is onderhandeling jou beste strategie wanneer dit kom by ransomware-banier

Is onderhandeling jou beste strategie as dit by ransomware kom?

Eerder as om net 'n fooi te betaal om uit 'n ransomware-probleem te kom, kan jy jou uitweg met die regte stappe en vaardighede onderhandel? Dan Raywood kyk na die stories en opsies. 

Die afgelope jaar het 'n debat woed: moet jy 'n losprys aan 'n aanvaller betaal of nie? Vroeër vanjaar, voormalige hoof van die Britse nasionale kuberveiligheidsentrum, Ciaran Martin in 'n hoofartikel gesê dat losprysbetalings onwettig gemaak moet word. Dan, Jen Easterly, direkteur van die agentskap vir kuberveiligheid en infrastruktuursekuriteit gesê sy het nie sien dat 'n algemene verbod op die betaling van lospryse plaasvind.

Met of sonder 'n verbod op die betaling van lospryse, is daar 'n massiewe uitdaging hier: wanneer die slagoffer besmet is met losprysware, sien die slagoffer gewoonlik 'n skerm met 'n aanvraag vir betaling, die bedrag wat nodig is om die dekripsiesleutel te kry, en waarheen om die betaling te stuur. As hulle ongelukkig is, is daar soms 'n tydhouer vir wanneer die betaling verskuldig is, en dit kan lei tot die uitvee—of selfs uitlek—van data waarop beslag gelê is.

Ransomware-betalings is nogal die onbekende faktor. Daar is 'n paar waarvan ons weet: CNA Financial $40 miljoen betaal in 2021, terwyl casino-operateur Caesars $ 15 miljoen betaal verlede jaar. In die Verenigde Koninkryk, die 2023 Royal Mail aanvallers eis 'n betaling van $80 miljoen, wat het hulle bepaal om 0.5% van die Royal Mail se inkomste te wees.

Royal Mail het die bedrag as "absurd" afgemaak en gesê dat $80 miljoen "'n bedrag is wat nooit ernstig deur ons direksie opgeneem kan word nie." Dit veroorsaak wel 'n mate van oorweging van hoeveel slagoffers 'n losprys betaal - wanneer dit nie 'n absurde bedrag is nie - om die wanware te laat verdwyn.

Een van die probleme hier is dat daar geen werklike syfers is oor wie wat betaal nie, en daarom kan geen skaal op watter grootte betaling 'n oplossing wees nie.

Geen keuse as om te betaal nie?

As jy geen ander keuse het as om te betaal nie, staan ​​jy voor die vooruitsig van onderhandelinge. In hierdie geval werk jy met misdadigers: jy het geen idee wie hulle is, waar hulle vandaan kom of hoe goed georganiseerd hulle is nie.

Die leiding bestaan ​​nie, en die meeste daarvan moedig versigtigheid aan wanneer jy met die aanvallers praat, assesseer wat hulle het en nie meer inligting prysgee nie.

Alex Papadopoulos, direkteur van insidentreaksie en -gereedheid by Secureworks, sê die onderhandelingsproses gaan nie net oor die prys nie, maar ook om vir jouself tyd te koop. Dit is die moeite werd om te onderhandel om die aanvaller se posisie beter te verstaan.

“Wat ons uit ander mense se verslae lees, is dat hulle gewoonlik oop is vir onderhandeling omdat hulle besef dit is nie wonderlik vir besigheid as hulle 'n te harde lyn het nie; dan staan ​​hulle as heeltemal onredelik bekend,” sê hy.

Ook sal die onderhandelingsproses die aanvaller en slagoffer in staat stel om meer oor mekaar te leer. Papadopoulos sê die meeste losprysware-aanvalle is opportunisties, en hulle verstaan ​​nie wie die slagoffer is voordat hulle met hulle begin praat het nie.

"Hulle het nie die tyd en moeite gedoen om daardie navorsing te doen nie," sê hy. "Dus, deur die onderhandelingsproses wil hulle meer van jou verstaan ​​en dus wat jy kan betaal."

Dit lei tot onderhandeling oor die prys: soos ons in die voorheen genoemde gevalle gesien het, as die aanvallers te veel vra, sal die slagoffer nooit betaal nie. In ander gevalle vra aanvallers te min. Papadopoulos vertel 'n storie van toe sommige losprysware-aanvallers 'n eis vir €8 miljoen gemaak het, en die slagoffer het dadelik betaal aangesien die aanvaller nie die waarde besef het van wat hulle gegryp het en waarvoor hulle kon gevra het nie.

Versekeringsvereistes

Trouens, onderhandeling het 'n vereiste van versekeringseise geword. Waar maatskappye eens net onderhandelings- en betalingsuitruildienste aangebied het, sê Papadopoulos, "het onderhandeling 'n vereiste geword vir baie versekeringsmaatskappye."

Hy verduidelik dat "baie verskaffers van digitale forensiese en voorvalreaksie (DFIR) feitlik gedwing is om daardie effens skaduryke, effens grys area te betree" van onderhandeling met kubermisdadigers, en sê maatskappye moet mense hê wat gereed is om daardie taak te doen.

Dit lei tot die vereiste vir 'n doeltreffende en robuuste besigheidskontinuïteitsplan. As u dit oorweeg om aan ISO 22301 te voldoen, moet dit 'n oorweging wees om te verseker dat u 'n losprysaanval kan oorkom en aan die regte kant van wettigheid kan bly.

Maak 'n gat reg

Ná die onderhandeling is jy in die hande van die aanvaller om die dekripsiesleutel te kry, die stelsel te herstel en die gate reg te maak waar die aanvaller ingekom het.

Dit lei tot beste praktyk-opsies om te verhoed dat aanvallers in die toekoms toegang kry, en die versekering van voldoening aan 'n erkende raamwerk is 'n stap in die rigting van beter algehele sekuriteit.

Manoj Bahtt, adviesraadslid van Club CISO, sê daar is spesifieke beheermaatreëls wat organisasies moet ondersoek om te implementeer om te verseker dat dit teen losprysware beskerm word, en in ISO 27001:2022 is dit:

  • Sekuriteitsbewustheidsopleiding
  • Admin toegang op rekenaars
  • Anti-virus / Intrusion Protection System
  • Kwesbaarheid/konfigurasiebestuur
  • Rugsteun van data

Ook binne NIST CSF 2.0 is daar kontroles oor die ses kategorieë wat daarop fokus om organisasies teen losprysware te beskerm, en CIS weergawe 8.0 – Beheer 8: Wanware verdediging stel die volgende kontroles voor wat kan help om organisasies teen losprysware te beskerm:

  • 8.2 Maak seker teen-wanware sagteware en handtekeninge is opgedateer
  • 8.4 Stel anti-wanware-skandering van verwyderbare media op
  • 8.5 Stel toestelle op om nie inhoud outomaties te laat loop nie

Bhatt het gesê dat ten spyte daarvan dat daar geen spesifieke kontroles in raamwerke is om teen losprysware te beskerm nie, aangesien dit 'n aanvalvektor is, leiding beskikbaar is om jou te help om die regte beskerming in die eerste plek te implementeer en die waarskynlikheid van 'n impak te verminder.

Uiteindelik bly losprysware 'n groot probleem vir alle besighede, maar dit kan die moeite werd wees om te oorweeg of dit 'n manier is om jouself te bevry. Daar is egter die kwessie van werk met misdadigers, en 'n nuwe sektor word gevorm om praktisyns spesifiek te help om hierdie situasie te hanteer.

Om die regte beskerming in plek te hê, om 'n ouditeur jou vlak van sekuriteit te laat bevestig, en om 'n raamwerk se aanbevelings oor beste praktyke te volg, sal baie help om te verseker dat jy nie hierdie skaduryke werk hoef te doen nie.

skrywer

Dan Raywood

Dan Raywood het sedert 2008 oor IT-sekuriteit geskryf en is 'n voormalige ontleder in die inligtingsekuriteitspraktyk by 451 Research. Hy het gepraat by skoue insluitend 44CON, SecuriTay, SteelCon, Irisscon en Infosecurity Europe, sowel as skryf vir 'n aantal verskaffer blogs en aanbiedings op webuitsendings.

Sien alle plasings deur Dan Raywood

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!