باج افزار: چگونه مدیران باید با توجه به چشم انداز تهدید فعلی آماده شوند

از آنجایی که تعداد حملات باج افزار همچنان در حال افزایش است، پاسخ در سطح C باید سریع و قاطع باشد.

مدیران ارشد به طور فزاینده ای از تماس تلفنی همکار خود که به آنها اطلاع می دهد که شرکتشان توسط یک حمله سایبری ضربه خورده است، می ترسند. تقریباً هر هفته در سال 2021 و اوایل سال 2022، یک سازمان برجسته در کانون توجه رسانه‌ها قرار می‌گیرد، زیرا تیم روابط عمومی آنها تلاش می‌کند توضیح دهد که چگونه مورد حمله قرار گرفته‌اند و چگونه می‌توانند اعتماد مصرف‌کننده را به دست آورند. یک نظرسنجی اخیر نشان داد که 37 درصد سازمان‌های مورد بررسی در سال گذشته تحت تأثیر حملات باج‌افزار قرار گرفته‌اند.

بدتر از آن، روزهایی که تیم های رهبری اجرایی می توانستند مسئولیت را به طور کامل به یک CISO محول کنند، به پایان رسیده است. صرف نظر از واقعیت، بررسی ها نشان داده است که در مورد 40 درصد درک عمومی از خطا برای حمله باج افزار دقیقاً بر دوش مدیرعامل قرار می گیرد و این 36 درصد حملات منجر به از دست دادن استعدادهای سطح C می شود. در حالی که مشارکت اجرایی در برنامه امنیتی تضمین کننده دفاع موفق نیست، به تیم رهبری اجرایی (ELT) درجه ای از مالکیت محصول نهایی و همچنین توانایی صحبت با اطمینان و دانش با مردم را می دهد.

چه زمانی، نه اگر

بسیاری از تیم‌ها برنامه‌های خود را حول محور پیشگیری از حمله اولیه متمرکز می‌کنند، نه پاسخ، پس از اینکه حریف با موفقیت جایگاه خود را به دست آورد. یک حمله باج افزار همیشه یک است فرآیند چند مرحله ایو این به اعضای ELT بستگی دارد که استراتژی را تنظیم کنند که در طول حمله، حریف را کند و ناامید کند. این جنبه‌های برنامه‌ریزی باید بر واکنش سریع، تکنیک‌های مهار آزمایش‌شده و ریشه‌کنی تمرکز کنند. چند نمونه از سوالاتی که باید بپرسید ممکن است:

• آیا تیم شما رویه‌های عملیاتی استانداردی برای حمله باج‌افزار دارد و به‌طور منظم «تمرین‌های جنگی» مهاری مانند تغییر سریع همه گذرواژه‌های حساب ممتاز در کل شرکت را تمرین می‌کند؟
• آیا آنها راه هایی برای جداسازی سریع یک بخش شبکه در معرض خطر برای حفظ یکپارچگی بقیه شبکه دارند؟
• آیا تیم شما به سمت معماری بدون اعتماد کار می کند؟
• آیا تیم شما می داند که داده های حیاتی شما در کجا قرار دارند و آیا در حالت استراحت رمزگذاری شده اند؟
• آیا آنها می دانند که خدمات مهم تجاری شما چیست و چه وابستگی های فنی دارند؟
• آیا پشتیبان‌گیری‌های شما زائد است و از دسترسی‌های معمولی توسط حساب سرپرست در معرض خطر محافظت می‌شود؟

پاسخ به این سوالات سخت می تواند تفاوت بین موفقیت و شکست در مواجهه با یک حمله باج افزار قریب الوقوع باشد.

کارتیمی میتواند باعث به حقیقت پیوستن رویا شود

ساختن یک تیم بین رشته ای موثر در گرماگرم لحظه سخت است. تقریباً هر CISO مسئولیت هماهنگی اقدامات فوری در شرایط اضطراری امنیت سایبری را به یک زیردستان قابل اعتماد که اغلب “فرمانده حادثه” نامیده می شود واگذار می کند. وقتی فرمانده حادثه شما «اتاق جنگ» باج‌افزار را می‌سازد، آیا فهرستی در یک نگاه برای اطمینان از ورود افراد مناسب دارند؟ از آنجایی که زمان شما به عنوان یک مدیر اجرایی بسیار محدود است، چگونه می خواهید به روز شوید، و آیا فرمانده حادثه و/یا CISO این الزام را درک می کنند؟ آیا قانونی در ساختار فرماندهی حوادث سازمان شما تعبیه شده است؟

بازیکنان برتر شما اغلب در طول یک حادثه بزرگ خود را از نقطه خستگی فراتر می‌برند و در نتیجه مرتکب اشتباه می‌شوند. آیا افراد مورد اعتمادی دارید که یکدیگر و تیم هایشان را برای تنظیم یک سرعت مناسب مسئول می دانند؟ به طور کلی، واکنش‌دهنده‌های حادثه فقط می‌توانند در اوج بازده ذهنی حدود 10-12 ساعت در روز عمل کنند، بنابراین می‌توان از این رقم برای ساختار یک چرخش خوب استفاده کرد. آیا تیم شما یک برنامه استراحت موثر با اضافه کاری برای نقش های کلیدی در مواقع اضطراری زندگی شخصی دارد؟ مراکز عملیات امنیتی سطح بالا (SOC) برنامه ریزی پرسنل اضطراری خود را مشابه برنامه ریزی پرسنل برای عملیات نظامی ساختار می دهند، به این معنا که هر فرد دارای یک یا دو پشتیبان تعیین شده است که به طور کامل برای انجام نقش خود آموزش دیده اند.

دیدن: کیت استخدام: دانشمند داده (TechRepublic Premium)

حالا صدایم را می شنوی؟

یکی از رایج ترین سوالاتی که پرسیده می شود این است: “چگونه می توانیم برای ارتباطات باج افزار آماده شویم؟” از نظر ارتباطات داخلی، تعیین اینکه از چه سیستم ارتباطی برای ارسال اعلان ها استفاده می شود، بسیار مهم است. آیا می تواند پس از ساعت ها به تیم برسد و جمع شود؟ با فرض بدترین سناریو که در آن کل شبکه شرکت آفلاین است، آیا یک روش ارتباطی واقعاً خارج از باند (OOB) دارید؟ با اشاره به مدل برنامه ریزی نظامی، تصادفی نیست که حتی دستورات عملیاتی در پایین ترین سطح، روش های ارتباطی اولیه، ثانویه و ثالث را تعریف می کنند.

زمان برای ارتباطات خارجی مهم است. ما مشاهده کرده‌ایم که حملات به سازمان‌های پرمخاطب عموماً ظرف 24 ساعت در رسانه‌ها ظاهر می‌شوند. آیا تیم های ارتباطی و روابط عمومی شما الگوهای از پیش ساخته شده ای دارند که می توانند برای اطلاع رسانی عمومی اولیه یک حادثه استفاده کنند؟ نوشتن آنها اکنون باعث صرفه جویی در زمان می شود و اطمینان حاصل می کند که جزئیات کلیدی در طول یک بحران نادیده گرفته نمی شوند. نکات کلیدی مورد نیاز برای کنترل زودهنگام چرخه اخبار چیست؟ زنجیره تأیید چیست – آیا مدیرعامل باید شخصاً آن را بررسی کند یا می‌توان آن را به دستور رئیس ارتباطات شرکت منتشر کرد؟

یک مدیر عامل متفکر ممکن است بخواهد شرایطی را ایجاد کند که تحت آن بازبینی مستقیم مورد نیاز است، مانند مواردی که داده‌های حساس تایید شده در معرض خطر قرار می‌گیرند، اما به ارتباطات شرکتی این اختیار را می‌دهد که در سایر شرایط، اعلان‌ها را بدون بررسی مدیر عامل منتشر کنند. اگر تیمی مانند خدمات مشتری یا میز پشتیبانی دارید که با مشتری مواجه است، آیا پیامی وجود دارد که بتواند همه را آرام نگه دارد و در عین حال اطمینان حاصل شود که اطلاعات حساس به اشتراک گذاشته نمی شود؟ در همه موارد، باید با مشاور حقوقی مشورت کرد و با ارتباطات شرکتی همکاری کرد.

مذاکره با مهاجمان

آیا حاضرید یک سیاست تندرو تعیین کنید که سازمان شما هرگز تحت هیچ شرایطی باج نپردازد؟ هیچ داده ای وجود ندارد که بگوییم آیا یک بیانیه عمومی در این زمینه احتمال هدف قرار گرفتن را کاهش می دهد یا خیر، اما اثر معکوس مشاهده شده است. سازمان هایی که سابقه ای را برای پرداخت باج ایجاد می کنند، به شدت مورد هدف قرار می گیرند، زیرا توسط دشمنان به عنوان یک روز پرداخت تضمین شده تلقی می شوند. در واقع، یک نظرسنجی اخیر نشان داد که 80 درصد سازمان‌هایی که باج می‌دادند، اندکی بعد دوباره مورد حمله قرار گرفتند.

اگر نمی‌توانید خط مشی سخت‌گیرانه عدم پرداخت را تعیین کنید، بسیاری از ملاحظات ثانویه مهم هستند، از جمله قانونی بودن پرداخت در صورت دخالت یک نهاد تحت تحریم OFAC. آیا مشاور حقوقی، بیمه‌گر سایبری و احتمالاً یک شرکت مذاکره کننده حرفه‌ای باج‌افزار دارید که بتوانید سریع با آن تماس بگیرید؟ مثل همیشه با مشاور حقوقی خود مشورت کنید.

دیدن: شکاف جنسیتی COVID-19: چرا زنان مشاغل خود را ترک می کنند و چگونه آنها را به سر کار بازگردانند (PDF رایگان) (TechRepublic)

توصیه به هر مدیر عاملی برای تهیه طرح آمادگی باج افزار

• تیم رهبری اجرایی می تواند و باید از نزدیک با توسعه طرح ضد باج افزار مشارکت داشته باشد.
• تلاش برای حملات باج‌افزاری امروزه برای سازمان‌های معمولی تقریباً اجتناب‌ناپذیر است، اما اقدامات مناسب پس از نقض می‌تواند به کاهش آسیب عالی کمک کند.
• ساختار تیم و برنامه های ارتباطی خوب به همان اندازه که ابزارها و پیکربندی قوی امنیت سایبری اهمیت دارند.

ملاحظات پرداخت باج پیچیده است و هیچ پاسخ “یک اندازه مناسب” وجود ندارد، اما در بیشتر موارد، پرداخت باج منجر به افزایش هدف گذاری در آینده می شود.

Nate Pors فرمانده واکنش حوادث سیسکو تالو با بیش از شش سال تجربه در زمینه امنیت سایبری و پنج سال تجربه در رهبری عملیاتی است. قبل از پیوستن به سیسکو در فوریه 2021، نیت به عنوان افسر ارشد نظارت بر امنیت سایبری برای آژانس ملی اطلاعات مکانی ایالات متحده کار می کرد. نیت به عنوان افسر مهندس جنگی در سپاه تفنگداران دریایی ایالات متحده خدمت کرد و با درجه کاپیتان ترک کرد.