Editia din 2023 a CIO Council National Conference l-a avut pe lista de invitați pe Martin Lohnert, Directorul General al Centrului de Operațiuni pentru Securitatea Cibernetică VOID din cadrul grupului Soitron, cu prezență locală prin Datanet Systems.. Centrul de securitate cibernetică VOID al Soitron se remarcă printr-un nivel ridicat de expertiză tehnică și o capacitate de scalabilitate necesară pentru gestionarea întregului spectru de amenințări și atacuri cibernetice. Printre clienții VOID SOC Soitron se numără organizații din întreaga lume, din domenii precum energie, finanțe, IT, sănătate, aeronautică, administrație publică locală și guvernamentală.
Prezentarea lui Martin Lohnert a abordat subiectul “Recuperarea după un atac ransomware”, bazat pe experiența acumulată în cadrul VOID Soitron, evidențiind măsurile esențiale ce trebuie luate în primele ore și zile după un astfel de atac.
Ransomware-ul este un flagel major al peisajului digital, fiind cel mai răspândit și devastator tip de atac. Conform ENISA 2023 Threat Report, plasat de către această agenție pe primul loc în topul amenințărilor cibernetice, ransomware-ul a provocat pagube în valoare de 449,1 milioane de dolari doar în primele șase luni ale anului 2023, atacuri majore cu ransomware fiind înregistrate în întreaga Uniune Europeană, inclusiv în România.
Experiența gestionată de Soitron arată că atacurile devin tot mai complexe, iar organizațiile țintă sunt adesea surprinse. Aceste atacuri au loc în weekenduri sau în timpul nopții, când echipele IT sunt în afara programului obișnuit și, mai ales, în perioadele de vârf. În plus față de criptarea sistemelor operaționale, atacatorii criptează toate formele de backup, șterg sau blochează accesul la copiile de rezervă stocate în cloud. De asemenea, unii atacatori exfiltrează date confidențiale și șantajează victimele cu vânzarea acestor date. Companiile sunt astfel presate să plătească o răscumpărare ridicată pentru a-și recupera datele furate.
Măsuri post-atac ransomware
Martin Lohnert a adresat o întrebare simplă audienței formate dintr-o comuinitatea extinsă de CIOi: “Cum reacționați când aveți de-a face cu un astfel de atac?”
Realitatea arată că majoritatea organizațiilor nu au un plan de răspuns la incidente, sau dacă există, acesta este incomplet sau nefuncțional. Prin urmare, victimele nu știu exact ce măsuri să ia și pierd timp prețios, timp exploatat de atacatori sau, în cel mai rău caz, iau măsuri ineficiente. Din perspectiva Soitron, este esențială adoptarea unor măsuri ferme și corespunzătoare în primele ore după un atac cibernetic pentru a limita pagubele, precum:
- Izolarea segmentului atacat și oprirea oricărui tip de trafic.
- Blocarea imediată a accesului la cloud și realizarea de snapshot-uri.
- Utilizarea doar a unor PC-uri noi pentru orice sarcini administrative, nu a echipamentelor existente.
- Identificarea impactului și examinarea situației pentru înțelegerea modului de desfășurare a atacului.
- Schimbarea tuturor parolelor, de la cele obișnuite la cele privilegiate, pentru toți utilizatorii, în cel mai scurt timp.
- Detectarea oricăror vulnerabilități și backdoors și eliminarea acestora cât mai rapid (conturi noi, task-uri, schimbări de configurații, procese, unelte etc.).
- Colectarea și arhivarea tuturor probelor pentru acțiuni ulterioare, inclusiv raportarea către autorități.
- Comunicare transparentă și coerentă cu autoritățile, angajații și partenerii de afaceri.
În etapa următoare, se recomandă adoptarea următoarelor acțiuni:
- Adoptarea autentificării multifactor, dacă nu este deja implementată.
- Trecerea la o infrastructură IT nouă de rețea cu reinstalarea tuturor componentelor.
- Microsegmentarea rețelei și impunerea unor reguli stricte pe fiecare segment.
- Eliminarea oricăror privilegii de acces.
- Monitorizarea atentă a oricăror anomalii pentru a identifica dacă atacatorii sunt încă în rețea și pot lansa un al doilea atac în orice moment.
- Inițierea acțiunilor de restaurare a backup-ului, cu precauție pentru a evita restaurarea unor copii care conțin malware.
- Reinstalarea oricăror sisteme și aplicații, acolo unde este posibil.
- Aplicarea tuturor patch-urilor necesare.
- Realizarea unei analize aprofundate pentru a înțelege cu exactitate modul în care s-a produs atacul și identificarea cauzei primare.
- Documentarea întregului incident pentru a învăța din experiență și a îmbunătăți planul de răspuns la incidente.
- Monitorizare continuă și aplicarea regulilor de igienă cibernetică.
- Crearea unui plan de răspuns la incidente și testarea sa periodică, inclusiv prin simulări realiste.
Prezentarea susținută de Martin Lohnert poate fi urmărită mai jos.
Servicii pentru evaluarea strategiei de securitate cibernetice
Pentru a ajuta companiile să facă față mai eficient unor astfel de incidente, Soitron și Datanet Systems oferă servicii de evaluare a strategiei de securitate cibernetice bazate pe o analiză detaliată. Aceste servicii, prestate de o echipă cu experiență, oferă o imagine detaliată a stării actuale a securității organizației și propun un plan de acțiune pentru îmbunătățire. Beneficiarii vor primi un document cu un sumar executiv, nivelul de maturitate al domeniilor cheie de securitate, constatările privind riscurile identificate în fiecare zonă, recomandări de remediere, strategie de implementare și cerințe tehnice pentru viitoare achiziții.
Pentru mai multe informații despre serviciile VOID Cybersecurity Operation Center și evaluarea strategiei cibernetice, vă rugăm să ne contactați la sales@datanets.ro