Czas reakcji na incydent ransomware lub phishingowy coraz częściej decyduje nie tylko o kosztach i reputacji, ale o tym, czy firma w ogóle utrzyma ciągłość działania. Wygrywają te organizacje, które jeszcze przed atakiem mają uporządkowane decyzje, kompetencje i technologię, a w momencie kryzysu nie próbują „wymyślać wszystkiego od zera”. Jak to zrobić, by rzeczywiście skrócić czas od wykrycia do opanowania sytuacji?
Punktem startu jest prosta, zrozumiała procedura reakcji. W kryzysie liczą się minuty, a nie idealny dokument na kilkadziesiąt stron, którego nikt wcześniej nie czytał.
— Organizacje z ograniczonymi środkami w pierwszej kolejności powinny zadbać o jasne procedury reakcji jeszcze przed wystąpieniem incydentu. Improwizacja w kryzysie jest najszybszą drogą do eskalacji problemu. Dlatego ważne jest, aby plan reakcji był prosty i zrozumiały dla wszystkich pracowników, również tych bez specjalistycznej wiedzy technicznej — mówi dla Business Growth Review Rafał Łączkowski, dyrektor departamentu cyberbezpieczeństwa w EXATEL.
Taki plan powinien odpowiadać na najważniejsze pytania:
- Kto podejmuje decyzje?
- Kto odcina dostęp?
- Gdzie są kopie zapasowe?
- Kto komunikuje się z pracownikami i klientami?
- Jak szybko można izolować systemy?
- Jak wygląda ścieżka eskalacji, gdy sytuacja jest poważna?
Warto pamiętać, że reakcja na ransomware i phishing zaczyna się… zanim dojdzie do zaszyfrowania stacji albo kliknięcia w złośliwy link. Tu liczy się odporność procesowa. Niezbędne jest szybkie rozpoznanie zdarzenia, jednoznaczny sygnał „to jest incydent”, oraz natychmiastowe kroki ograniczające rozprzestrzenianie.
Właśnie dlatego firmy powinny ćwiczyć zachowania kryzysowe w warunkach zbliżonych do realnych, bo dopiero trening skraca czas wahania i porządkuje role.
Daniel Kamiński, trener ds. cyberodporności firm i instytucji w Orange Polska, zwraca w rozmowie z Business Growth Review uwagę na stawkę takich decyzji:
To ważne, bo w wielu organizacjach plan „jest gdzieś w IT”, a to za mało. Bez zaangażowania zarządu i komunikacji do całej firmy reakcja bywa chaotyczna, opóźniona i pełna sprzecznych decyzji.
Ogranicz „promień rażenia”, zanim infekcja rozejdzie się po firmie
Kolejny obszar, który skraca reakcję bez wielkich kosztów, to ograniczenie „promienia rażenia”. O co konkretnie chodzi? Jeśli atakujący uzyska dostęp do jednego komputera, najgroźniejsze jest to, że może przemieszczać się dalej. Do serwerów, udziałów sieciowych, kont uprzywilejowanych i systemów krytycznych. Z tego powodu praktyki takie jak segmentacja sieci i minimalizacja uprawnień często dają natychmiastowy efekt. Oznacza to bowiem mniej systemów do odcięcia, mniej punktów zapalnych i mniej chaosu przy przywracaniu. Jak wskazuje Rafał Łączkowski:
Rafał Łączkowski
Równolegle trzeba skracać czas wykrycia i potwierdzenia incydentu. W ransomware i w zaawansowanym phishingu największym wrogiem jest niepewność. Czy to pojedyncze zdarzenie, czy aktywny atak? Czy to tylko skrzynka pocztowa, czy już dostęp do sieci? Dlatego tak ważna jest wcześniejsza wiedza o podatnościach, porządek w monitoringu i świadomość pracowników, bo to zwykle oni jako pierwsi widzą podejrzaną wiadomość, nietypowe okno logowania czy nagły problem z plikami.
— Dzięki wiedzy zgromadzonej wcześniej na temat ewentualnych luk w firmowych systemach, konsekwentnie budowanej świadomości cyberzagrożeń oraz ochrony przed nim skrócimy znacząco reakcję organizacji na incydent. No i oczywiście stały trening — tłumaczy Daniel Kamiński. W praktyce oznacza to m.in. regularne przypominanie o typowych scenariuszach phishingowych, jasny kanał do zgłaszania podejrzeń i pewność, że zgłoszenie nie kończy się „zbyciem” pracownika, tylko szybkim sprawdzeniem.
Nie da się też pominąć roli ćwiczeń decyzyjnych i symulacji, które uczą organizację poruszania się w kryzysie.
Dobrze przeprowadzony trening nie polega na straszeniu, tylko na wyrobieniu automatyzmów: szybkie odcięcie, eskalacja, komunikacja, przywracanie, decyzje o priorytetach biznesowych.
Daniel Kamiński podkreśla znaczenie tego podejścia: — Ćwiczenia dotyczące hipotetycznego cyberataku, przydział ról, zaplanowanie komunikacji na wielu poziomach przynosi spokój wszystkim członkom organizacji. Każdy wie za co odpowiada podczas takiego kryzysu, jasno przydzielone są role.
Ekspert dodaje też, że takie uczenie się może przyjmować formę praktycznych laboratoriów i gier decyzyjnych. — Podobny cel przyświecał nam podczas tworzenia Centrum Doświadczeń Cyberbezpieczeństwa czy Laboratorium OT – bezpieczeństwa automatyki przemysłowej w siedzibie Orange Polska, gdzie firmy i instytucje uczą się z nami jak poradzić sobie z cyberatakiem. Myślę, że ciekawa forma gry decyzyjnej, także w środowisku wirtualnym ułatwia budowanie cyberodporności firmy i pozwala odpowiednio zaplanować zachowania podczas ataku — wyjaśnia.
Trening, technologia i wsparcie z zewnątrz
W wielu firmach barierą jest brak ludzi i czasu, a nie brak świadomości. Wtedy najszybszą drogą do skrócenia reakcji bywa wsparcie z zewnątrz, które zapewnia dyżur 24/7, doświadczone ręce do analizy i gotowe playbooki działania.
Rafał Łączkowski zwraca uwagę, że przy ograniczonych zasobach to pragmatyczna decyzja. — Firmy z ograniczonymi zasobami kadrowymi powinny dobrać zaufanego partnera świadczącego usługi cyberbezpieczeństwa. Taki partner powinien przeprowadzić analizę stanu obecnego, a następnie dobrać rozwiązania bezpieczeństwa dostosowane do potrzeb organizacji i posiadanych przez nią zasobów. Taki wykonawca znacząco skraca czas obsługi incydentu. W EXATEL od lat z powodzeniem świadczymy wspomniane usługi, dzięki czemu obok rozwiązań technicznych, wyróżniają nas także doświadczeni pracownicy — dodaje.
W realnym incydencie liczy się też komunikacja i odtwarzanie działania firmy, a nie tylko „techniczne czyszczenie”. — Jest w stanie wesprzeć w komunikacji kryzysowej, pomóc w ocenie skali incydentu oraz przywróceniu infrastruktury do działania po wystąpieniu incydentu — tłumaczy ekspert.
Technologia również może skrócić reakcję, o ile jest wdrożona z myślą o działaniu w kryzysie, a nie tylko samym posiadaniu narzędzia. W ransomware krytyczne jest szybkie zatrzymanie procesu szyfrowania, izolacja zainfekowanej stacji, wykrycie źródła i przerwanie ruchu bocznego. To obszar, gdzie rozwiązania klasy EDR/XDR i automatyzacja reakcji mają bardzo konkretne przełożenie na czas.
Jak mówi Rafał Łączkowski: — Niezwykle istotna jest również technologia wspierająca działania ekspertów cyberbezpieczeństwa, w tym automatyzacja działań reakcyjnych. Przykładem może być wykorzystanie zaawansowanych rozwiązań klasy EDR/XDR, będących w stanie wykryć zagrożenie z bardzo wysoką skutecznością oraz w porę je zablokować. Dodatkowo, jeśli stacja końcowa została już zaszyfrowana, EDR/XDR umożliwia, przywrócenie jej do stanu sprzed ataku.
W praktyce oznacza to mniej ręcznych działań, mniej chaosu i szybsze odtwarzanie kluczowych stanowisk pracy.
Dla wielu organizacji szczególnie opłacalny jest model usługowy, bo zapewnia ciągłość monitoringu i dostęp do kompetencji, których nie da się łatwo zbudować wewnętrznie. — Korzystanie z modelu usługowego oferowanego przez partnera pozwoli organizacji na dostęp do wielu ekspertów zajmujących się różnymi dziedzinami cyberbezpieczeństwa bez potrzeby budowania własnego zespołu. Za część kosztów zatrudnienia jednego inżyniera zajmującego się cyberbezpieczeństwem otrzymujemy usługę monitorowania i reagowania na incydenty prowadzoną w trybie całodobowym — podsumowuje Rafał Łączkowski. To istotne, bo incydenty nie dzieją się tylko w godzinach pracy, a pierwsza godzina od wykrycia często decyduje o skali strat.
Wniosek na koniec
Jeśli sprowadzić najlepsze praktyki do sedna, skracanie czasu reakcji to połączenie trzech elementów: jasnego i przećwiczonego planu, ograniczenia skutków ataku w infrastrukturze oraz szybkiego wykrywania i blokowania działań napastnika dzięki technologii i/lub wsparciu partnera.
Gdy te elementy są na miejscu, firma nie musi być najbardziej zaawansowana w cyberbezpieczeństwie, żeby reagować szybko. Musi być przygotowana do działania pod presją i mieć gotowe odpowiedzi na kluczowe decyzje, zanim pojawi się pierwszy zaszyfrowany plik albo wiadomość z żądaniem okupu.
Daniel Kamiński