Reakčný plán krok za krokom
Najlepšou obranou je útok. Teda riešenia, ktoré nielen aktívne detekujú hrozby, ale im aj aktívne bránia a samy tvoria protiopatrenia. O kybernetických útokoch sa s nami pobavil Tomáš Vobruba, Lead Security Engineer zo spoločnosti CheckPoint Software Technologies, lídrom v oblasti kybernetickej bezpečnosti a my sme sa pýtali….
Akým kyberútokom čelia firmy na Slovensku najčastejšie?
Ak sa pozrieme na aktuálny CheckPoint report, ktorý mapuje útoky vo svete aj na Slovensku, kyberútokom rozhodne dominuje ransomware. V prvom polroku 2022 narástol počet ransomware incidentov o 42%. Netreba však zabúdať aj na druhé miesto v rebríčku, kde je dlhodobou stálicou skupina kryptominerov a bankový malware.
Aký je dlhodobý trend?
Trend je jednoznačný – malvér dnes slúži predovšetkým k monetizácii a obohateniu. Už nejde o žiadne amatérske aktivity, či zlomyseľnosť. V realite čelíme strategickým kyberútokom so silnou motiváciou zisku, čo vypovedá aj o vážnosti situácie, v akej sa aktuálne nachádzame.
Čo zvyknú firmy v zabezpečení podceniť?
V praxi sa stretávame s niekoľkými zjednodušenými scenármi:
„Zálohovanie ma vždy zachráni.“
Nie je to tak. Síce zálohujete, a robíte to aj kvôli ransomware útoku, ale nikto už nerobí plán obnovy, a najmä z času na čas jeho testovanie. V prípade úspešného útoku potom prichádzajú nepríjemné prekvapenia.
„Mňa sa to netýka, kto by si už u mňa niečo vzal.“
Ale malware, a zvlášť ransomvér, sa nepýta, kto ste a čo máte.
„Druhýkrát sa nám to snáď nestane. Nebudem investovať ďalšie peniaze, už som predsa stratil dosť“
Voláme to aj posttraumatické vytriezvenie. Útok prebehol, spamätali sme sa zo straty a čo ďalej? Počiatočné nadšenie rýchlo vyprchá spolu s faktúrou na odstránenie škôd a ponukou prevenciu, ktoré môžu byť veľmi vysoké.
Najlepšou obranou je prevencia – platí tento výrok aj v kybernetickej bezpečnosti?
Je to najmä o výbere vhodnej technológie. Je predsa lepšie prečítať si záznam v logu: „Malvér bol detekovaný a zastavený, ransomvér bol automaticky sanovaný“, ako čítať toto: „Pozri, síce tu vidím nejaký ransomvér, ale neviem ho zastaviť, tak si poraď, milý admin, ako vieš.“ Navyše, zistiť to môžete až po niekoľkých hodinách, a to už môže byť veľmi vážny problém.
Reakčný plán plán krok za krokom. Aké sú základné princípy?
Platí jednoduchý postup – identify, protect, detect, respond, and recover. Je ľahké napísať to na papier a do smerníc, ale realita môže byť úplne odlišná. Dobré je nadýchnuť sa a začať racionálne uvažovať. Aj panika typu „všetko vytrhnúť zo siete“ môže byť prospešná.
Cvičenie a dôsledná príprava však robí majstra. Aby bola reakcia na útok efektívna, je nutné rozpoznať veľkosť škôd, mať plán odstavenia infraštruktúry, mať response tím, SOC, zber logov a ďalšie technológie. Na reakčné plány musíte mať aj dostatok zdrojov (ľudí aj financií), aby ste túto aktivitu zvládli sami, a to môže byť problém.
Je možné outsourcovať aj reakčné a recovery služby?
Áno. Firmy si môžu vybrať vhodného partnera, ktorý im odporučí vhodné technológie a zaistí dohľad a recovery plány. Napríklad IXPERTA ponúka vlastné SOC a IRT tímy (Incident Response Team). Vie firmám pomôcť s procesmi, aj technologicky.
Chcete sa orientovať v technológiách a najnovších trendoch v oblasti kybernetickej bezpečnosti? Neváhajte a pridajte sa k nám na SECURITY NIGHT, 20. októbra 2022 v Košiciach.
Kto všetko v firme by mal byť do reakčného plánu zapojený?
Pri plánovaní na incident response by nemal byť iba CISO, ale aj celý C-level manažment vrátane človeka, ktorý dokáže ohodnotiť aktíva a firemné bohatstvo a ich riziká. Tieto informácie sú smerodajné pri definovaní postupov, ktoré môžu byť úplne iné v bankovom, štátnom, alebo silovom prostredí, či menšej výrobe, alebo spoločnosti s 10 zamestnancami. Áno, aj tieto spoločnosti musia myslieť na reakčný plán, pretože ransomvér môže byť pre nich existenčne likvidačný.
Ale predovšetkým, musíte mať podporu u majiteľa firmy, ktorý je na konci dňa sponzorom tejto aktivity. Niekedy je však ťažké majiteľov presvedčiť, bohužiaľ. Na jednej strane rozumiem úvahám majiteľa malej lakovne poľnohospodárskych strojov, ktorý investuje skôr do výroby, ako do zabezpečenia. Ale čo ak takáto firma príde o jediné dva počítače s účtovníctvom a kontaktmi? Čo potom?
Ako útok komunikovať?
Záleží od závažnosti problému a tiež od toho, kde sa útok odohráva, od krajiny a jej legislatívy, odvetvia, a veľkosti firmy. Je to veľmi rôznorodé. U nás je napríklad vhodné (a niekedy aj nutné) informovať SK-CERT. S konkrétnymi postupmi vedia pomôcť práve SOC tímy a technológie.
S akým kurióznym prípadom si sa v praxi stretol?
U jedného zákazníka sme robili pomocou našich zariadení kontrolu infraštruktúru, či je z pohľadu kybernetickej bezpečnosti v poriadku. Ihneď po zapojení sme detekovali aktívny ransomvér útok o ktorom nevedela ani existujúca antivírusová ochrana, a ani IT oddelenie. Kuriózne, aj napriek týmto skutočnostiam, spoločnosť daný problém nechcela riešiť a na ochranu do budúcnosti ani nereagovala.
Kyberútoky už viac nie sú o amatérskych aktivitách a zlomyseľnosti. V realite čelíme strategickým kyberútokom so silnou motiváciou zisku, čo vypovedá aj o vážnosti situácie, v akej sa aktuálne nachádzame. Hovorí Tomáš Vobruba, Lead Security Engineer v Check Point Software Technologies Ltd.
Je naozaj najlepšou obranou prevencia? Ako reagovať keď zistíte, že ste sa stali obeťou kybernetického útoku? Ďakujeme Tomáš sa skvelý rozhovor a užitočné informácie.
Chcete sa orientovať v technológiách a najnovších trendoch v oblasti kybernetickej bezpečnosti? Neváhajte a pridajte sa k nám na SECURITY NIGHT, 20. októbra 2022 v Košiciach.