Ανάκτηση από μια επίθεση στον κυβερνοχώρο | Dell Technologies
KategorieΑκίνητα

Ανάκτηση από μια επίθεση στον κυβερνοχώρο | Dell Technologies

März 6, 2023 0 Von admin

Η σύγχρονη κυβερνοασφάλεια είναι όμηρος δύο ανησυχητικών βεβαιοτήτων. Το πρώτο είναι ότι όσο καλές και αν είναι οι άμυνες ενός οργανισμού, ένας επιτιθέμενος θα βρει τελικά τρόπο να τους παρακάμψει. Το δεύτερο είναι η καταθλιπτική πιθανότητα ότι ένα περιστατικό επανάληψης είναι σχεδόν αναπόφευκτο.

Οι επιθέσεις ransomware προσφέρουν ένα χαρακτηριστικό παράδειγμα. Σύμφωνα με την Trend Micro, αυτός ο τομέας του εγκλήματος στον κυβερνοχώρο είναι ανθεί, με τον αριθμό των θυγατρικών ransomware να αυξάνεται κατά 63% το πρώτο τρίμηνο του 2022 σε ετήσια βάση. Εν τω μεταξύ, δεδομένα από ιστότοπους διαρροής που δημοσιεύουν τα ονόματα των οργανώσεων που αρνήθηκαν να πληρώσουν λύτρα δείχνουν ότι ο αριθμός των θυμάτων αυξήθηκε κατά 30% την ίδια περίοδο.

Πολλά από αυτά τα θύματα αναμφίβολα πίστευαν ότι είχαν διαμορφώσει ένα καλό σχέδιο κυβερνοασφάλειας, είχαν δημιουργήσει επαρκή αντίγραφα ασφαλείας για να αντισταθούν στην κρυπτογράφηση δεδομένων και είχαν αρκετά συστήματα ανίχνευσης απειλών για να τους προειδοποιήσουν έγκαιρα για προβλήματα και ωστόσο εξακολουθούσαν να βρίσκονται σε κίνδυνο. Κάποιοι μπορεί ακόμη και να έχουν υιοθετήσει στοιχεία του βιομηχανικού προτύπου Πλαίσιο NIST το οποίο καλεί τους οργανισμούς να βασίσουν τη στρατηγική τους στον κυβερνοχώρο γύρω από τα πέντε λογικά στάδια αναγνώρισης, προστασίας, ανίχνευσης, απόκρισης και ανάκτησης.

Από αυτά, η ανάκτηση είναι αναμφισβήτητα η πιο δύσκολη για να γίνει σωστή. Κάντε οποιοδήποτε λάθος στα πρώτα τέσσερα στάδια και είναι το στάδιο της ανάρρωσης όπου ο πόνος θα γίνει πιο έντονα αισθητός. Σε αυτό το στάδιο θα αποφασιστεί ο μακροπρόθεσμος οικονομικός αντίκτυπος μιας επίθεσης. Πώς πρέπει λοιπόν οι οργανισμοί να βελτιστοποιήσουν την ανάκτησή τους;

Διαδικτυακό σεμινάριο Cyber ​​Resilience

Η ανάκαμψη είναι ένα λάκκο χρημάτων

Τα στοιχεία που δημοσιεύθηκαν μέσω της Ομάδας Εργασίας Βιομηχανίας Ransomware (RTF) διαπίστωσαν ότι ο μέσος χρόνος διακοπής λειτουργίας από μια επίθεση ransomware έφτασε τις 21 ημέρες, ενώ ο χρόνος για τα θύματα να επαναφέρουν όλα τα επηρεαζόμενα συστήματα υπολογίζεται σε 287 ημέρες. Αυτές οι καθυστερήσεις κάνουν τεράστια διαφορά στο ενδεχόμενο κόστος μιας επίθεσης, επειδή έχουν άμεση επίδραση στις επιχειρηματικές δραστηριότητες. Ωστόσο, προκύπτει ότι οτιδήποτε βελτιστοποιεί την ανάκτηση θα μειώσει αυτά τα κόστη και θα βελτιώσει την απόδοση της επιχείρησης.

Πάντα να δοκιμάζετε την απόκριση περιστατικού

Κάθε οργανισμός έχει ένα σχέδιο αντιμετώπισης περιστατικών, αλλά πολλοί έχουν τρύπες που έρχονται στο φως μόνο σε συνθήκες έκτακτης ανάγκης. Για παράδειγμα, μπορεί να μην κατανοήσουν όλοι τον ρόλο τους με αρκετή λεπτομέρεια σε μια εποχή που οι υπεύθυνοι λήψης αποφάσεων έχουν υπερφορτωθεί και δεν επικοινωνούν. Αυτό υπογραμμίζει δύο σημεία, το πρώτο είναι ότι η πρώτη απάντηση είναι τόσο επιχειρηματικό όσο και IT. Κάθε τμήμα της επιχείρησης πρέπει να κατανοεί το σχέδιο, όχι μόνο οι άνθρωποι της πληροφορικής. Δεύτερον, ένα σχέδιο δεν είναι σχέδιο εκτός εάν η ροή εργασιών και οι παραδοχές του έχουν δοκιμαστεί εκ των προτέρων.

Ποια δεδομένα έχουν σημασία;

Κάθε οργανισμός δημιουργεί αντίγραφα ασφαλείας των δεδομένων του, αλλά είναι αυτά τα πιο σημαντικά δεδομένα και έχει δοκιμαστεί πλήρως η επαναφορά τους; Οι οργανισμοί θα πρέπει να αξιολογούν ποια επιχειρηματικά κρίσιμα δεδομένα είναι απαραίτητα για την ανάκτηση (Active Directory, ελεγκτές τομέα), δίνοντας προτεραιότητα στην προστασία τους καθώς και δοκιμάζοντας πόσο εύκολα μπορούν να αποκατασταθούν. Το ίδιο θα πρέπει να γίνει και για τα δεδομένα πελατών με έμφαση εδώ στην προστασία τους από κλοπή. Η επιτυχία και η αποτυχία εδώ είναι ένα δυαδικό ζήτημα. Ένα δεδομένο έχει χαθεί –ακόμη και κρυπτογραφημένα δεδομένα– έχει φύγει για πάντα και παραμένει δυνητικά ευάλωτο για δεκαετίες.

Το αμετάβλητο αντίγραφο ασφαλείας δεν είναι άτρωτο

Οι επιτιθέμενοι κατανοούν τον ρόλο του backup και γι‘ αυτό το στοχεύουν τώρα με αυξανόμενη πολυπλοκότητα. Αυτό είναι συνήθως θέμα χρόνου – όσο περισσότερο είναι ένας εισβολέας μέσα σε ένα δίκτυο, τόσο πιο πιθανό είναι να έχει βρει έναν τρόπο να παρακάμψει τις ρουτίνες δημιουργίας αντιγράφων ασφαλείας ενός οργανισμού. Ένα καλό παράδειγμα είναι οι αμυνόμενοι που βασίζονται πολύ σε αμετάβλητο αντίγραφο ασφαλείας, παρόλο που οι εισβολείς μπορούν να το αλλάξουν ή να το απενεργοποιήσουν κάνοντας κακή χρήση των διαπιστευτηρίων διαχείρισης.

Θα λειτουργήσει η επαναφορά των αντιγράφων ασφαλείας;

Ένα συνηθισμένο λάθος είναι να δημιουργείτε αντίγραφα ασφαλείας χωρίς να προσπαθείτε να τα επαναφέρετε για να δείτε ότι αυτή η διαδικασία λειτουργεί σωστά. Επιπλέον, αυτή η δοκιμή θα πρέπει πάντα να διεξάγεται σε ένα ευρύ φάσμα συστημάτων και όχι μόνο σε μία μόνο δοκιμαστική κλίνη. Ουσιαστικά, οι δοκιμές αντιγράφων ασφαλείας θα πρέπει να γίνονται τακτικά. Αυτό είναι επιπλέον της δημιουργίας αντιγράφων ασφαλείας σε έναν απομονωμένο χώρο που δεν είναι προσβάσιμος από το δίκτυο παραγωγής.

Η υλοτομία είναι ο καλύτερος φίλος ενός αμυντικού

Οι περισσότερες επιθέσεις περιλαμβάνουν εισβολείς που διακυβεύουν ένα αδύναμο σύστημα για να το χρησιμοποιήσουν ως προγεφύρωμα για πλευρική κίνηση Αυτή η πρόσβαση, ή ο χρόνος παραμονής, συχνά διαρκεί εβδομάδες ή μήνες. Ωστόσο, κάθε ενέργεια από έναν εισβολέα θα αφήσει ένα ίχνος που εμφανίζεται μέσα στα αρχεία καταγραφής, γι‘ αυτό και η ανάλυση αρχείων καταγραφής είναι τόσο σημαντική. Η καλή ανάλυση αρχείων καταγραφής είναι απαραίτητη για την ανάκτηση, επειδή υποδεικνύει την αδυναμία που επέτρεψε στους εισβολείς να εισέλθουν στο δίκτυο και δίνει στους υπερασπιστές έναν τρόπο να κλείσουν την πόρτα του αχυρώνα. Το πρόβλημα είναι ότι οι επιτιθέμενοι προσπαθούν να καλύψουν τα ίχνη τους διαγράφοντας αρχεία καταγραφής και γι‘ αυτό είναι λογικό να τους προστατεύσουμε χρησιμοποιώντας ένα σύστημα SIEM εκτός σύνδεσης.

Η σημασία της αυτοματοποιημένης ανάκτησης

Μία από τις πιο χρονοβόρες εργασίες για την ανάκτηση είναι η ανοικοδόμηση του περιβάλλοντος. Επειδή το πρωτότυπο είναι ύποπτο ή έχει παραβιαστεί, αυτό σημαίνει συχνά την επανεκκίνηση, την επαναφορά της Active Directory και των ελεγκτών τομέα πριν από τη συμπλήρωσή τους χρησιμοποιώντας αντίγραφα ασφαλείας δεδομένων. Αυτή η λειτουργία είναι συχνά μέρος των συστημάτων αποκατάστασης καταστροφών, αλλά αυτό δεν σημαίνει ότι είναι εύκολο να δουλέψετε με κάθε σύστημα.

Ενοποίηση αποκατάστασης καταστροφών

Η δυνατότητα ανάκτησης ενός περιβάλλοντος χρησιμοποιώντας μια ενιαία πλατφόρμα αντί για αποσπασματικά εργαλεία είναι ένα μεγάλο πλεονέκτημα. Ένα παράδειγμα αυτού του τύπου λύσης είναι Dell PowerProtect Cyber ​​Recovery. Αυτό περιλαμβάνει εργαλεία και υπηρεσίες για κάθε στάδιο της σχεδίασης αντιγράφων ασφαλείας, συμπεριλαμβανομένης της κατανόησης των συστημάτων που πρέπει να προστατεύονται, του τρόπου απομόνωσης δεδομένων σε ένα αποκλειστικό θησαυροφυλάκιο χωρίς φόβο συμβιβασμού από τον διαχειριστή και του τρόπου αυτοματοποίησης της διαδικασίας ανάκτησης για γρήγορη επαναφορά.

Δωρεάν Αξιολόγηση Ασφαλείας

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert