Știm cu toții aproape că în prezent tehnologia este folosită foarte mult în diverse activități. Ceea ce nu știm noi este faptul dacă link-urile pe care le accesăm, site-urile pe care navigăm sau jocul pe care îl descărcăm sunt sigure.
Nu ne dorim ca în urma activității noastre să ne alegem cu un virus sau mai rău cu un atac cibernetic al unui hacker sau a unei organizații rău intenționate.
Azi vreau să vă spun o poveste a cărei final nu a fost unul fericit. Este o întâmplare care s-a petrecut în afara granițelor, mai exact în Statele Unite ale Americii. Este de menționat faptul că situații asemănătoare se întâmplă și la noi în țară. Despre asta o să vă povestesc într-un alt articol.
Subiectul nostru este una dintre marile companii numită Colonial Pipeline . S-a confruntat cu un atac cibernetic de mare amploare, acesta simțindu-se de la un capăt la celălalt al țării.
Organizația infracțională care a demarat operațiunea se numește Darkside. În următoarele vă voi prezenta cum a decurs totul, începând de la atac până la plata răscumpărării.
Procesul de infiltrare
Având ca țintă marile companii americane, cei de la Darkside folosesc tehnici pentru a pătrunde în rețea iar periclitarea este rapidă.
Persoanele care se ocupă de partea de amenințare intră pe un dispozitiv, se legitimează ca utilizator, dezactivează instalarea codului rău intenționat în obiectivul final pătruns.
Următoarea mișcare a infractorilor cibernetici este extinderea privilegiilor și mișcarea laterală în rețea. Fac aceasta pentru a fortifica accesul la cele mai sensibile informații ale companiei.
Odată securizate informațiile sunt de obicei retrase din sistem și apoi criptate, începe procesul de răscumpărare în care se promite decriptarea datelor odată ce compania plătește prețul specificat la cerere. Este de la sine înțeles că plata răscumpărării nu-ți garantează recuperarea datelor pierdute.
Estimările arată că de-a lungul timpului 30-35% din companiile care au plătit răscumpărarea încă nu-și pot recupera datele.
Viteza atacului cibernetic duce la o perioadă de oprire și pierderi financiare catastrofale.
Acest atac particular a acaparat într-un mod incredibil de rapid rețeaua. Din momentul în care compania Colonial Pipeline a descoperit că mediul lor IT a fost infiltrat până la reducerea parțială a operațiunilor a fost un total de șase zile.
Au avut pierderi financiare datorită închiderii din ziua cu numărul șase. Le-au plătit răscumpărarea celor de la Darkside la scurt timp după ce au observat întreruperea. Plata răscumpărării a fost raportată la suma de aproape 4,4 milioane $.
Ce lecții putem să învățăm din acest atac cibernetic?
Am extras pentru voi câteva lecții pe care ar trebui să le reținem. Iată ce am considerat că este important:
1) Atacurile cibernetice se pot întâmpla oricui: întrebarea este „când„, nu „dacă„
Nici o organizație nu este protejată complet împotriva unui atac, chiar dacă firewall-urile sunt puternice și rețelele sunt segmentate corespunzător. Se recomandă focusarea pe implementare a unor instrumente pentru monitorizarea activă și detectarea modificărilor pentru toate echipamentele IT, astfel la posibile amenințări să fie identificate cât de repede posibil.
2) Noua normă: atacurile cibernetice vor crește doar de la an la an
Companiile ar trebui să privească atacul de la C.P. ca pe un fapt real și nu ca pe o neregularitate. Agenția de securitate și infrastructură cibernetică (CISA – Cybersecurity and Infrastructure Agency) a trimis avertizări cu privire la următoarele atacuri din acest an.
Atacurile softurilor rele cum ar fi Gluxnet, Wanna cry și NotPetya au avut succes până acum.
3) Un pas important în sporirea securității cibernetice este să unim toate echipamentele IT
Nu poți securiza ce nu vezi. Organizațiile de infrastructură critică ar trebui să prioritizeze identificarea tuturor echipamentelor, a punctelor slabe cum ar fi sistemele de operare învechite.
După identificarea activelor este important să se înceapă protejarea lor de modificări ostile sau neglijente. Modificările neautorizate din activele IT pot fi ușor identificate prin monitorizarea constantă. O altă metodă ar fi gestionarea modificărilor care face automat o copie de rezervă a datelor de pe dispozitivele IT și o compară cu datele corespunzătoare de pe server.
Dacă se detectează vreo diferență personalul care se ocupă de acest lucru, este alertat să investigheze posibile probleme de securitate.
4) Adoptarea politicii de securitate zero încredere la punctele sensibile pentru o securitate puternică
Protejarea unui singur perimetru nu mai este o opțiune pentru afaceri. O dată ce hackerii intră în perimetru, au libertate de mișcare în tot mediul IT.
Această metodă a fost înlocuită de politica de securitate „zero încredere” – se verifică toți și toate care încearcă să se conecteze la sistem, nu permite accesul oricui.
Metoda de aplicare cu „lista albă” este considerată de aur deoarece începe să blocheze atacurile cu viruși și alte softuri rău intenționate. Acest instrument permite numai softurilor de încredere să ajungă la punctele sensibile și la servicii, în timp ce le blochează pe celelalte.
Puterea de protecție a companiei de atacurile cibernetice este în mâinile tale.
Iată câteva etape pentru reclădirea companiei după un atac cibernetic:
- Rata riscului de securitate
- Cum arată planul tău de securitate față de concurență
- Recomandări specifice pentru modificarea planului de securitate și evitarea atacurilor costisitoare
- Plan solid de recuperare și continuitate a afacerii înainte de a avea nevoie de unul
- Plan de acțiune care să cuprindă următorii pași
În următorul articol vă voi explica câțiva termeni specifici des întâlniți în această parte întunecată a zonei IT.
Dar până atunci ține minte un lucru KEEP SAFE your system, it’s better
Eroare: Nu am găsit formularul de contact.
[…] colosală pentru a avea din nou acces la fișierele tale. Mulți dintre noi cunosc pe cineva care a experimentat atacurile acestora. Specific lor este faptul că te exploatează prin metoda înșelăciunii prin […]