Αντίληψη εναντίον πραγματικότητας: Πώς να προετοιμαστείτε πραγματικά για ransomware

Φαίνεται ότι τα περισσότερα περιβάλλοντα IT δεν έχουν συνδέσει τις κουκκίδες όσον αφορά το ransomware και τη σημασία ενός καλού συστήματος προστασίας. Είναι εύκολο να το συμπεράνουμε αυτό όταν διαβάζουμε πρόσφατη έρευνα της IDC περισσότερων από 500 CIO από 20 και πλέον βιομηχανίες σε όλο τον κόσμο.

Το πιο εντυπωσιακό στατιστικό από την έκθεση της IDC είναι ότι το 46% των ερωτηθέντων ήταν επιτυχώς επίθεση από ransomware τα τελευταία τρία χρόνια. Αυτό σημαίνει ότι το ransomware έχει ξεπεράσει τις φυσικές καταστροφές για να γίνει ο κύριος λόγος για τον οποίο κάποιος πρέπει να είναι καλός στην εκτέλεση μεγάλων αποκαταστάσεων δεδομένων. Πριν από πολλά χρόνια, ο κύριος λόγος για τέτοιες επαναφορές ήταν η αποτυχία υλικού, επειδή η αποτυχία ενός συστήματος δίσκου συχνά σήμαινε πλήρη επαναφορά από την αρχή.

Η εμφάνιση του RAID και του Erasure Coding άλλαξε όλα αυτά, βάζοντας σε πρώτο πλάνο τις φυσικές καταστροφές και την τρομοκρατία. Ωστόσο, οι πιθανότητες κάποιας εταιρείας να υποστεί μια φυσική καταστροφή ήταν στην πραγματικότητα αρκετά χαμηλές – εκτός και αν ζούσατε σε ορισμένες περιοχές επιρρεπείς σε καταστροφές, φυσικά.

Χαμένα χρήματα, χαμένα δεδομένα

Αυτό το 46% ουσιαστικά σημαίνει ότι οι πιθανότητές σας να χτυπηθείτε από ransomware είναι μια πεταμένη κέρμα. Το χειρότερο είναι ότι το 67% των ερωτηθέντων πλήρωσε το λύτρα, και το 50% έχασε δεδομένα. Ορισμένοι σχολιαστές έχουν υποβαθμίσει το 67%, υποδηλώνοντας ότι ίσως αυτοί οι οργανισμοί ανταποκρίνονταν σε μια τακτική ransomware γνωστή ως extortionware.

Σε αυτό το σενάριο, μια επιχείρηση θα λάβει μια απαίτηση όπως “Δώστε μας 10 εκατομμύρια $ ή θα δημοσιεύσουμε τα χειρότερα μυστικά του οργανισμού σας”. Ωστόσο, ακόμα κι αν παραμερίσουμε αυτό το στατιστικό στοιχείο, εξακολουθούμε να έχουμε μείνει με το γεγονός ότι οι μισοί από τους οργανισμούς που επλήγησαν από ransomware έχασαν σημαντικά δεδομένα. Είναι δύο ρίψεις νομισμάτων. Αυτό, όπως λένε, δεν είναι καλό.

Έτοιμοι για επίθεση; Πιθανώς όχι

Ωστόσο, η ιστορία χειροτερεύει. Παραδόξως, οι ίδιοι οργανισμοί που δέχθηκαν επίθεση και έχασαν δεδομένα φάνηκαν να σκέφτονται πολύ καλά την ικανότητά τους να ανταποκρίνονται σε τέτοια γεγονότα. Πρώτον, το 85% των ερωτηθέντων ισχυρίστηκε ότι διέθετε ένα εγχειρίδιο για την ανάκτηση στον κυβερνοχώρο για τον εντοπισμό εισβολών, την πρόληψη και την απόκριση. Οποιοσδήποτε οργανισμός είναι πιθανό να απαντήσει «απόλυτα» εάν τον ρωτήσετε εάν έχει ένα τέτοιο σχέδιο.

Στην πραγματικότητα, μπορεί να ρωτήσετε τι συμβαίνει στο 15% που δεν φαίνεται να πιστεύει ότι χρειάζεται. Μοιάζουν με τον πέμπτο οδοντίατρο στην παλιά διαφήμιση της Dentyne που έλεγε: «Τέσσερις στους πέντε οδοντίατρους που ερωτήθηκαν συνέστησαν τσίχλα χωρίς ζάχαρη για τους ασθενείς τους που μασούν τσίχλα». Εάν ο οργανισμός σας δεν διαθέτει σχέδιο ανάκαμψης στον κυβερνοχώρο, το γεγονός ότι τόσες πολλές επιχειρήσεις έχουν δεχτεί επίθεση ελπίζουμε ότι θα βοηθήσει στην παρακίνηση της ηγεσίας σας να κάνει αυτή την αλλαγή.

Ένας οργανισμός πρέπει να συγχωρείται δέχεται επίθεση από ransomware καταρχήν. Το ransomware είναι, σε τελική ανάλυση, ένας συνεχώς εξελισσόμενος τομέας όπου οι παραβάτες αλλάζουν συνεχώς τις τακτικές τους για να κερδίσουν έλξη. Αυτό που είναι δύσκολο να γίνει κατανοητό είναι ότι το 92% είπε ότι τα εργαλεία ανθεκτικότητας δεδομένων τους ήταν «αποδοτικά» ή «υψηλά αποδοτικά». Είναι αυτονόητο ότι ένα αποτελεσματικό εργαλείο θα πρέπει να μπορεί να ανακτά δεδομένα με τέτοιο τρόπο ώστε να μην χρειάζεται να πληρώσετε τα λύτρα — και σίγουρα δεν θα πρέπει να χάνετε δεδομένα.

Ελαχιστοποίηση της ζημιάς από επίθεση

Υπάρχουν πολλά βασικά μέρη για την ανίχνευση, την απόκριση και την ανάκτηση από α επίθεση ransomware. Είναι δυνατό να σχεδιάσετε την υποδομή πληροφορικής σας για να ελαχιστοποιήσετε τη ζημιά μιας επίθεσης, όπως η άρνηση χρήσης νέων τομέων (διακοπή εντολής και ελέγχου) και ο περιορισμός της εσωτερικής πλευρικής κίνησης (ελαχιστοποιώντας την ικανότητα του κακόβουλου λογισμικού να εξαπλωθεί εσωτερικά). Αλλά μόλις δεχτείτε επίθεση από ransomware, απαιτεί τη χρήση πολλών εργαλείων που μπορούν να είναι πολύ πιο αποτελεσματικά εάν αυτοματοποιηθούν.

Για παράδειγμα, μπορείτε να μετακινηθείτε από τον περιορισμό της πλευρικής κίνησης στη διακοπή ολόκληρης της κίνησης IP. Εάν τα μολυσμένα συστήματα δεν μπορούν να επικοινωνήσουν, δεν μπορούν να κάνουν άλλη ζημιά. Μόλις εντοπιστούν και τερματιστούν τα μολυσμένα συστήματα, μπορείτε να ξεκινήσετε τη φάση αποκατάστασης από καταστροφή, για να φέρετε τα μολυσμένα συστήματα στο διαδίκτυο και να βεβαιωθείτε ότι τα ανακτημένα συστήματα δεν έχουν επίσης μολυνθεί.

Η δύναμη του αυτοματισμού

Το κλειδί για να γίνουν όλα αυτά σε όσο το δυνατόν συντομότερο δυνατό χρόνο είναι η αυτοματοποίηση. Οι εργασίες μπορούν να ολοκληρωθούν άμεσα και ταυτόχρονα. Μια μη αυτόματη προσέγγιση θα προκαλέσει περαιτέρω χρόνο διακοπής λειτουργίας καθώς η μόλυνση εξαπλώνεται στο περιβάλλον πληροφορικής σας. Όλοι συμφωνούν ότι η αυτοματοποίηση είναι το κλειδί, συμπεριλαμβανομένου του 93% των ερωτηθέντων στην έρευνα της IDC που δήλωσαν ότι διέθεταν αυτοματοποιημένα εργαλεία ανάκτησης.

Έτσι, περίπου εννέα στους 10 ερωτηθέντες είπαν ότι τα εργαλεία ανθεκτικότητας δεδομένων τους ήταν αποτελεσματικά και αυτοματοποιημένα. Ωστόσο, αν αυτό ήταν αλήθεια, οι μισοί από αυτούς που δέχθηκαν επίθεση δεν θα είχαν χάσει δεδομένα και πολλοί λιγότεροι θα είχαν πληρώσει λύτρα.

Λοιπόν, τι σημαίνει αυτό; Το μεγαλύτερο πακέτο είναι ότι πρέπει να ρίξετε μια ματιά στο περιβάλλον σας. Έχετε κάποιο σχέδιο για την απάντηση σε μια επίθεση ransomware; Κλείνει αμέσως το περιβάλλον σας για να περιορίσει περαιτέρω ζημιές ενώ ερευνάτε; Μπορείτε να ανακτήσετε αυτόματα και μολυσμένα συστήματα;

Εάν οι πιθανότητές σας να χτυπηθείτε με ransomware είναι ίδιες με την εκτίναξη νομίσματος, ίσως είναι η ώρα να βγάλετε τα ροζ γυαλιά και να ξεκινήσετε τη δουλειά.

Ο W. Curtis Preston είναι επικεφαλής τεχνικός ευαγγελιστής στο Druva.