ın ödemesi, bir önceki yılın gelirine göre yaklaşık %0,1’lik bir darbe alıyor ve bu, dönem içinde amortismana tabi tutulan başka bir maliyet türü olsaydı muhtemelen kazançlarını bile etkilemezdi” diyor.
Tecrübesine göre MGM’nin 10 günlük toparlanma süresinin diğer kuruluşlara göre oldukça iyi olduğunu ekliyor.
“Uzun süredir devam ediyor gibi görünse de, olayların tamamen çözülmesinin bir yıldan fazla sürdüğünü gördüm ve 10 gün, MGM’nin kaçınılmaz olarak sahip olduğu karmaşıklığa sahip bir kuruluş için korkunç bir tepki değil,” diye ekliyor Barratt.
SANS Enstitüsü’nden Lee, siber güvenlik hijyeni, sistem mimarisi, araçlar ve mevcut yetenek havuzunun yanı sıra, olay kurtarmanın eninde sonunda bir kumar makinesinin çekilmesi kadar öngörülebilir olduğuna dikkat çekiyor.
Lee, “Sezar’ın ‘daha iyi’ iyileşmesinin fidye ödemesiyle hiçbir ilgisi olmayabilir” diye ekliyor. “‘Başarıyı’ sonuca göre yargılayamazsınız; sadece Vegas terimini kullanırsak onlar daha şanslı olabilirlerdi.”