Da bismo se borili protiv ransomware-a, digitalnu infrastrukturu moramo tretirati kao kritičnu
Odbrana od ransomware-a ne uspeva jer našu digitalnu infrastrukturu ne posmatramo na isti način kao našu fizičku infrastrukturu, tvrdi Mendi Andres iz Elastic-a
Iako ransomware ostaje jedan od najvećih problema za sajber bezbednost za organizacije danas, stanje odbrane nije dobro
Istorijski gledano, organizacije su se oslanjale na kombinaciju ljudi, procesa i tehnologije da bi sprečile sajber pretnje – od redovnih softverskih zakrpa i rezervnih kopija, do modeliranja pretnji i poboljšanje lozinki – ali ove taktike same po sebi nisu dovoljne da uspešno ublaže sve sofisticiranije napade ransomwarea. Odbrana od ransomware-a ne uspeva jer se posmatra kao tehnički ili organizacioni problem, a zapravo je ekonomski. Svetske ekonomije u velikoj meri zavise od kretanja i distribucije podataka, tako da našu digitalnu infrastrukturu treba pažljivo ispitati sa istom hitnošću kao i našu kritičnu fizičku infrastrukturu.
Sve je to međusobno povezano – isti napadi ransomwarea koji su izazvali nestašicu goriva i kašnjenja u transportu, takođe su uticali na sposobnost ljudi da dobiju pristup zdravstvenoj zaštiti ili pronađu ono što traže u prodavnici. Prepoznavanjem ransomware-a kao ekonomskog problema, imamo priliku da mobilišemo efikasniji odgovor. Evo odakle početi.
Sigurnost ne bi trebalo da bude luksuz
Industrija bezbednosti mora da prizna postojanje bezbednosne linije siromaštva i rastuće kolekcije kompanija koje nemaju budžet ili resurse da pravilno obezbede svoje okruženje. Ova linija bezbednosnog siromaštva izaziva sve manju „srednju klasu“ koja je razdvojila organizacije u dve grupe – one koje mogu da priušte sprovođenje kritičnih bezbednosnih mera i one koje ne mogu. U osnovi, uzrok problema je mnoštvo dobavljača softvera koji naplaćuju premiju za osnovne – ali neophodne – sigurnosne funkcije kao što su šifrovanje, jednostruka prijava (SSO – single sign-on) i višefaktorska autentifikacija (MFA – multifactor authentication). Kompanije koje nisu u mogućnosti da plate premiju za ove mogućnosti su prirodno izloženije pretnjama sajber bezbednosti kao što je ransomware i loše su opremljene da odgovore kada pretrpe napad.
Fundamentalne bezbednosne karakteristike više ne mogu ostati luksuz; moraju biti roba. Kao potrošači, kada se vozimo do benzinske stanice, očekujemo da gorivo teče iz pumpe u naša vozila. Pristup kritičnim bezbednosnim funkcijama ne bi trebalo da se razlikuje za svaku kompaniju na svetu. Baš kao i minimalni standardi koje imamo za kritičnu infrastrukturu, dobavljači softvera moraju da podrže minimalne i univerzalne standarde koji sve organizacije podižu iznad granice bezbednosnog siromaštva. U organizacijama postoji jaka kultura srama oko ransomware-a, a kompanije se često previše plaše ili im je neprijatno da priznaju da su bile žrtve napada iz straha da će to naštetiti njihovoj reputaciji, dovesti do velikih kazni ili izazvati paniku među kupcima i druge zainteresovane strane. U stvari, neki napadači ransomware-a će čak to iskoristiti u svoju korist tako što će koristiti taktiku „ime i sramota“ sa svojim žrtvama u pokušaju da ih nateraju da plate otkup. Takođe, neke od najvećih i najuspešnijih napada ransomware-a su orkestrirale moćne nacionalne države, što čini gotovo nemogućim da se jedna organizacija efikasno zaštiti.
Tokom pandemije, na primer, zdravstvena industrija je bila preplavljena napadima ransomware-a koje su pokretale nacionalne države koje su pokušavale da pribave podatke i istraživanja o vakcinama protiv Covid-19, a mnoge male, nezavisne laboratorije nisu imale odgovarajuće resurse ili veštine da ublaže ove napade. Međutim, povećani rizik od ransomware-a se ne odnosi samo na organizacije ispod bezbednosne granice siromaštva. Operacija Aurora u 2009-10. bila je serija sajber napada usmerenih na kompanije iz privatnog sektora i uspešno je kompromitovala mreže Yahoo-a, Adobe-a, Dow Chemical-a, Morgan Stanley-a, Google-a i drugih radi dobijanja intelektualne svojine. Ako velike korporacije sa velikim bezbednosnim resursima mogu da postanu žrtve ransomware-a, organizacije treba da priznaju da je sramota neopravdana. Sve kompanije su u opasnosti.
Normalizujte deljenje informacija o ransomware-u
Pošto mnoge kompanije ne prijavljuju napade ransomwarea kada se dogode, jedan od glavnih izazova u borbi protiv ransomwarea je saznanje kako, kada i gde se napadi dešavaju. Bezbednosni timovi mogu da reaguju i reaguju samo na ono što znaju, pa je ovaj nedostatak transparentnosti i svesti, zauzvrat, dao prednost napadačima. Da bismo ovo prevazišli, moramo normalizovati deljenje informacija o ransomware-u. Vladine agencije kao što su Nacionalni centar za sajber bezbednost (NCSC) ili Agencija za sajber bezbednost i infrastrukturnu bezbednost (CISA) su osnovane da bi omogućile razmenu informacija između vlade i privatne industrije.
Mehanizmi za distribuciju vrednih informacija (kolektivne baze podataka) postoje u većini zemalja i organizacije bi trebalo da ih koriste. Normalizacija deljenja informacija o ransomware-u može stvoriti više poverenja između privatne industrije i vlade i motivisati organizacije da budu transparentne bez straha od negativnih posledica. Važno je da zajedničko deljenje informacija omogućava organizacijama i njihovim bezbednosnim timovima da bolje identifikuju i razumeju trendove i obrasce pretnji, istovremeno stvarajući mogućnosti za mobilizaciju nacionalnog ili globalnog odgovora. Kada je u pitanju ransomware, znamo da ne možemo sebi priuštiti neuspeh mašte. Rastuća stopa napada ransomware-a nadmašuje čak i brzinu kojom raste obim podataka. Postavljanje efikasne odbrane zahteva da se naša digitalna infrastruktura tretira kao kritična infrastruktura i da se koordinira odgovor u vladi i privatnoj industriji.
Izvor: Computerweekly