Günlerden Pazartesi sabahı 8:00 Ofise giriyorsunuz ve bilgisayarınızın ekranında, şimdiye kadar sadece kabuslarınızda deneyimlediğiniz bir şeye tanık oluyorsunuz.
LMG Security CEO’su Sherri Davidoff, yaklaşan RSA Konferansı 2023’te planlanmış bir masa üstü tatbikatı hakkında Dark Reading’e ilk bakışta “Boom! Kuruluşunuz bir fidye yazılımı saldırısına uğradı” diyor. Yapmalısın?”
Çeşitli senaryolar için olay müdahalesini atölye çalışması yapan masa üstü alıştırmalar biçimindeki bu tür senaryolar için uygulama çalışmaları sayesinde ne yapacağınızı umarız.
Böyle bir alıştırma oluşturmak bir taahhüttür, ancak güvenlik uzmanlarını bir gün kaçınılmaz olarak karşılaşacakları zorluklara hazırlamak için değerlidir. Davidoff, “Tıpkı Kızıl Haç CPR dersleri gibi,” diyor. “İlk müdahale ekiplerinizi eğitmek önemlidir.”
24 Nisan günü, 08:30 – 10:30 PT, Davidoff ve LMG Security’nin eğitim ve araştırma direktörü Matt Durrin, RSA Konferansı 2023’te fidye yazılımı ve siber şantaj üzerine bir masa üstü tatbikata ev sahipliği yapacak. gerçek hayattaki fidye yazılımı saldırılarından ilham alan bir girdaba dönüş ve onları kurumsal olay müdahalesine özgü tuzaklardan kaçınmaya davet et.
Masaüstü Egzersizi Tasarlamak
Durrin, “Bu masaüstlerinde çekmek istediğimiz en büyük şey, elde edebileceğimiz kadar gerçekçilik,” diyor.
Ancak gerçekçiliği simüle etmek zordur. Davidoff, “Masa üstü bir egzersiz yapmak için ChatGPT’yi kullanmayı denedik” ve bunun pek iyi sonuçlanmadığı hakkında şaka yapıyor. “Bu, ‘Ben kolaylaştırıcıyım’ gibi bir şey ve sizi adımlardan geçirmeye başlıyor. Ama çok sıkıcı. Size herhangi bir eğri top vermiyor.”
Gerçekçiliği simüle etmek, ironik bir şekilde, çok fazla şovmenlik gerektirir: gerçek hayatta bir siber saldırıda bulacağınız kaosu ve öngörülemezliği yaratmak için hikaye anlatımı, işitsel ve görsel materyaller ve belirli bir yaratıcılık. Ancak bu tiyatronun çok azı tamamen uydurma.
Durrin, “Yıllar boyunca vahşi doğada bu saldırılarla mücadele ederek edindiğimiz deneyimden yararlanmaya çalışıyoruz,” diye belirtiyor, “böylece modern bir fidye yazılımı saldırısının nasıl görüneceğine uygun unsurlarımız var.”
RSAC 2023 için simülasyonlarını klasik bir LockBit saldırısından sonra modellemeyi seçtiler. Durrin, “Pazartesi sabahı ilk iş olarak içeri girersiniz ve ağınız tamamen çevrimdışıdır,” diye açıklıyor Durrin. “Masaüstünde fidye notları var. Sana dosyalarının şifrelenmiş olduğunu söylüyorlar. Yazıcına girmiş ve elindeki her kağıdı tüketmiş, fidye notunun kopyalarını basmış olabilirler.”
Tüm yerel veriler şifrelenir ve dahili sistemler kurtarılamaz. İyileşme bedeli 2,5 milyon dolar ve bu 48 saat sonra ikiye katlanacak.
Panik başlar. “Ek kötü amaçlı yazılımları nerede aramamız gerektiğini nasıl belirleriz?” Durrin devam ediyor. “Ne kadar süredir ağda olduklarını nasıl anlayacağız? Peki planımızda ne tür değişiklikler yapmamız gerekiyor?” Katılımcılar, hasarı kontrol altına almak için öncelik sırasına koyar, grup üyeleri arasında görevleri dağıtır ve kanıt toplar.
Yine de, daha fazla kötü haber geldiğinde herhangi bir kontrol duygusu siliniyor: Bilgisayar korsanları verileri çoktan sızdırdı. Çifte gasp, bilgisayar korsanlarının kampanyanın sonunda çitin üzerinden atacağı birkaç eğri topundan biri.
Durrin, “Burası, özellikle daha yönetici izleyiciler için işlerin biraz korkutucu hale geldiği yer,” diyor. “Kamuoyunun maruz kalması ve itibarın zedelenmesi hakkında konuşmaya başladığımızda, bu onları gerçekten zor duruma sokar ve teknik ve teknik olmayan kişiler arasında iyi bir tartışmaya yol açar. Bir saldırı sırasında bu iki grup arasında çok fazla etkileşim vardır.”
Masaüstü Alıştırmaları Aslında IRL Güvenliğine Yardımcı Olur mu?
Birden fazla gasp, iki saatlik bir olaya sığdırmak için çok fazla olabilir. Ancak Davidoff ve Durrin, fidye yazılımı kurbanlarının %80’inin, %68’inin ilk ihlallerinden sonraki bir ay içinde nasıl çift düşüş yaşadığını vurguluyor.
Dikkat çekici bir şekilde, fidye yazılımı kurbanlarının %40’ı iki kez ödeme yapıyor, %10’u ödüyor üç kez ve %1 gerçekten öder dört fidye saldırganlarına.
Davidoff, “Bir masa üstünün neden bu kadar önemli olduğunun bir parçası da bu,” diyor. “Aslında bu sorunların üzerinden geçiyorsunuz ve ön saflardaki müdahale ekiplerinden yöneticilere kadar herkes öğreniyor. Çünkü çoğu zaman ön saflardaki müdahale ekipleriniz, mümkün olan en kısa sürede geri yükleme yapmaları için yöneticilerden baskı alacak, bu nedenle adımları atlıyorlar ve ardından saldırganlar tekrar girerseniz daha kötü bir sorunla karşılaşırsınız ve genellikle ikinci seferde daha yüksek bir ücret talep ederler.”
Bu tür simülasyonları çalıştıran şirketler bu hatalardan kaçınma eğilimindedir. Durrin, “Bir olay müdahale planında yaptığımız ve test ettiğimiz değişikliklerin kuruluşlara çok somut ve gerçek anlamda nasıl fayda sağladığını gerçekten görebildik,” diyor Durrin, “iyileşme hızı, iyileşme ve organizasyonun bir olaydan sonra gerçekten nasıl ayağa kalkabildiği.”
Fark alt satırda bulunabilir. IBM Cost of a Data Breach Report 2022’ye göre, titizlikle test edilmiş olay müdahale planları olan kuruluşlar, planı olmayanlara göre ortalama 2,5 milyon dolardan fazla tasarruf sağlıyor. Yani masaüstü egzersizleri sadece eğlenceli bir ekip oluşturma etkinliği değildir.
Davidoff, “Bir olaydan sonraki ilk birkaç dakika ve saat kesinlikle kritiktir” diyor. “Herkes hazırlıklı olduğundan emin olmalı.”