Η Trend Micro, παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, δημοσίευσε τα πέντε βήματα – κλειδιά για την αμεσότερη και πιο αποτελεσματική αντιμετώπιση των επιθέσεων κυβερνοασφάλειας. Η μελέτη έχει στόχο να μειώσει τον αντίκτυπο τέτοιων επιθέσεων σε οργανισμούς και επιχειρήσεις.
Οι παραβιάσεις κυβερνοασφάλειας στο σύγχρονο υπολογιστικό περιβάλλον είναι αναπόφευκτες. Οι μόνες μεταβλητές είναι πότε θα συμβούν, πόσο σοβαρές θα είναι και πόσο προετοιμασμένος θα είναι ένας οργανισμός να τις αντιμετωπίσει. Οι προηγμένες τακτικές προστασίας είναι απαραίτητες, αλλά ένα ισχυρό πλέγμα ασφαλείας πρέπει να περιλαμβάνει και μία καλά καθορισμένη διαδικασία απόκρισης σε περιστατικά.
Φυσικά, αυτή η διαδικασία, που ποικίλλει ανάλογα με τις μοναδικές συνθήκες κάθε οργανισμού, θα πρέπει να καλύπτει τα βήματα που απαιτούνται για τον εντοπισμό, τον περιορισμό και την ανάκτηση από μια επιτυχημένη επίθεση, καθώς και όλες τις ευθύνες και τα κανάλια επικοινωνίας, τη εμπλοκή νομικού συμβούλου και τις διαδικασίες μετά την επίλυση.
- Η ειδοποίηση
Το πρώτο, και βασικότερο, βήμα για την αποτελεσματική αντιμετώπιση μίας επίθεσης και τον περιορισμό των ενδεχόμενων αντίκτυπών της είναι η ειδοποίηση. Όσο γρηγορότερα ειδοποιηθούν οι ομάδες, αρμόδιες για τη προστασία στο κυβερνοχώρο, τόσο το γρηγορότερο θα εξετάσουν την κατάσταση και θα καταλήξουν στους κατάλληλους τρόπους αντιμετώπισης. Έτσι, οι πάροχοι ασφαλείας οφείλουν να ενημερώνουν τους πελάτες τους για νέες απειλές ransomware, που στοχεύουν τις επιχειρήσεις τους, αλλά και να τους προμηθεύουν με εργαλεία για τον άμεσο εντοπισμό και απόκριση των απειλών, όπως η πλατφόρμα Extended Detection and Response (XDR).
- Περιορισμός της εξάπλωσης
Από τη στιγμή που θα ενημερωθεί η ομάδα για μία δυνητικά απομακρυσμένη σύνδεση, μίας μη εξουσιοδοτημένης διεύθυνσης IP, με το διακομιστή αρχείων και την παραβίαση δεδομένων, πρέπει να φροντίσει να περιορίσει άμεσα την περαιτέρω εξάπλωση. Πρέπει, λοιπόν, να διαπιστώσει το βαθμό στον οποίο έχει εξαπλωθεί η επίθεση, να εντοπίσει τον ευαίσθητο κρίκο και να απομονώσει κάθε συσκευή που είχε αλληλεπιδράσεις με τη μη εξουσιοδοτημένη διεύθυνση IP.
- Συγκέντρωση υπόπτων
Έχοντας, λοιπόν, υπόψιν, ότι η κυβερνοεπίθεση ενδέχεται να έχει εξαπλωθεί, η ομάδα οφείλει να θεωρεί κάθε συσκευή ως μία δυνητική απειλή. Έτσι, πρέπει να σαρώσει ολόκληρο το δίκτυο και τις συσκευές, ψάχνοντας για ενδείξεις απώλειας δεδομένων, μη νόμιμες εγκαταστάσεις λογισμικού ή άλλα δυνητικά στοιχεία ένδειξης (IOC).
- “Κλείνοντας κάθε πόρτα”
Μετά την έγκαιρη ειδοποίηση, τον άμεσο περιορισμό της εξάπλωσης και τον εντοπισμό των υπόπτων, η ομάδα πρέπει να μεταφορτώσει όλα τα εντοπισμένα IOC στο δίκτυο για περιμετρική προστασία. Αυτό προσφέρει το εξής πλεονέκτημα: αν υπάρχουν μολυσμένες μηχανές που δεν έχουν εντοπίσει, μπορούν να παρακολουθούν την περίμετρο για αποκλεισμένη δραστηριότητα που σχετίζεται με τα IOC, να ανιχνεύσουν την πηγή και να περιορίσουν τις επιπτώσεις. Έτσι, δεν αναγνωρίζονται μόνο οι μολυσμένες συσκευές αλλά και οι σχετιζόμενοι χρήστες, περιορίζοντας προσωρινά τα δικαιώματά τους για να αποτραπεί οποιαδήποτε κατάχρηση.
- Πάντα σε ετοιμότητα
Σύγχρονες λύσεις αυτοματοποίησης, όπως η πλατφόρμα XDR, καθιστούν ευκολότερο τον εντοπισμό επιθέσεων, αλλά και αμεσότερη την αντιμετώπισή τους. Η τεχνολογία αιχμής, όμως, απαιτεί και μία καλά συγκροτημένη ομάδα αντιμετώπισης απειλών. Σε πολλές περιπτώσεις η προσέγγιση zero trust μειώνει δραστικά τις παραβιάσεις και βοηθά να αποφεύγονται κρίσιμες καταστάσεις. Πρέπει, επίσης, να επανεξετάζεται όλο το εγκατεστημένο λογισμικό ασφαλείας, με στόχο τη διασφάλιση της κατάλληλης εφαρμογής των σωστών πολιτικών για την επόμενη φορά.
Είναι κρίσιμο, λοιπόν, σε κάθε περιστατικό κυβερνοεπίθεσης να υπάρχει ένα καλά καθορισμένο πλάνο απόκρισης, καλύπτοντας όχι μόνο τα τεχνικά βήματα αλλά και διευκρινίζοντας τις σχετικές αλυσίδες αποφάσεων. Οργανισμοί που δεν είναι σίγουροι πώς να αναπτύξουν ένα περιεκτικό πλάνο απόκρισης σε κυβερνοεπιθέσεις μπορούν να απευθυνθούν σε συνεργάτες τρίτων για βοήθεια. Η Trend Micro έχει συνεργαστεί, για το σκοπό αυτό, με τη Net Diligence, προσφέροντας την υπηρεσία Breach Plan Connect, η οποία βοηθά στην ανάπτυξη εξατομικευμένων πλάνων απόκρισης σε περιστατικά.