6 lekcji, które można wyciągnąć z ataków ransomware na firmę Kaseya

Udostępnij

Ostatnie głośne ataki ransomware na firmy Kaseya i Colonial Pipeline były dotkliwe: cyberprzestępcy zatrzymali działanie rurociągu dostarczającego 45% ilości paliwa na Wschodnim Wybrzeżu USA i sparaliżowali działanie nawet ponad 350 przedsiębiorstw. Czego można się na tych przykładach nauczyć? Eksperci Sophos wskazują 6 najważniejszych lekcji, o których należy pamiętać.

1. Płacenie okupu rzadko się opłaca

Wiele firm płaci przestępcom, gdyż nie mają kopii zapasowych i chcą jak najszybciej wznowić działanie systemów; często obawiają się także upublicznienia skradzionych informacji. Jednak, według badania Sophos, nie gwarantuje to przywrócenia dostępu do zasobów. Przedsiębiorstwa, które decydują się na zapłatę okupu, odzyskują średnio tylko 65% danych, zaś jedynie w przypadku 8% odblokowywane są wszystkie. Poza tym, nawet jeśli uda się odszyfrować informacje, trzeba jeszcze przywrócić pracę systemów, naprawić szkody i zakłócenia spowodowane atakiem oraz wzmocnić zabezpieczenia, a to wymaga kolejnych nakładów.

2. Szkolenie pracowników to konieczność

Wejście do sieci Colonial Pipeline umożliwiło skradzione przez przestępców hasło do usługi VPN. Prawdopodobnie wykorzystali dane logowania ujawnione we wcześniejszym wycieku. W celu uniknięcia takich sytuacji konieczne jest przede wszystkim wdrożenie uwierzytelniania wieloskładnikowego, jednak równie istotne jest, aby pracownicy wiedzieli, jak chronić swoje dane dostępowe. Cyberprzestępcy wykorzystują niewiedzę atakowanych i brak ich umiejętności, stosują coraz bardziej dopracowane manipulacyjne metody socjotechniczne, takie jak phishing. Pracownicy powinni wiedzieć jak rozpoznać zagrożenia, jakiego zachowania unikać i jak reagować na podejrzane incydenty.

3. Najważniejsze jest szybkie wykrycie ataku

Według śledczych, przestępcy mieli dostęp do sieci Colonial Pipeline przez co najmniej osiem dni, zanim uruchomili ransomware. Brak możliwości wglądu w to, co robili w tym czasie, był jednym z powodów wyłączenia rurociągu. Przeprowadzone przez Sophos analizy[1] pokazały, że przestępcy „spędzają” w sieci ofiary średnio 11 dni, a w niektórych przypadkach nawet pół roku, zanim zostaną wykryci. W tym czasie mogą uzyskać dostęp do danych i systemów, wykradać informacje, a nawet sabotować działanie firmy. Dlatego równie ważne jak programy ochronne są narzędzia pozwalające szybko wykryć podejrzane incydenty i aktywnie „polować” na ukryte zagrożenia.

4. Warto regularnie sprawdzać zabezpieczenia

Sprawdzanie poziomu ochrony przed cyberzagrożeniami pozwala znaleźć luki w zabezpieczeniach, zanim wykorzystają je przestępcy. Warto zlecać to zadanie nie tylko pracownikom działu IT, ale także zewnętrznym ekspertom. Często bowiem można spotkać się z nieświadomym przyzwoleniem na niedociągnięcia – z niewiedzy lub w działaniu z przeświadczeniem, że „zawsze tak było”. Ważne są ćwiczenia polegające na symulacjach ataków, próbach odzyskiwania danych i analizie sposobu reagowania na incydenty. Odpowiednie przygotowanie to często jedyny sposób na zminimalizowanie szkód i przestojów.

5. Cyberbezpieczeństwo priorytetem, bez względu na wielkość firmy

Firmy często uważają, że ataki dotykają tylko duże podmioty, gdyż te mniejsze nie są interesującym celem dla cyberprzestępców. Jednak każde przedsiębiorstwo, bez względu na wielkość czy branżę, może doświadczyć ataku. Poszukiwanie potencjalnej ofiary jest obecnie w dużym stopniu zautomatyzowane, więc kryterium „zainteresowania” pozostaje praktycznie bez znaczenia. Strategię cyberbezpieczeństwa powinna więc opracować każda firma: stworzyć plan reagowania na incydenty, przywracania systemów do działania i odzyskiwania danych, a także wdrożyć właściwe narzędzia ochrony oraz przygotować kroki, które należy podjąć, gdy coś pójdzie nie tak.

6. W walce z cyberprzestępczością ważna jest współpraca

Colonial Pipeline zobowiązało się do udostępnienia pełnego raportu na temat ataku, aby inne przedsiębiorstwa mogły wyciągnąć wnioski z popełnionych błędów. Na całym świecie w ramach takich inicjatyw jak Centrum Wymiany Informacji i Analiz (ISAC) czy lokalnych grup DEF CON zrzeszone są firmy, które dzielą się informacjami o zagrożeniach i zapewniają narzędzia oraz wytyczne ograniczające ryzyko. Oprócz uczestniczenia w nich, firmy powinny też prosić o pomoc, gdy już zetkną się z zagrożeniem. Mogą wspomagać się zewnętrznymi usługami, w ramach których eksperci monitorują sieć i pomagają reagować na zagrożenia.

[1] Sophos Active Adversary Playbook 2021

Źródło:Sophos

Zobacz

Posłowie PO chcą informacji o bloku w Jaworznie; prezes Taurona: pozwólcie nam pracować

Posłowie PO zapowiedzieli kontrolę poselską w MAP, domagając się informacji o przyczynach kłopotów bloku energetycznego Taurona w Jaworznie. "Pozwólcie nam pracować i dokończyć pracę tego bloku" - odpowiada prezes Taurona Paweł Szczeszek. Zapewnia, że blok ma zapewniony węgiel i nie uległ awarii.

Niemcy/ Kanclerz Scholz: turbina do NS1 może być dostarczona do Rosji w każdej chwili

Kanclerz Olaf Scholz pośrednio oskarżył Rosję o wykorzystywanie pretekstów do ograniczania dostaw gazu. Turbina dla rurociągu Nord Stream 1 jest w Niemczech, może być dostarczona do Rosji w dowolnym momencie – oznajmił w środę Scholz podczas wizyty w firmie Siemens Energy w Muelheim an der Ruhr.

PKO BP wyemituje obligacje o wartości do 4 mld euro

Zarząd PKO BP podjął decyzję o ustanowieniu programu euroobligacji o wartości do 4 mld euro – podał PKO BP w poniedziałek w komunikacie.

Bez większych zmian na Wall Street

Poniedziałek na Wall Street zakończył się niewielkimi zmianami głównych indeksów. Nastroje nieco schłodziła publikacja wstępnych przychodów za drugi kwartał Nvidii, producenta półprzewodników, oraz obawy o popyt w tym sektorze. Rynki czekają na lipcowy odczyt CPI.

“Rz”: wzrost inflacji jest zjawiskiem globalnym

Rada Polityki Pieniężnej w ostatnich latach nie zobowiązywała się do utrzymywania określonego poziomu stóp procentowych – pisze prezes Narodowego Banku Polskiego w polemice z byłą prezes banku centralnego opublikowanej we wtorkowej "Rzeczpospolitej".

Prezes PGE dla Interii: Blackout nie grozi Polsce. System energetyczny jest stabilny

Nie ma zagrożenia blackoutem, krajowy system energetyczny działa stabilnie - powiedział Interii prezes Polskiej Grupy Energetycznej Wojciech Dąbrowski. Dodał, że firma nie wykorzystywała w swoich elektrowniach i elektrociepłowniach węgla rosyjskiego, jednostki wytwórcze w grupie mają wystarczające zapasy węgla.
- Reklama -

REKLAMA