در ثانيه ها، دقايق و گاهي ساعت هاي اوليه حمله، سازمان ها به حال خود رها مي شوند. اين لحظه اي از ضربه است که بسياري از سازمان ها آن را فلج کننده مي دانند، چيزي که حمله کنندگان براي آن برنامه دارند.
اين امر باعث مي شود اثرات حمله بدتر شود. در نهايت، شمار فزاينده اي از درخواست هاي کمک به وجود مي آيد و اين درخواست ها، ارزش تجربه هاي آن شرکت تامين کننده خدماتي را برجسته مي کند که شاهد مورد حمله قرار گرفتن شرکت هاي بسيار ديگر بوده است.
يکي از شرکت هايي که اين گونه درخواست هاي کمک را دريافت مي کند، AT&T و واحد کسب و کار خدمات امنيتي آن است. رئيس اين شرکت، داراي تجربه مستقيم کمک به قربانيان در اولين روز حمله است. او به کساني که نگران اين تهديد هستند، چه توصيه اي مي کند؟
او مي گويد «وقتي يک مشتري در زمان يک حمله باج افزاري تماس مي گيرد، هميشه وضعيت نابهنجاري است که توانايي مشتري در انجام کسب و کار به طور کامل متوقف شده است. نوعا، اين اولين باري است که آن ها دچار توقف کار در چنين سطحي شده اند.»
اولين ضربه به خود تيم IT به عنوان يک واحد عملکردي وارد مي شود. در بسياري از مواقع، تيم IT احساس مي کند مقصر حادثه است و اين ترس در کل تيم گسترش مي يابد.
بنا به تجربه او، مهم ترين مسئله اين نيست که برنامه پاسخ به حادثه وجود ندارد، بلکه قبلا به درستي تست نشده است و خود زنجيره فرماندهي ارتباط و تصميم گيري اولين موردي است که بايد تست خود را پس دهد.
بنابراين، بايد به صورت منظم برنامه پاسخ به حادثه امنيت سايبري خود را در کنار افراد و تکنولوژي امکان دهنده آن تست کنيد. در صورتي که تنها تست شما برگرفته از گفتگويي در يک جلسه ساده و بدون هيچ گونه فشار مختل شدن فعاليت کل سازمان باشد، حس امنيت شما کاذب خواهد بود.
تصميم گيرنده نهايي در چنين حادثه اي کيست؟ اغلب متوجه مي شويد که همزمان چند نفر دست خود را بالا مي آورند که نشان دهنده وضعيت مطلوبي نيست. توصيه من اين است که تنها يک فرد مي تواند مسئول تصميم گيري باشد.
تنها کنار هم قرار دادن چند فرد از يک MSSP طرف سوم، مشکل را حل نمي کند. آن شرکت نمي تواند به جاي شما تصميم گيري کند.
يکي از مسئولان خود شرکت بايد مسئوليت را بر عهده داشته باشد که در حالت ايده آل کسي است که قبلا حمله باج افزاري را ديده باشد. زيرا در صورت وم يک نفر بايد با تامين کنندگان خارجي، شرکا و نيروهاي انتظامي صحبت کند.
اولين سوال مد نظر هر قرباني در زمان حمله آن است که آيا حمله کننده هنوز در شبکه است و اگر اين طور است، خود را کجا پنهان کرده است.
اولين چيزي که تيم IT به سراغ آن مي رود، لوگ ها است که اميد دارند بخش هايي از حرکت و رويه ها و تکنيک هاي ابزار (TTPها) حمله کنندگان را آشکار نمايد.
نقص اين کار آن است که لوگينگ هميشه در تنظيمات پيش فرض دربردارنده داده هاي کافي نيست؛ براي مثال، تنها حاوي 30 روز آخر در يک کنترل کننده فهرست فعال (AD) است.
توصيه اين است که لوگينگ را حداقل در مورد سرورهاي مهم به چند ماه افزايش دهيد. تنها در اين صورت چنين امکاني وجود خواهد داشت که ريشه نقضي که براي اجتناب از تکرار حادثه لازم است را کشف کنيد.
حمله کنندگان مي توانند در برخي موارد تا 230 روز در شبکه شما باشند و لوگ هاي شرکت شما تنها مربوط به 30 روز پيش هستند. اين مدت 30 روزه ديگر جواب نمي دهد.
چاره جويي بعدي استفاده از پچينگ است که از آن چه به نظر مي رسد دشوارتر است. در بسياري موارد، افراد داراي موجودي دارايي مشخصي نيستند.
در صورتي که ندانيد در شبکه شما چيست و موجودي هاي شما چه زماني به روز شده است، کار زيادي نمي توان به لحاظ توقف انتشار انجام داد.
براي بازيابي حمله، تنها موجودي معنادار داراي، آني است که در زمان واقعي عمل کند و هر زماني که دارايي جديدي ديده مي شود، افزوده گردد. سازمان ها نمي توانند آن چه را که قادر به ديدن يا دانستن نيستند، ايمن نگه دارند، که اين مورد نه تنها شامل ابزارهاي فيزيکي مي شود بلکه اندوختگاه هاي ابري، ذخيره ها، اپليکيشن ها و هر نوع سروري را نيز در بر مي گيرد.
سال ها است که امکان کشف دارايي زمان واقعي به واسطه موتورهاي موجودي دارايي آنلاين وجود دارد و اين نشان مي دهد که اين کار، تکليف چندان سنگيني نيست.
همه سازمان ها پشتيبان گيري را اجباري مي کنند اما همه پشتيبان ها در زمان حمله باج افزاري مفيد نيستند.
اولين مشکل آن است که سازمان ها هميشه آن ها را تست نمي کنند. اين به معناي در ذهن داشتن مفروضات بدبينانه در مورد وضعيت خود شبکه است.
پشتيبان گيري مسئله ساده اي است، اما بايد آن ها را از آن نقطه نظر تست نماييد که با استفاده از آن ها، بدون دسترسي به منابع خاص، قادر به راه اندازي مجدد سيستم باشيد.
پشتيبان اصلي سنتي داراي قالب 3-2-1 است که به واسطه آن پشتيبان هايي از انواع مختلف رسانه ها در مکان هاي مختلف از جمله آفلاين و آنلاين توليد مي کنند.
اما در صورتي که يک يا تعداد بيشتري از آن ها به نحوي مختل شده باشد – يک مسئله اتصال نشات گرفته از حمله – استراتژي پشتيبان گيري نقطه ضعف خود را آشکار مي کند.
در مواد زيادي سازمان ها فکر مي کنند پشتيبان را تست کرده اند اما اغلب آن را به اندازه کافي در شرايط واقعي تست نکرده اند. علاوه بر اين، تمرين بازيابي مي تواند کشف ساير نقاط ضعف را در پي داشته باشد.
معمولا اين گونه نقاط ضعف در ارتباط با کيفيت پشتيبان هستند که به نوبه خود با شکل گيري پشتيبان هاي بهتر در زمان نياز به آن ها خواهد شد. ساده ترين راه براي گنجاندن تست هاي کامل و دقيق آن است که فردي به عنوان مسئول اين کار مشخص کنيد.
اين که بايد باج را پرداخت کرد يا خير از همان حملات ابتدايي در حدود يک دهه پيش، مورد اختلاف بوده است و هنوز پاسخ مشخصي براي آن وجود ندارد. آيا پرداخت باج مي تواند به سادگي مشکلات بيشتري را در آينده به دنبال داشته باشد؟
توصيه ما اين است که باج را پرداخت نکنيد زيرا احتمال اين که داده هاي خود را پس بگيريد، مشخص نيست. مهم تر آن که بدين صورت، امکانات بيشتري براي تهديد خود در اختيار آن ها قرار مي دهيد. يک نگراني ديگر اين است که تبديل پرداخت باج به بخشي از استراتژي امنيت سايبري خطر تضعيف اقدامات کنترلي را در پي دارد که با استفاده از آن ها مي توانيد در همان مرحله اول از نياز به پرداخت باج اجتناب کنيد.
مي توانيد به جاي اين کار، همان پول را روي امنيت سايبري خود سرمايه گذاري کنيد و خطر افشا را کاهش دهيد.
يک مسئله عمده براي بسياري از سازمان هاي کوچک تر، هدايت مهارت ها و سرمايه گذاري لازم جهت دفاع از خود بوده است. وقتي نياز به جراحي داشته باشيد به سراغ جراح مي رويد. اگر فکر مي کنيد اين کار را خودتان مي توانيد انجام دهيد، به خود آسيب خواهيد رساند.
انتخاب يک MSSP در بازاري مزدحم، آسان نيست. بهترين کار گشتن به دنبال شريکي است که نه تنها بتواند به شما بگويد مشکل چيست بلکه آن را حل کند. با اين حال، از آن جا که وضعيت با ظاهر شدن حملات جديد، تقريبا به سرعت در حال تغيير است، چنين امري مستم آن است که تامين کننده قادر باشد نشان دهد از توانايي سرمايه گذاري و نوآوري در طول زمان برخوردار است.
درباره این سایت