Onko neuvottelu paras strategiasi kiristysohjelmien suhteen?

Dan Raywoodin kirjoittama • 8 elokuu 2024

Sen sijaan, että maksaisit vain maksun päästäksesi eroon kiristyshaittaohjelmasta, voisitko neuvotella ulospääsystä oikeilla vaiheilla ja taidoilla? Dan Raywood tarkastelee tarinoita ja vaihtoehtoja.

Kuluneen vuoden aikana on käyty keskustelua: pitäisikö hyökkääjälle maksaa lunnaita vai ei? Aiemmin tänä vuonna Ison-Britannian kansallisen kyberturvallisuuskeskuksen entinen johtaja Ciaran Martin sanoi pääkirjoituksessa että lunnaiden maksut pitäisi tehdä laittomaksi. Sitten kyberturvallisuuden ja infrastruktuurin turvallisuusviraston johtaja Jen Easterly sanoi ettei tehnyt nähdä lunnaiden maksamisen yleisen kiellon tapahtuvan.

Lunnaiden maksukiellolla tai ilman, tässä on valtava haaste: kun uhri on saanut kiristysohjelmatartunnan, hän yleensä näkee näytön, jossa on maksupyyntö, salauksen purkuavaimen saamiseksi vaadittava summa ja maksun lähetyspaikka. Jos he eivät ole onnekkaita, maksun eräpäivänä on joskus ajastin, mikä voi johtaa takavarikoitujen tietojen poistamiseen tai jopa vuotamiseen.

Ransomware-maksut ovat melko tuntematon tekijä. Tiedämme joitain: CNA Financial maksoi 40 miljoonaa dollaria vuonna 2021, kun kasinooperaattori Caesars maksanut $ 15 miljoonaa viime vuonna. Isossa-Britanniassa 2023 kuninkaallinen Posti hyökkäyksessä hyökkääjät vaativat 80 miljoonan dollarin maksua, mikä he päättivät 0.5 % Royal Mailin tuloista.

Royal Mail piti summaa "absurdina" ja sanoi, että 80 miljoonaa dollaria "on summa, jota johtokuntamme ei koskaan voinut ottaa vakavasti". Tämä pohtii, kuinka moni uhri maksaa lunnaita – vaikka se ei ole järjetön summa – saada haittaohjelma poistumaan.

Yksi ongelmista tässä on se, että ei ole olemassa todellisia lukuja siitä, kuka maksaa mitä, ja siksi ei ole asteikkoa, minkä kokoinen maksu voi olla ratkaisu.

Ei muuta vaihtoehtoa kuin maksaa?

Jos sinulla ei ole muuta vaihtoehtoa kuin maksaa, sinulla on mahdollisuus käydä neuvotteluja. Tässä tapauksessa työskentelet rikollisten kanssa: sinulla ei ole aavistustakaan, keitä he ovat, mistä he ovat kotoisin tai kuinka hyvin järjestäytyneitä he ovat.

Ohjaus on olemassa, ja suurin osa siitä kannustaa varovaisuuteen puhuttaessa hyökkääjien kanssa, arvioitaessa, mitä heillä on, ja olemaan luopumatta lisätiedoista.

Alex Papadopoulos, Secureworksin häiriötilanteiden hallinta- ja valmiusjohtaja, sanoo, että neuvotteluprosessissa ei ole kyse vain hinnasta vaan myös ajan ostamisesta. Hyökkääjän aseman ymmärtämiseksi kannattaa neuvotella.

”Muiden ihmisten kertomuksista voimme lukea, että he ovat yleensä avoimia neuvotteluille, koska he ymmärtävät, että ei ole hyvä liiketoiminnalle, jos heillä on liian kova linja. silloin ne tunnetaan täysin järjettöminä", hän sanoo.

Lisäksi neuvotteluprosessi antaa hyökkääjälle ja uhrille mahdollisuuden oppia lisää toisistaan. Papadopoulos sanoo, että useimmat kiristysohjelmahyökkäykset ovat opportunistisia, eivätkä he ymmärrä, kuka uhri on, ennen kuin ovat alkaneet puhua heille.

"He eivät ole käyttäneet aikaa ja vaivaa tutkimuksen tekemiseen", hän sanoo. "Joten neuvotteluprosessin kautta he haluavat ymmärtää enemmän sinusta ja siten, mitä voit maksaa."

Tämä johtaa hinnan neuvottelemiseen: kuten edellä mainituissa tapauksissa näimme, jos hyökkääjät pyytävät liikaa, uhri ei koskaan maksa. Muissa tapauksissa hyökkääjät pyytävät liian vähän. Papadopoulos kertoo tarinan siitä, kun jotkut lunnasohjelmahyökkääjät vaativat 8 miljoonaa euroa, ja uhri maksoi heti, koska hyökkääjä ei ollut tajunnut takavarikoimansa arvoa ja mitä he olisivat voineet pyytää.

Vakuutusvaatimukset

Itse asiassa neuvotteluista on tullut vakuutuskorvausvaatimus. Kun yritykset tarjosivat aikoinaan vain neuvottelu- ja maksunvaihtopalveluita, Papadopoulos sanoo, että "neuvotteluista on tullut vaatimus monille vakuutusyhtiöille".

Hän selittää, että "monet DFIR-palveluntarjoajat ovat käytännössä joutuneet menemään tälle hieman varjoisalle, hieman harmaalle alueelle" neuvotellen kyberrikollisten kanssa, sanoen, että yrityksillä on oltava ihmisiä, jotka ovat valmiita tekemään tämän tehtävän.

Tämä johtaa tehokkaan ja vankan liiketoiminnan jatkuvuussuunnitelman vaatimukseen. Jos harkitset ISO 22301 -standardin noudattamista, sinun kannattaa varmistaa, että voit voittaa kiristysohjelmahyökkäyksen ja pysyä laillisuuden oikealla puolella.

Reiän korjaaminen

Neuvottelujen jälkeen olet hyökkääjän käsissä saadaksesi salauksen purkuavaimen, palauttamaan järjestelmän ja korjaamaan reiät, joihin hyökkääjä joutui.

Tämä johtaa parhaisiin käytäntöihin, joilla estetään hyökkääjiä pääsemästä sisään tulevaisuudessa, ja tunnistetun kehyksen noudattamisen varmistaminen on askel kohti parempaa yleistä turvallisuutta.

Manoj Bahtt, Club CISO:n neuvottelukunnan jäsen, sanoo, että organisaatioiden tulee ottaa käyttöön erityisiä valvontatoimia varmistaakseen, että ne ovat suojattuja kiristysohjelmia vastaan, ja ISO 27001:2022:ssa nämä ovat:

Turvallisuustietoisuuden koulutus
Järjestelmänvalvojan käyttöoikeudet pöytäkoneilla
Virustentorjunta/tunkeutumissuojajärjestelmä
Haavoittuvuuksien/määritysten hallinta
Tietojen varmuuskopiot

Lisäksi NIST CSF 2.0:ssa on kuusi luokkaa ohjaimia, jotka keskittyvät organisaatioiden suojaamiseen kiristysohjelmilta ja CIS-versio 8.0 – Control 8: Haittaohjelmien suojaus ehdottaa seuraavia hallintakeinoja, jotka voivat auttaa suojaamaan organisaatioita kiristysohjelmilta:

8.2 Varmista, että haittaohjelmien torjuntaohjelmistot ja allekirjoitukset on päivitetty
8.4 Määritä irrotettavan tietovälineen haittaohjelmien torjunta
8.5 Määritä laitteet niin, että ne eivät suorita sisältöä automaattisesti

Bhatt sanoi, että vaikka kehyksissä ei ole erityisiä valvontatoimia, jotka suojaavat kiristysohjelmilta, koska se on hyökkäysvektori, saatavilla on ohjeita, joiden avulla voit ottaa käyttöön asianmukaiset suojaukset ja vähentää vaikutuksen todennäköisyyttä.

Loppujen lopuksi kiristysohjelmat ovat edelleen merkittävä ongelma kaikille yrityksille, mutta voisi olla syytä harkita, onko tämä tapa vapauttaa itsesi. Ongelmana on kuitenkin työskentely rikollisten kanssa, ja uusi sektori ollaan muodostamassa nimenomaan auttamaan toimijoita tämän tilanteen käsittelemisessä.

Oikeiden suojausten ottaminen käyttöön, tarkastaja vahvistaa tietoturvatasosi ja noudattamalla kehyksen parhaita käytäntöjä koskevia suosituksia auttavat pitkälle varmistamaan, ettei sinun tarvitse tehdä tätä hämärää työtä.

Dan Raywood

Dan Raywood on kirjoittanut tietoturvasta vuodesta 2008 lähtien ja on entinen 451 Researchin tietoturvakäytännön analyytikko. Hän on puhunut näytöksissä, mukaan lukien 44CON, SecuriTay, SteelCon, Irisscon ja Infosecurity Europe, sekä kirjoittanut useille toimittajablogeille ja esittänyt webcast-lähetyksissä.

Lue lisää Dan Raywoodilta

tietoverkkoturvallisuus 30 syyskuu 2025

Aiheuttaako Grokin tietomurto GenAI:n tietoturvaongelmia?

Äskettäinen tapaus on herättänyt huolta siitä, miten GenAI-työkalut käsittelevät tietoja. Onko aika varmistaa, että tietosi eivät päädy heidän tietoihinsa...

Dan Raywood

tietoverkkoturvallisuus 29 toukokuuta 2025

IO-kyberturvallisuus ja yksityisyys NIST:n viitekehykselle annettiin kasvojenkohotus

Kyberturvallisuus ja yksityisyys: NIST:n viitekehys sai kasvojenkohotuksen

NIST ilmoitti hiljattain suunnitelmistaan päivittää yksityisyydensuojakehyksensä ja tehdä siitä orgaanisemman ja vähemmän staattisen tarjonnan. Onko tästä hyötyä käytännössä...

Dan Raywood

tietoverkkoturvallisuus 21 tammikuu 2025

nollapäivän haavoittuvuudet, miten voit valmistautua odottamattomaan banneriin

Nollapäivän haavoittuvuudet: miten voit valmistautua odottamattomiin?

Maailmanlaajuisten kyberturvallisuusvirastojen varoitukset osoittivat, kuinka haavoittuvuuksia usein hyödynnetään nollapäivähaasteena. Tällaisen arvaamattoman tilanteen edessä...

Dan Raywood