1158! Αυτός είναι ο εβδομαδιαίος μέσος όρος των κυβερνοεπιθέσεων ανά οργανισμό το 2023, ενώ μια στις δέκα επιχειρήσεις δέχθηκαν επιθέσεις τύπου Ransomware.
Συνεπώς, δεν τίθεται θέμα αν θα δεχθούμε επίθεση, αλλά πότε θα την δεχθούμε!
Νίκος Σίμος
CTO
PYLONES www.pylones.gr
Ο αγώνας κατά των κυβερνοεπιθέσεων περνά από τρία στάδια:
- Το πρώτο στάδιο είναι αυτό της πρόληψης το οποίο έχει αναλυθεί εκτενώς και αποτελεί συνεχώς θέμα καίριο. Δεκάδες τεχνολογίες και εκατοντάδες προϊόντα, είτε με είτε χωρίς τη χρήση AI, υπηρετούν το σκοπό αυτό.
- Το δεύτερο στάδιο είναι αυτό του CyberSecurity awareness, που αποτελεί νέα τάση και αντικείμενο εφαρμογής σε πάρα πολλούς οργανισμούς, δεδομένου ότι, αποδεδειγμένα, ο πιο αδύναμος κρίκος στη μάχη κατά των κυβερνοεπιθέσεων είναι ο τελικός χρήστης.
Όσο, όμως, και αν ευαγγελιζόμαστε το Zero Trust Security Model και τις κάθε λογής Secure By Design μεθοδολογίες, πάντα θα υπάρχουν οι Zero Day επιθέσεις που απειλούν συνεχώς τους οργανισμούς και που μοιραία κάποιοι εξ αυτών θα γίνουν θύματα.
- Το τρίτο και ίσως πιο παραμελημένο στάδιο το Incident Response.
Τι είναι, όμως, το Incident Response;
Ποιους αφορά; Ποιοι εμπλέκονται; Ποιοι απαιτούνται;
- Τι είναι το Incident Response;
Η αντίδραση απέναντι σε μια επιτυχημένη, κυβερνοεπίθεση απαιτεί πολύ καλό σχεδιασμό και προετοιμασία, ψυχραιμία, στοχευμένες κινήσεις και υπομονή. Ο σχεδιασμός απαιτεί πολύ καλή αποτύπωση του πληροφοριακού οικοσυστήματος του οργανισμού, ώστε μετά την επίθεση όλοι να γνωρίζουν τί βρίσκεται πού και ποιος εξυπηρετεί τι. Όταν γνωρίζεις το landscape της επίθεσης, τότε επικρατεί ηρεμία και ψυχραιμία. Ψυχραιμία ώστε να απομονωθούν τα συστήματα και με στοχευμένες κινήσεις να ληφθούν με λεπτομέρεια όλα αυτά τα στοιχεία που θα αποτελέσουν αργότερα τις αποδείξεις, τα πειστήρια. Κατόπιν απαιτείται υπομονή ώστε να γίνουν restore τα προσβεβλημένα συστήματα από υφιστάμενα backups ή να εγκατασταθούν εκ νέου (όπου κρίνεται αναγκαίο). Υπομονή ώστε να γίνουν όλοι οι απαραίτητοι έλεγχοι που θα διασφαλίσουν ότι το κακόβουλο λογισμικό ή οι κακόβουλες συνδέσεις έχουν απομονωθεί.
Ταυτόχρονα, πέραν της τεχνικής αντιμετώπισης μια επίθεσης, ο οργανισμός πρέπει να διαχειριστεί επικοινωνιακά το συμβάν εντός και εκτός εταιρίας (τύπος, ασφαλιστικές εταιρείες κλπ) και να ανταποκριθεί στις ενέργειες που οφείλει να κάνει βάσει των κανονιστικών οδηγιών.
Τέλος, ξεκινά η δύσκολη και χρονοβόρα διαδικασία του Forensics κατά την οποία θα επιχειρηθεί να συλλεχθούν όλα αυτά τα ευρήματα που θα βοηθήσουν στην περαιτέρω προστασία του οργανισμού, αλλά θα δώσουν επίσης τα απαραίτητα όπλα στη νομική υπηρεσία για να τα χρησιμοποιήσει στη νομική αντιμετώπιση του συμβάντος.
- Πώς πραγματοποιείται ένα επιτυχημένο Incident Simulation Exercise;
Για τη σωστή προετοιμασία των οργανισμών απαιτείται να γίνει Incident Simulation Exercise κατά την οποία σχεδιάζεται και πραγματοποιείται μία επιτυχημένη επίθεση με σκοπό να καταγραφεί ο τρόπος που αντιδρά ο οργανισμός σε ένα συμβάν ασφαλείας, ειδικά τις 3 πρώτες ώρες. Στόχος είναι να καταγραφούν κινήσεις, χρόνοι ανταπόκρισης, εμπλεκόμενα άτομα/ρόλοι, εμπλεκόμενοι συνεργάτες, διαδικασίες και να οριστούν οι ενέργειες βελτίωσης.
- Τι περιλαμβάνει το Incident Response retainer;
Πέραν όμως της άρτιας προετοιμασίας, η υπηρεσία Incident Response retainer είναι αυτή που θα προσφέρει σε έναν οργανισμό τους κατάλληλους εξωτερικούς συνεργάτες αλλά και τα απαραίτητα εργαλεία και εξοπλισμό που θα είναι έτοιμοι να επέμβουν και να αντιδράσουν μέσα στις πρώτες 1-2 ώρες από την εκδήλωση του συμβάντος, ώστε να συνδράμουν στον περιορισμό του κινδύνου και την ανάκτηση της λειτουργίας του οργανισμού. Η ομάδα που θα πρέπει να ανταποκριθεί σε ένα συμβάν ασφάλειας είναι πολυπληθής και ετερόκλητη και αποτελείται από Security Analysts, Threat Hunters, Network Engineers, System Engineers και Security Consultants. Όλοι αυτοί θα πρέπει να συνεργαστούν με νομικά τμήματα, τμήματα Marketing και επικοινωνίας, Οικονομικά τμήματα και φυσικά με τη διοίκηση του οργανισμού.
Μην περιμένετε το επόμενο συμβάν. Ενισχύστε την κυβερνοασφάλεια της επιχείρησης σας τώρα!
Αλήθεια, στην περίπτωση πυρκαγιάς θα περιμένει κανείς να προσλάβει πυροσβέστες τη στιγμή της εκδήλωσής της; Θα προκηρύξει διαγωνισμό για την προμήθεια υλικοτεχνικού εξοπλισμού εκείνη την στιγμή; Θα περιμένει να έχει στη διάθεσή του τον εξοπλισμό άμεσα; Και θα καταστρώσει σχέδιο δράσης εκείνη τη στιγμή; Ή θα αποφασίσεις να είναι προετοιμασμένος έχοντας μια ομάδα επαγγελματιών υψηλής εξειδίκευσης διαθέσιμη και έτοιμη να ανταποκριθεί άμεσα, οργανωμένα και αποτελεσματικά;