er forhandling din bedste strategi, når det kommer til ransomware banner

Er forhandling din bedste strategi, når det kommer til ransomware?

I stedet for blot at betale et gebyr for at komme ud af en ransomware-knibe, kunne du så forhandle dig ud med de rigtige trin og færdigheder? Dan Raywood ser på historierne og mulighederne. 

Det seneste år har set en debat raset: skal man betale løsesum til en angriber eller ej? Tidligere i år, tidligere leder af det britiske nationale cybersikkerhedscenter, Ciaran Martin sagde i en leder at løsepenge skal gøres ulovlige. Derefter direktør for Cybersecurity and Infrastructure Security Agency, Jen Easterly sagde hun ikke gjorde se et generelt forbud mod at betale løsesummer ske.

Med eller uden forbud mod at betale løsesummer er der en massiv udfordring her: Når offeret er inficeret med ransomware, ser offeret typisk en skærm med et krav om betaling, det beløb, der kræves for at få dekrypteringsnøglen, og hvor betalingen skal sendes. Hvis de er uheldige, er der nogle gange en timer for, hvornår betalingen forfalder, og det kan føre til sletning - eller endda lækage - af beslaglagte data.

Ransomware-betalinger er en ganske ukendt faktor. Der er nogle, vi kender til: CNA Financial betalt 40 millioner dollars i 2021, mens kasinooperatøren Caesars betalt $ 15 millioner sidste år. I Storbritannien, 2023 Royal Mail angreb så angribere kræve en betaling på $80 millioner, hvilket de bestemte at være 0.5 % af Royal Mails omsætning.

Royal Mail afviste beløbet som "absurd" og sagde, at 80 millioner dollars "er et beløb, der aldrig kunne tages alvorligt af vores bestyrelse." Dette forårsager en vis overvejelse af, hvor mange ofre der betaler en løsesum – når det ikke er et absurd beløb – for at få malwaren til at forsvinde.

Et af problemerne her er, at der ikke er nogen faktiske tal på, hvem der betaler hvad, og derfor ingen skala for, hvilken størrelse betaling kan være en løsning.

Intet andet valg end at betale?

Hvis du ikke har andet valg end at betale, står du over for udsigten til forhandlinger. I dette tilfælde arbejder du med kriminelle: du aner ikke, hvem de er, hvor de kommer fra, eller hvor velorganiserede de er.

Vejledningen eksisterer, og det meste af det tilskynder til forsigtighed, når man taler med angriberne, vurderer, hvad de har, og ikke giver afkald på flere oplysninger.

Alex Papadopoulos, direktør for hændelsesberedskab og beredskab hos Secureworks, siger, at forhandlingsprocessen ikke kun handler om prisen, men også om at købe sig tid. Det er værd at forhandle for bedre at forstå angriberens position.

”Det, vi læser fra andres rapporter, er, at de normalt er åbne for forhandling, fordi de indser, at det ikke er godt for erhvervslivet, hvis de har en for hård linje; så er de kendt som helt urimelige,” siger han.

Forhandlingsprocessen vil også give angriberen og offeret mulighed for at lære mere om hinanden. Papadopoulos siger, at de fleste ransomware-angreb er opportunistiske, og de forstår ikke, hvem offeret er, før de er begyndt at tale med dem.

"De har ikke brugt tid og kræfter på at udføre den forskning," siger han. "Så gennem forhandlingsprocessen ønsker de at forstå mere om dig og derfor, hvad du er i stand til at betale."

Dette fører til at forhandle prisen: Som vi så i de tidligere nævnte sager, vil offeret aldrig betale, hvis angriberne beder om for meget. I andre tilfælde beder angriberne om for lidt. Papadopoulos fortæller en historie om, da nogle ransomware-angribere fremsatte et krav på €8 millioner, og offeret betalte straks, da angriberen ikke havde indset værdien af ​​det, de havde beslaglagt, og hvad de kunne have bedt om.

Forsikringskrav

Faktisk er forhandling blevet et krav for forsikringskrav. Hvor virksomheder engang udelukkende tilbød forhandlings- og betalingsudvekslingstjenester, siger Papadopoulos, "forhandling er blevet et krav for mange forsikringsselskaber."

Han forklarer, at "mange udbydere af digital retsmedicin og hændelsesvar (DFIR) praktisk talt er blevet tvunget til at gå ind i det lidt lyssky, lidt grå område" for at forhandle med cyberkriminelle, og siger, at virksomheder skal have folk, der er klar til at udføre den opgave.

Dette fører til kravet om en effektiv og robust forretningskontinuitetsplan. Hvis du overvejer at overholde ISO 22301, bør det være en overvejelse at sikre, at du kan overvinde et ransomware-angreb og forblive på den rigtige side af lovligheden.

Fastgørelse af et hul

Efter forhandlingen er du i hænderne på angriberen for at få dekrypteringsnøglen, gendanne systemet og rette de huller, hvor angriberen kom ind.

Dette fører til bedste praksis muligheder for at forhindre angribere i at få adgang i fremtiden, og at sikre overholdelse af en anerkendt ramme er et skridt i retning af bedre overordnet sikkerhed.

Manoj Bahtt, rådgivende bestyrelsesmedlem i Club CISO, siger, at der er specifikke kontroller, som organisationer bør undersøge implementeringen af ​​for at sikre, at de er beskyttet mod ransomware, og i ISO 27001:2022 er disse:

  • Sikkerhedsbevidsthedstræning
  • Administratoradgang på desktops
  • Antivirus/Intrusion Protection System
  • Sårbarhed/konfigurationsstyring
  • Sikkerhedskopier af data

Inden for NIST CSF 2.0 er der kontroller på tværs af de seks kategorier, der fokuserer på at beskytte organisationer mod ransomware, og CIS version 8.0 – Kontrol 8: Malwareforsvar foreslår følgende kontroller, der kan hjælpe med at beskytte organisationer mod ransomware:

  • 8.2 Sørg for, at anti-malware-software og signaturer er opdateret
  • 8.4 Konfigurer anti-malware-scanning af flytbare medier
  • 8.5 Konfigurer enheder til ikke at køre indhold automatisk

Bhatt sagde, at på trods af at der ikke er nogen specifik kontrol i rammer til at beskytte mod ransomware, da det er en angrebsvektor, er vejledning tilgængelig for at hjælpe dig med at implementere de korrekte beskyttelser i første omgang og reducere sandsynligheden for en påvirkning.

I sidste ende forbliver ransomware et betydeligt problem for alle virksomheder, men det kunne være værd at overveje, om dette er en måde at frigøre dig selv. Der er dog spørgsmålet om at arbejde med kriminelle, og en ny sektor er ved at blive dannet for specifikt at hjælpe udøvere med at håndtere denne situation.

At have de rigtige beskyttelser på plads, at få en revisor til at bekræfte dit sikkerhedsniveau og følge en rammes anbefalinger om bedste praksis vil gå langt i retning af at sikre, at du ikke behøver at udføre dette lyssky arbejde.

Forfatter

Dan Raywood

Dan Raywood har skrevet om IT-sikkerhed siden 2008 og er tidligere analytiker i Information Security Practice hos 451 Research. Han har talt ved shows, herunder 44CON, SecuriTay, SteelCon, Irisscon og Infosecurity Europe, ligesom han har skrevet for en række leverandørblogs og præsenteret på webcasts.

Se alle indlæg af Dan Raywood

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!