Pitäisikö minun maksaa lunnaita, jos minuun kohdistuu kiristysohjelma?

Tuskin koskaan ensimmäinen valinta. Palauta offline-varmuuskopioista, ota yhteyttä asiantuntijoihin, tarkista käytettävissä olevat salauksenpurkut. Maksu rahoittaa hyökkääjät ja ilmaisee sinut maksavana kohteena; jotkin lainkäyttöalueet rajoittavat myös maksujen suorittamista seuraamusten kohteena oleville ryhmille. Katso lisätietoja ransomware-artikkelistamme .

Kuinka kauan organisaatioilla yleensä kestää havaita rikkominen?

Keskimääräinen aika tunkeutumisen ja havaitsemisen välillä on noin 80 päivää vuosina 2024–2025, mikä on vähemmän kuin 200 päivää kymmenen vuotta sitten – merkittävä parannus, mutta silti erittäin pitkä. Monet tapahtumat havaitsevat kolmannet osapuolet (lainvalvonta, turvallisuustutkijat, asiakasraportit) sisäisen valvonnan sijaan.

Tarvitsenko kirjallisen tapaussuunnitelman?

Kaikille organisaatioille, joilla on työntekijöitä, asiakkaita tai arkaluonteisia tietoja, kyllä. Jopa yksisivuinen asiakirja, jossa on tiimin yhteystiedot, toimittajanumerot ja päätösvaltuudet, ei voita suunnitelmaa. Sen kirjoittaminen paljastaa aukkoja, jotka muuten löytäisit todellisen tapahtuman aikana.

Mikä on pöytäharjoittelu?

Skenaariolähtöinen läpikäynti tapausreaktiosta – yleensä 1–2 tuntia, varsinaisen tiimin kanssa. Joku lukee skenaarion; osallistujat kuvailevat, mitä he tekisivät; aukkoja ja epäselvyyksiä tulee pintaan. Halvin tapa löytää infrapuna-heikkoudet ennen kuin ne on testattu.

Onko pienyrityksellä varaa reagoida tapahtumiin?

Kyllä IR-yritysten kanssa tehdyillä järjestelyillä (suhteellisen vaatimaton vuosimaksu oikeudesta soittaa, kun jotain tapahtuu). Kybervakuutus sisältää usein IR-palvelut. Odottamattoman tapahtuman kustannukset ilman IR-tukea ovat tyypillisesti suuremmat kuin pidätin.

Tapahtumaan liittyvä vastaus: Mitä tehdä, kun sinut hakkeroidaan

Lähes jokainen organisaatio vaarantuu lopulta. Ero suljetun tapahtuman ja katastrofaalisen loukkauksen välillä johtuu pääasiassa siitä, mitä tapahtuu muutaman tunnin aikana havaitsemisen jälkeen. Sen käsittelyn jäsenneltyä viitekehystä – tapaturmien reagointia – on jalostettu vuosikymmenten aikana, ja perusasiat ulottuvat yrityksistä yksilöihin.

Artikkelin koko runko on englanniksi alla.

IIncident response (IR) on jäsennelty prosessi tietoturvahäiriön käsittelemiseksi havaitsemisesta palautukseen. Kuri syntyi hätätilanteissa, ja se on kodifioitu standardeihin, kuten NIST SP 800-61 ja SANS PICERL. Vaiheet ovat ennustettavissa; vaikeus on suoritus paineen alaisena.

Kuusi vaihetta

Valmistelu. Rakenna tiimi, työkalut ja runbookit ennen kuin mitään tapahtuu. Suurin osa alivalmistautuneista organisaatioista ei tajua olevansa alivalmistautunut ennen kuin he ovat keskellä tapahtumaa.
ITunnistaminen. Havaitsee, että jokin on vialla. Usein vaikein vaihe – useimmat rikkomukset jäävät huomaamatta kuukausiin.
Containment. Rajoita vahinkoa. Estä hyökkääjää leviämästä eteenpäin. Lyhytaikainen eristäminen (eristä vaikutuksen alaiset järjestelmät) ja pitkäaikainen eristäminen (puhtaat uudelleenmuodostelut ennen yhteyden muodostamista).
Eradication. Poista hyökkääjän läsnäolo – haittaohjelmat, pysyvyysmekanismit, vaarantuneet tunnistetiedot. Tässä ratkaisuksi tulee uudelleenrakentaminen puhdistamisen sijaan.
Recovery. Palauta järjestelmät normaaliin toimintaan. Tarkkaile tarkasti uhan ilmaantumisen varalta.
Opitut opetukset. Dokumentoi, mitä tapahtui, mikä toimi, mikä ei ja mitä muuttaa. Tämä vaihe ohitetaan määräajan paineessa; Sen tekeminen tekee tulevista tapauksista vähemmän pahoja.

Ensimmäinen tunti

Kun epäilet tapahtumaa, ensimmäisellä tunnilla on suhteettoman suuri merkitys:

Varmista, että hälytys on todellinen.Väärä positiivinen resurssien tuhlausta.; Väärinluetun hälytyksen aloittaminen voi pahentaa todellisia asioita.
Aktivoi IR-tiimi. Jos sinulla ei ole sellaista, IT-johtajasi, ulkoisen infrapunayrityksen ja neuvonantajasi on kaikkien oltava nopeasti paikalla.

Tvaraa47 todisteita varten. tilannekuvia. Snapshot-levy, muisti, lokitilat.
Pidä yhteyttä kurinalaisesti. Älä puhu sähköpostitse tai chattaile, jota hyökkääjä saattaa lukea. Käytä kaistan ulkopuolisia kanavia, kunnes vahvistat, mikä on puhdas.
Älä riko asioita nopeammin kuin ymmärrät ne. Verkkokaapeleiden vetäminen pysäyttää hyökkääjän, mutta myös pysäyttää tutkinnan, jos et kaappaa tilaa ensin.

Suojaus kuviot

Vaarallisten isäntien verkon eristäminen — poista niiden kytkinportti käytöstä, siirrä ne karanteeniin VLAN:iin, lopeta heidän VPN-istuntonsa.
Kirjaustietojen kierto on saattanut näkyä millä tahansa tilillä. Erityisesti palvelutilit.
Poista pysyvyysvektorit käytöstä – ajoitetut tehtävät, palvelut, automaattiset käynnistykset, takaoven tilit – mutta vasta sen jälkeen, kun olet dokumentoinut ne, koska ne ovat usein ainoa tietue siitä, mitä hyökkääjä teki.
XPLZ77 DNS- ja DNS-ohjauskohteet XPLZwal-XBX-komennolla. kerros.
Pakota uudelleentodennus kaikilla tileillä; peruuttaa aktiiviset istunnot ja tunnukset.

Ulkoinen apu

IHyödyke-haittaohjelmatason ylittävät tapahtumat vaativat yleensä asiantuntija-apua:

IR-yritykset (CrowdCCStrike, Manditiont, Co. Response) – palkalliset palkansaajakorvaukset tai tuntikohtainen sitoumus. Erikoistyökalut ja hahmontunnistus monista aikaisemmista tapahtumista.
Counsel — rikkomuksista ilmoittamisvelvoitteisiin, viranomaistoimiin ja lunnaiden maksuun liittyviin näkökohtiin.
IVakuutusyhtiö – jos sinulla ei ole verkkovakuutusta välittömästi; heillä on usein hyväksyttyjä toimittajaluetteloita ja menettelytapoja.
Lain valvonta — FBI yhdysvaltalaisille kiristysohjelmille (erityisesti maksusyistä), paikallinen poliisi, kansalliset CERT:t. Ne eivät ehkä ratkaise tapaustasi, mutta ne keräävät uhkatietoa.
ISAC ja CERTs — alakohtaiset tiedonjakoyhteisöt. Nopea tapa saada selville, näkevätkö muut organisaatiot saman kampanjan.

Viestintä tapahtuman aikana

Jotkin tärkeimmistä päätöksistä koskevat viestintää:

ISisäinen viestintä. Tiedontarpeen pohjalta eristämiseen asti, sitten laajemmin. Vältä julkisia kanavia, joita hyökkääjä voi kuunnella.
Asiakasilmoitus. Usein laki vaatii tietyissä ikkunoissa (72 tuntia GDPR:n mukaan). Suunniteltu huolellisesti – riittävän epämääräinen ollakseen tarkka tutkimuksen jatkuessa, riittävän tarkka ollakseen hyödyllinen.
Sääntelyviranomaisen ilmoitus. Toimialakohtainen (SEC olennaisten rikkomusten osalta, HIPAA terveydenhuollon, osavaltioiden AG:t useimmissa Yhdysvaltain osavaltioissa).

XPLZ12PLXXPLZLZTI on julkinen, jos tapahtumasta tulee julkinen13XP. ja kehystysaine. Älä sano enempää kuin tiedät; älä sano vähempää kuin se on rehellinen.

Palautus ja uudelleenrakentaminen

Vakavissa tapahtumissa sääntö on rakentaa uudelleen eikä puhdistaa. Hyökkääjät jättävät pysyvyysmekanismit paikkoihin, joita on vaikea löytää – rekisteriavaimet, ajoitetut tehtävät epätavallisilla tileillä, muokatut DLL-tiedostot, takaoven binaarit, joiden aikaleimat on sovitettu laillisiin tiedostoihin. Yritetään puhdistaa syvästi vaarantunut isäntä on harvoin onnistunut. Rakenna uudelleen tunnetuista hyvistä tietovälineistä ja palauta tiedot skannauksen jälkeen.

Uudelleenrakennusjärjestys on myös tärkeä: ensin identiteettiinfrastruktuuri (joten tunnistetiedot ovat luotettavia), sitten tuotantojärjestelmät ja sitten käyttäjälaitteet. Käyttäjän kannettavan tietokoneen uudelleenkäynnistäminen Active Directoryyn, joka saattaa silti olla vaarantunut, antaa hyökkääjälle uuden jalansijan.

Yksilöille: pienennetty IR

IJos henkilökohtaiset tilisi ovat vaarantuneet:

Käytä uutta laitetta — tee loput mieluiten puhtaalla koneella. Älä korjaa mitään mahdollisesti vaarantuneesta kannettavasta tietokoneesta.
Palauta ensisijaisen sähköpostisi salasana ja 2FA puhtaalta laitteelta. Sähköposti hallitsee kaikkea muuta.
Palauta pankki ja välitys sieltä.
Katso sähköpostin edelleenlähetyssääntöjä – hyökkääjät lisäävät usein edelleenlähetyksen salasanojen palautusten kaappaamiseksi salasanan vaihtamisen jälkeen.
Tarkista yhdistetyt sovellukset ja OAuth-luvat; peruuta tuntemattomat.
Suorita täydellinen haittaohjelmatarkistus alkuperäisestä laitteesta; jos jokin näyttää pieleen, pyyhi ja asenna uudelleen.
Seuraa useiden seuraavien kuukausien tilinpäätöstä – valtuustietovarkauksien jälkeiset petokset tapahtuvat usein viikkoja myöhemmin.

Oppitunteja

Vaihe, joka ohitetaan. Tapahtuman jälkeisen tarkistuksen pitäisi vastata:

Kuinka hyökkääjä pääsi sisään?
Mikä etsivä hallinta epäonnistui?
Millä etsivillä tarkastukset saivat sen kiinni (lopulta)?
Mitä ennaltaehkäiseviä toimenpiteitäZ55XX olisi pysäyttänyt seuraavaksi? laittaa ne paikoilleen?

Rehellinen arvostelu on arvokkaampi kuin itse vastaus. Toistuvat tapahtumat samassa organisaatiossa kuvastavat yleensä oppimatta jääneitä kokemuksia.

Usein kysytyt kysymykset

Pitäisikö minun maksaa lunnaita, jos minuun kohdistuu kiristysohjelma?: Tuskin koskaan ensimmäinen valinta. Palauta offline-varmuuskopioista, ota yhteyttä asiantuntijoihin, tarkista käytettävissä olevat salauksenpurkut. Maksu rahoittaa hyökkääjät ja ilmaisee sinut maksavana kohteena; jotkin lainkäyttöalueet rajoittavat myös maksujen suorittamista seuraamusten kohteena oleville ryhmille. Katso lisätietoja <a href="/learning/ransomware">ransomware-artikkelistamme</a>.
Kuinka kauan organisaatioilla yleensä kestää havaita rikkominen?: Keskimääräinen aika tunkeutumisen ja havaitsemisen välillä on noin 80 päivää vuosina 2024–2025, mikä on vähemmän kuin 200 päivää kymmenen vuotta sitten – merkittävä parannus, mutta silti erittäin pitkä. Monet tapahtumat havaitsevat kolmannet osapuolet (lainvalvonta, turvallisuustutkijat, asiakasraportit) sisäisen valvonnan sijaan.
Tarvitsenko kirjallisen tapaussuunnitelman?: Kaikille organisaatioille, joilla on työntekijöitä, asiakkaita tai arkaluonteisia tietoja, kyllä. Jopa yksisivuinen asiakirja, jossa on tiimin yhteystiedot, toimittajanumerot ja päätösvaltuudet, ei voita suunnitelmaa. Sen kirjoittaminen paljastaa aukkoja, jotka muuten löytäisit todellisen tapahtuman aikana.
Mikä on pöytäharjoittelu?: Skenaariolähtöinen läpikäynti tapausreaktiosta – yleensä 1–2 tuntia, varsinaisen tiimin kanssa. Joku lukee skenaarion; osallistujat kuvailevat, mitä he tekisivät; aukkoja ja epäselvyyksiä tulee pintaan. Halvin tapa löytää infrapuna-heikkoudet ennen kuin ne on testattu.
Onko pienyrityksellä varaa reagoida tapahtumiin?: Kyllä IR-yritysten kanssa tehdyillä järjestelyillä (suhteellisen vaatimaton vuosimaksu oikeudesta soittaa, kun jotain tapahtuu). Kybervakuutus sisältää usein IR-palvelut. Odottamattoman tapahtuman kustannukset ilman IR-tukea ovat tyypillisesti suuremmat kuin pidätin.