Ransomware – nie panikuj

Zostaw komentarz

Ransomware - nie panikuj

Wstęp

Gdyby istniał dekalog cyberbezpieczeństwa, to stwierdzenie „Nie panikuj” w odniesieniu do ataku typu ransomware, mogłoby być traktowane jak jedno z jego przykazań? Bynajmniej do takiego stwierdzenia można dojść na podstawie analizy artykułów dotyczących obsługi incydentów bezpieczeństwa związanych z atakami z wykorzystaniem ransomware. Autorzy publikacji zachęcają by, cokolwiek się nie wydarzyło, zachować spokój – dosłownie mówią „Nie panikuj”.

W paru opracowaniach spotkałem się ze stwierdzeniem, żeby w tak zaistniałej sytuacji kryzysowej dosłownie wziąć głęboki oddech i postępować zgodnie, metodycznie z wcześniej uzgodnionym planem reakcji na incydent bezpieczeństwa. Moja joginka zawsze mi powtarza, że jak masz problem, by wykonać sekwencję ruchów, to skup się na oddechu. W jodze to działa. Pytanie brzmi czy dokładnie takie samo podejście wystarczy, by prawidłowo obsłużyć incydent bezpieczeństwa związany z ransomware? Na to pytanie postaram się odpowiedzieć w dzisiejszym wpisie.

Czym jest panika?

Zanim jednak przejdę do omawiania kwestii dotyczących radzenia sobie ze swoimi emocjami w trakcie wystąpienia incydentu bezpieczeństwa, chciałbym na chwilę zatrzymać się nad kwestią rzekomego występowania paniki.

Po pierwsze uważam, że specjaliści od cyber chyba trochę przesadzają z tym stwierdzeniem. Żeby jednak obronić swoją tezę, to zacznijmy od definicji. Czym właściwie jest panika? Według słownika Wikipedii panika jest pojęciem psychologicznym, określającym uczucie nagłego lęku o skrajnie wysokim nasileniu […]. Objawy napadu paniki mogą pojawiać się bez żadnej uchwytnej […] przyczyny.

Nie wchodząc w kliniczne aspekty tego zjawiska, istotne jest, że panika związana jest z lękiem, czyli czymś, co występuje mimo braku występowania bodźca. Mówiąc inaczej, jeśli nic się nie dzieje, a dla przykładu CISO ma czarne myśli, że zaraz się coś stanie, że systemy przestaną działać itp. to mowa o lęku. Z kolei, jeśli zostaliśmy dotknięci atakiem ransomware, czyli bodzieć wystąpił, w tym wypadku powinniśmy mówić o strachu, a nie panice. To tak by uporządkować kwestię związaną ze stwierdzeniem „Nie panikuj”. Wydaje się, że „Nie bój się” jest bardziej trafnym określeniem. Jednak, żeby już nie mieszać, pozostańmy przy tytułowej panice.

Na podstawie definicji wiemy, czym jest atak paniki i jak go rozpoznać – nagłe uczucie lęku. Kiedy taki stan może się pojawić? Wydaje się, przynajmniej tak to rozumiem, nagły lęk, atak paniki może być spowodowany:

  • poczuciem braku praktycznych umiejętności obsłużenia incydentu bezpieczeństwa,
  • koniecznością podjęcia jakiejkolwiek decyzji,
  • wizją podjęcia decyzji mogącej potencjalnie skutkować negatywnymi konsekwencjami prawnymi, finansowymi czy operacyjnymi.

To oczywiście tylko pojedyncze przykłady. Powodów wystąpienia takie stanu może być dużo więcej i prawdopodobnie ile osób, tyle różnych powodów. W mojej ocenie, przykłady, które wymieniłem, wydają się w miarę oczywiste.

Skoro już wiemy, co potencjalnie może wywołać atak paniki, to teraz ustalmy, co sprawia, że mamy takie, a nie inne odczucia? Co powoduje, że odczuwamy lęk? W kolejnej części przedstawię najistotniejsze według mnie czynniki.

Brak planów reakcji na incydent

Pierwszym najważniejszym elementem, od którego powinniśmy zacząć tę dyskusję, to brak posiadania przez organizacje jakichkolwiek planów na wypadek wystąpienia incydentów bezpieczeństwa. Pisałem już o tym przy okazji   7 nawyków skutecznego zarządzania incydentami – bądź proaktywny. W naszym przypadku mowa oczywiście o scenariuszu ransomware. Brak planu powoduje, że błądzimy jak przysłowiowe „dziecko we mgle”. Nie wiadomo, kogo włączyć do obsługi incydentu, kogo powiadomić, kiedy powiadomić, w jaki sposób przeprowadzić izolację czy to hosta, czy całego segmentu sieci, jakie czynności są dozwolone, a jakie nie są. Płacić okup czy nie płacić? Takich pytań można mnożyć bez końca. Podstawą jest posiadanie planu. Żeby jednak nie było tak kolorowo, to należy pamiętać, że sam plan niestety nie wystarczy. To, czego jeszcze brakuje?

Brak procesu planowania

Mówiąc o planowaniu, przychodzi mi na myśl cytat autorstwa Dwighta D. Eisenhowera „Plans are nothing. Planning is everything”. Uważam, że świetnie wpisuje się w omawiany temat. Plan daje solidne podstawy działania w sytuacji kryzysowej. Okazuje się jednak, że istotniejszy od samego planu jest proces planowania. Co w sytuacji, gdy dla przykładu plany obsługi incydentów były stworzone dla organizacji przez firmę zewnętrzną i nikt z przedstawicieli organizacji nie uczestniczył w procesie ich tworzenia? Pytanie brzmi, jaką wartość przedstawiają sobą te plany? Taka sytuacja może mieć miejsce, gdy posiadanie procedur determinowane jest tylko i wyłącznie zgodnością z regulacjami, a nie rzeczywistą potrzebą.

Ponadto słowa generała mają nam przypominać, że kluczowym aspektem jest dobre planowanie. Wiem, że ktoś może mi zarzucić używanie zbytnich ogólników. Uważam je za dobre, jeśli rozpatrujemy różne warianty, nie zamykamy się na jedno z góry ustalone rozwiązanie, dyskutujemy. Staramy się wspólnie znaleźć najlepsze rozwiązanie. Chcę przez to powiedzieć, że na tym właśnie powinniśmy skupić swój wysiłek. Dobry plan będzie po prostu wypadkową naszych działań.

Plans are nothing. Planning is everything

Dwight D.Eisenhower

Brak odpowiedniego treningu

Jednym z powodów występowania zjawiska paniki w trakcie obsługi incydentu bezpieczeństwa może być brak szkoleń, treningów czy brak wcześniej opracowanego planu. Wynika to z faktu, że nawet świetne plany, które nie zostały w żaden sposób przećwiczone lub jak to się ładnie mówi, podlegały procesowi walidacji, nie przetrwają konfrontacji z rzeczywistością, bo nie mają prawa. Chyba nie myślisz, że jesteś w stanie przewidzieć każdy możliwy wariant? Mówiąc o szkoleniu, mam na myśli całe spektrum szkoleń, od klasycznych TTX (table top exercise) do pełnoskalowych ćwiczeń z wykorzystaniem próbek oprogramowania złośliwego, gdzie doprowadzamy do rzeczywistej katastrofy, tyle tylko, że w warunkach kontrolowanych. Chciałbym podkreślić, że nie należy tu umniejszać szkoleniom TTX. Wartość ich jest nie do przecenienia, jeśli wykonywane są w sposób prawidłowy. TTX jednak zasługują na oddzielny wpis.

Jeśli mówimy już o braku odpowiedniego treningu, to jego przeciwieństwem będzie proces ciągłego szkolenia. Powtarzając coś na okrągło, można dojść do perfekcyjnej wprawy. Ja to porównuję do pamięci mięśniowej. Jeśli wykonujesz wielokrotnie jakąś czynność, zgodnie z przyjętym schematem, to w sytuacji kryzysowej, jest bardzo duża szansa, że zadziałasz jak automat. Przykładem jest posługiwanie się bronią palną.

Brak zaufania

O zaufaniu pisałem chociażby przy okazji Delegowania zadań. Temat ten będzie jeszcze wiele razy powracał na łamach bloga. Dziś będzie o braku zaufania osoby obsługującej incydent bezpieczeństwa do samej siebie, do swoich możliwości w zakresie jego obsługi Jak to się objawia?

  • trudności w podejmowaniu decyzji.
  • zrzucanie odpowiedzialności w zakresie podjęcia decyzji na inną osobą, choć samemu jest się odpowiedzialnym.

Myślę, że taki stan rzeczy może być podyktowany brakiem odpowiedniego przeszkolenia, a co za tym idzie doświadczenia w obsłudze incydentów bezpieczeństwa. Doświadczenie z kolei można zdobyć na różne sposoby. Wersja „hard” to, często po raz pierwszy, konfrontacja z zagrożeniem, w trakcie jego wystąpienia w organizacji. Zazwyczaj, bez wcześniejszego przygotowania, przećwiczenia. Występuje wtedy efekt tzw. „pożaru w b..….” Nikt nic nie wie. Ogólna panika.

Wersja „soft”, do której bardzo namawiam, to zdobywanie doświadczenia w warunkach kontrolnych, w pełni bezpiecznych dla ćwiczących. Nikt nie ginie, CISO nie traci posady, biznes dalej zarabia. To nic innego jak nieustanne ćwiczenie swoich umiejętności w ramach prowadzonych treningów. Uważam, że tylko w ten sposób można nabyć zaufanie do siebie.

Brak wsparcia strony trzeciej

Niewiele organizacji jest w stanie posiadać zespoły bezpieczeństwa w pełni realizujące usługi SOC czy CERT/CSIRT. Powody są bardzo proste:

  • braki specjalistów na rynku pracy,
  • brak odpowiednich budżetów przewidzianych na rozwój pełnoskalowych zdolności organizacji w obszarze cyberbezpieczeństwa.

Zarówno pierwszy, jak i drugi powód skutkuje brakiem możliwości prawidłowego obsłużenia incydentu bezpieczeństwa. To z kolei może wywoływać tytułowy stan paniki.

W tej sytuacji, z pomocą mogą nam przyjść firmy świadczące usługi cyberbezpieczeństwa w obszarze reagowania na incydenty komputerowe. Dobrą praktyką jest wcześniejsze podpisanie umów ramowych, określenie zasad współpracy i wsparcia. Jestem przekonany, że fakt takiego partnerstwa zwiększy psychiczny komfort nie jednej osoby odpowiedzialnej za obszar obsługi incydentów bezpieczeństwa.

MDR

Pozostając jeszcze przy tym wątku, należałoby wspomnieć o dwóch kwestiach. Pierwsza z nich dotyczy usługi MDR (Managed Detection and Response) będącej kategorią usług Security as a Service. W zamyśle celem usługi jest odciążenie organizacji od konieczności budowania i utrzymywania kosztownych zespołów bezpieczeństwa odpowiedzialnych za monitorowanie i detekcję. Niejako w pakiecie otrzymujemy techniczne rozwiązanie do detekcji zagrożeń na hostach oraz zespół specjalistów, którzy będą podejmować i reagować na wygenerowane z systemu alerty.

Ubezpieczenie na wypadek cyberataku

Druga kwestia dotyczy wykupienia ubezpieczenia od następstw wystąpienia cyberataku. Uważam, że temat może być nieco kontrowersyjny. Co w przypadku gdy organizacja nie dochowa należytej staranności w zakresie łatania luk podatności, w wyniku czego doszło do ataku. Czy zadziała ubezpieczenie, jeśli zostanie udowodnione, że atak nastąpił, bo admin nie wgrał poprawek bezpieczeństwa? Ten wątek postaram się rozwinąć przy innej okazji. 

Podsumowanie

Każdy poważny incydent bezpieczeństwa może wywołać stan lęku czy wręcz paniki u osób odpowiedzialnych za jego obsługę. Wybrałem jako przykład atak ransomware, dlatego że u jego podstaw leży wywołanie ściśle określonych reakcji wśród kadry zarządzającej biznesem – przede wszystkim to oni są celem, bo decyzje płacić czy nie, w głównej mierze zależą od nich. W tym wszystkim ważne jest, by być świadomym występowania takich zjawisk, jakim są strach czy panika i czym właściwie one są. 

Mam świadomość tego, że nie każdemu jest łatwo przyznać się, że się czegoś boi, obawia, bo może spotkać się z nieprzychylną dla siebie reakcją grupy. Uważam jednak, że lepiej jest komunikować otwarcie swoje obawy niż udawać, że ich nie ma.

Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me. Gdybyś chciał(a) podjąć współpracę, zapraszam do kontaktu.

Ransomware – nie panikuj Read More »