Berita utama baru-baru ini akan membuatnya tampak seolah-olah telah terjadi peningkatan tajam dalam jumlah ransomware (terbuka di tab baru) akhir-akhir ini – tetapi meskipun telah terjadi peningkatan jumlah kampanye yang berhasil, ini hanya menunjukkan fakta bahwa tim keamanan lalai dalam mengambil langkah yang memadai untuk mengamankan aset jaringan mereka.
Itulah keyakinan Optiv Security, yang sejauh ini menunjukkan bahwa sebagian besar perusahaan yang menyerah pada penyiksa dunia maya mereka adalah korban perbuatan mereka sendiri. Perusahaan berpendapat bahwa sebagian besar bisnis menemukan diri mereka dalam posisi “bayar atau binasa” karena merajalela keamanan cyber (terbuka di tab baru) malpraktek yang membuat mereka rentan terhadap serangan ransomware.
James Turgal, mantan asisten direktur eksekutif untuk Cabang Informasi dan Teknologi FBI (CIO) dan Wakil Presiden Risiko Cyber, Strategi, dan Transformasi saat ini di Optiv, secara pribadi telah membantu banyak perusahaan merespons dan pulih dari serangan ransomware. Kami berbicara dengannya untuk memahami sifat kampanye ransomware yang berkembang dan langkah-langkah yang perlu diambil bisnis untuk melindungi diri mereka sendiri.
Apa saja kesalahan langkah paling umum yang Anda temui yang dapat melindungi bisnis dari serangan ransomware?
Setiap bisnis berbeda. Beberapa organisasi yang lebih tua dan lebih mapan memiliki jaringan dan infrastruktur yang telah berkembang selama bertahun-tahun tanpa keamanan menjadi prioritas, dan toko TI secara tradisional hanya menggunakan teknologi baru tanpa mengonfigurasinya dengan benar dan/atau menonaktifkan teknologi lama.
Bahkan startup yang memulai hidup mereka di cloud masih memiliki beberapa teknologi lokal server (terbuka di tab baru) atau infrastruktur yang membutuhkan perawatan dan makan terus-menerus.
Beberapa tema yang saya lihat, dan kesalahan paling umum yang dilakukan oleh perusahaan, adalah:
1. Tidak strategi tambalan (terbuka di tab baru) atau strategi yang lebih didorong oleh kekhawatiran atas ketidaktersediaan jaringan dan kurang pada jaminan informasi aktual dan postur keamanan.
2. Tidak mengerti [of] seperti apa lalu lintas normal di jaringan mereka dan/atau mengandalkan alat perangkat lunak. Biasanya terlalu banyak yang tumpang tindih dan salah konfigurasi. Arsitektur jaringan adalah jalur perusahaan menuju keamanan atau kerentanan dengan alat yang salah konfigurasi.
3. Terlalu mengandalkan backup (terbuka di tab baru), dan meyakini bahwa cadangan sudah cukup untuk melindungi Anda. Cadangan yang tidak tersegmentasi dari jaringan, hanya dirancang untuk menyediakan metode pemulihan waktu tertentu, dan tidak pernah dirancang untuk dilindungi dari penyerang. Cadangan perlu diuji secara berkala untuk memastikan data lengkap dan tidak rusak.
Kami sering mendengar bahwa perusahaan bahkan memiliki cadangan mereka yang dienkripsi oleh ransomware, karena disimpan dalam jaringan yang sama dengan data utama. Dosa besar apa lagi yang Anda temui dalam penilaian Anda?
Saya melakukan sejumlah investigasi dunia maya dalam karir FBI saya di mana perusahaan sangat fokus untuk mendorong masa depan transformasi digital ide maju dan kehilangan keamanan infrastruktur mereka saat ini selama proses.
Sebagai contoh, saya telah melihat banyak perusahaan selama mereka pindah ke a awan (terbuka di tab baru) lingkungan sangat fokus pada migrasi cloud sehingga mereka mengabaikan server dan infrastruktur yang ada di lemari yang mereka lupakan, mengumpulkan debu, tidak ditambal, dan masih terhubung ke jaringan.
Yang diperlukan hanyalah satu port terbuka atau satu kerentanan yang belum ditambal untuk dieksploitasi oleh pelaku ancaman.
Shadow IT dan shadow data repository adalah kerentanan yang sangat besar, dan mereka persis seperti yang dicari oleh pelaku ancaman saat mereka menyelidiki titik akhir jaringan Anda.
Optiv bekerja dengan ratusan perusahaan besar dalam mengembangkan strategi respons ransomware mereka. Apa saja strategi respons umum yang Anda sarankan agar diterapkan oleh semua bisnis?
Tentu saja, persiapan adalah kuncinya dan tidak menjadi korban selalu lebih baik daripada menjadi korban ransomware.
Namun, strategi respons terbaik ditemukan di area berikut:
1. Kenali jaringan dan infrastruktur Anda dengan cukup baik, atau jika Anda menggunakan layanan terkelola pihak ketiga untuk keahlian ini, agar dapat menilai kerusakan secepat mungkin. Sangat penting untuk memahami sejauh mana kompromi, memiliki kemampuan untuk melakukan analisis akar masalah, mendapatkan kembali kendali atas lingkungan Anda, dan menentukan apakah dan data apa yang mungkin telah dicuri.
2. Ketahui di mana data Anda, terutama untuk “Permata Mahkota” organisasi. Jika itu tersegmentasi dengan benar dan Anda memiliki repositori cadangan data yang memadai (bersih), maka menanggapi serangan jauh lebih sedikit dari latihan kebakaran.
3. Pastikan Anda memiliki manual Incident Response (IR) yang kuat yang secara khusus menangani ransomware, dan berlatih, berlatih, berlatih, hingga ke tingkat Dewan.
4. Pastikan Anda memiliki, sebagai pengikut, keahlian pihak ketiga (penasihat luar, ahli forensik, Humas, dan komunikasi).
Selain penguatan teknis, haruskah perusahaan juga berinvestasi dalam meningkatkan sumber daya manusia mereka, mengingat sebagian besar ransomware/malware mengeksploitasi perilaku manusia?
Saya selalu mengatakan keamanan siber lebih tentang orang-orang di belakang keyboard daripada teknologi yang sebenarnya.
Seiring perkembangan teknologi, dengan evolusi kecerdasan buatan (AI (terbuka di tab baru)), pembelajaran mesin (ML (terbuka di tab baru)) dan migrasi cloud, keterampilan baru harus diterapkan. Tidak peduli seberapa besar organisasinya, bisnis yang berusaha berinovasi lebih cepat daripada pesaingnya akan berjuang untuk talenta berkualitas yang sama.
Saya ingin menekankan “Kualifikasi” karena tidak hanya kekurangan orang untuk melakukan pekerjaan, tetapi juga kesenjangan keterampilan yang berkembang pada mereka yang memenuhi syarat untuk memahami kompleksitas jaringan modern.
Kesenjangan dalam keterampilan teknologi dapat menghambat bisnis untuk mencapai kesuksesan lebih lanjut dan dampak bisnis yang jauh lebih negatif dapat terjadi jika Anda memiliki CIO [Chief Information Office] atau CISO [Chief Information Security Officer] yang kurang siap untuk mengamankan organisasi tetapi mengklaim kepada pimpinan senior bahwa perusahaan aman.
Anda telah lama terlibat dalam negosiasi dengan pelaku ancaman di balik kampanye ransomware. Bagaimana interaksi berkembang selama bertahun-tahun? Apakah Anda mengetahui adanya aktor ancaman yang melakukan strategi pemerasan ganda dan mengungkapkan data rahasia kepada saingan?
Salah satu hal yang menurut saya terlewatkan oleh perusahaan adalah mereka cenderung menganggap kelompok aktor ancaman kriminal ini semuanya independen dan bersaing satu sama lain.
Organisasi-organisasi ini terkadang berbagi data dan intelijen tentang para korban. Setelah data diambil dari sebuah perusahaan dan diposting atau dijual di forum web gelap, aktor ancaman kriminal lainnya menggunakan data tersebut dari serangan aktor lain sebelumnya untuk melangkah ke korban tambahan dan eksploitasi lebih lanjut.
Dengan munculnya situs belanja malware Ransomware-as-a-Service dan Dark-Web, seperti Silk Road dan AlphaBay, ancaman pemerasan ganda menjadi nyata, dan ancaman tidak hanya datang dari satu organisasi, tetapi terkadang kelompok kriminal bekerja sama menawarkan layanan malware dan Botnet untuk menyebarkan malware.
Berbicara tentang pemerasan ganda, bagaimana cara mengatasinya? Maksud saya, bahkan jika perusahaan memiliki sarana untuk memulihkan dari cadangan, dan dapat mengambil kembali kendali atas jaringannya, bagaimana cara memastikan bahwa pelaku ancaman tidak mengungkapkan data yang telah mereka ekstrak?
Ancaman pemerasan ganda memang nyata, tetapi dengan serangan ransomware selalu ada ancaman [that] penyerang penjahat dunia maya akan membocorkan data yang diambil dari korban, jadi menurut saya ancaman itu tidak benar-benar baru.
Lewatlah sudah hari-hari ketika Anda bisa menjadi korban serangan dunia maya, membayar tebusan atau memulihkan sistem Anda dan tidak mengungkapkan serangan itu. Persyaratan pelaporan dan undang-undang di masa mendatang akan menentukan transparansi dan pengungkapan.
Bagaimana Anda melihat pengumuman AXA baru-baru ini yang menarik perlindungan ransomware untuk klien Prancisnya? Menurut Anda, apakah ini strategi yang efektif untuk mencegah serangan ransomware?
Saya percaya bergerak oleh AXA (terbuka di tab baru) didasarkan pada pandangan mereka tentang tantangan di pasar asuransi dunia maya saat ini, terkait dengan tekanan persaingan di lingkungan peraturan dan dari penegakan hukum.
Ada kasus yang pernah saya tangani di mana pelaku ancaman dengan sengaja menelusuri infrastruktur dan data korban untuk mencari apakah korban memiliki asuransi dunia maya. Beberapa pelaku ancaman benar-benar menggunakan data dari sistem korban sendiri dalam pemberitahuan ransomware yang menunjukkan bahwa tidak ada alasan untuk tidak membayar, karena mereka diasuransikan.
Argumen dapat dibuat bahwa asuransi dunia maya memperkuat penyerang, sehingga membatasi pembayaran dan perlindungan dapat mencegah serangan di masa mendatang.
Saya percaya tren dan respons yang lebih mungkin akan lebih membatasi jumlah pembayaran cyber-ransomware dan tentu saja mengharuskan pemegang polis untuk memiliki dan mempertahankan tingkat kematangan cyber yang lebih tinggi, melakukan penilaian risiko yang lebih baik dan lebih teratur, dan menyelaraskan cakupan dengan ancaman secara lebih dekat. , yang menurut saya merupakan cara yang lebih baik untuk menanggapi pemerasan dunia maya daripada hanya menghentikan pembayaran.
