Ekibim kısa süre önce Avrupa’daki bir şirketten, güvenlik güçlerinden bilgisayar korsanları tarafından hedef alınabileceği konusunda uyarılar alan bir telefon aldı. Bir saldırganın şirket ağına girdiğine, kimlik bilgilerini aldığına ve ardından ayrıldığına dair adli verilerimizde kanıt bulduk. Bulduğumuza göre, saldırgan CISO kadar erişime ve bilgiye sahipti – belki daha da fazla.
Ve bu muhtemelen hikayenin sonu değildi; saldırganlar, herhangi bir şey yapmadan önce genellikle ağların içinde (bekleme süresi olarak bilinir) haftalar veya aylar geçirirler. Saldırganın geri dönmesi için iyi bir şans vardı. Bu, bir saldırı veya izinsiz giriş sonrası ile uğraşan herhangi bir şirket için akılda tutulmalıdır ve bir olay sona ermiş gibi görünse bile müdahale bütünsel, aktif bir yaklaşım gerektirir. Genellikle “kurtarma” dönemi olarak anılır, tespit edilen bir izinsiz giriş veya saldırıdan sonraki saatler, günler ve haftalar pasif olmaktan başka bir şey değildir. Bu dönem harekete geçmeyi gerektirir; aslında buna “kurtarma” değil “olay sonrası yanıt” denmesi gerekir. Bu sadece her siber olayın çok önemli bir dönemi olmakla kalmaz, aynı zamanda siber güvenlik duruşu ve genel olarak şirket için de önemli bir büyüme fırsatı olabilir.
saldırganlar Geri Dönün, O halde Kurbanlar Düşmanlarını İncelemeli
Genellikle bu Avrupa şirketindekine benzer bir izinsiz giriş gördüğümüzde, kuruluşlar önerilen değişiklikleri yapmak için yeterince odaklanmaz veya gerekli bütçeyi harcamaz ve saldırgan, neden olabilecek bir fidye yazılımı saldırısı gibi daha kötü bir şeyle geri döner. büyük mali ve itibar zararı. Birçok şirket, saldırganların sıklıkla geri gelmesi gerçeğinde saklı olan benzersiz fırsatı da göremiyor: Saldırı sonrası veya izinsiz giriş sonrası aşama, düşman hakkında – nereden geldikleri, nasıl girdikleri hakkında bilgi edinmek için değerli bir zaman olarak hizmet edebilir. , hangi varlıkları kontrol etmek için en çok zaman harcadıkları.
Olası saldırılara hazırlanırken düşmanın kim olabileceğini belirlemek için çok zaman harcanmasına rağmen, saldırı sonrası dönem düşmanın kim olduğuna dair gerçek kanıtlar sunar. Mevcut ve gelecekteki olası düşmanlara ilişkin bu gelişmiş anlayış, yalnızca iş değeri ve sürekliliği için en önemli olan değil, aynı zamanda hedef alınması en muhtemel olan varlıkları korumak için kaynakların daha iyi tahsis edilmesini sağlar. Bir saldırganın hangi coğrafi bölgeden geldiğini ve devlet destekli çabalarla bağlantılı olma şanslarının olup olmadığını bilmek, şirketlerin bir kuruluşun karşı karşıya olduğu tehdit türleriyle başa çıkmak için gerekli yeteneği getiren siber güvenlik ekipleri kiralamasına da olanak tanır.
Durdurmak Saldırı Sadece Başlangıçtır
Bir saldırı yolu engellendiğinden veya saldırganlar tüm verileri erişilebilir durumda bıraktığından (örneğin, üzerine fidye yazılımı yerleştirmeyi reddederek), yine de fikri mülkiyet ve tescilli veya kişisel veriler elde etmiş olabilirler. Ve bu daha sonra bir işi sabote etmek, istihbarat elde etmek veya Dark Web’den para kazanmak amacıyla sızdırılabilir. Birden fazla aşamaya veya hedefe sahip saldırılar artıyor; Başlangıçta kurban kuruluştan para almaya yönelik bir fidye yazılımı saldırısı olarak ortaya çıkan şey, bu bilgi sızdırıldığında veya kamuoyunu etkilemek için kullanıldığında bir karalama kampanyasına dönüşebilir. Bir kuruluş bir saldırıyı çok az belirgin hasarla algılayabildiği veya durdurabildiği için, saldırgan daha sonra doğrudan yazılım tedarik zinciri aracılığıyla veya orijinalinden nispeten zarar görmemiş e-posta adreslerini hedefleyen kimlik avı kampanyaları aracılığıyla bağlantılı olan diğer kuruluşları hedef alabilir. , hedef. Bir olay sona ermiş gibi görünse de, muhtemelen bitmemiştir; daha fazla kurbanın ortaya çıkması muhtemeldir.
Anlaştık mı Yönetim Düzeyinde Bir Saldırının Son Milinde
Bir saldırı veya güvenlik ihlali belirtilerinden sonra şirketler, hükümet ve düzenleyici kurumlar, müşteriler, müşteriler ve iş ortakları gibi doğru tarafları bilgilendirmek de dahil olmak üzere bir talep kontrol listesini yerine getirdiklerinden emin olmalıdır. Tüm bu yükümlülükler, olay sonrası müdahalenin ayrılmaz bir parçası olmalı ve birden fazla departmanı içermelidir.
Ancak birden fazla departmanın ve tüm üst yönetimin katılımı bu yükümlülüklerle bitmemelidir. Olay sonrası dönem, bütüncül bir yönetsel yaklaşım için en önemli dönemlerden biridir; sonuçta, bir saldırgan hassas kurumsal bilgileri halka sızdırmaya veya bunları Dark Web’de satmaya karar verirse, bu yalnızca CISO’nun sorunu değildir; aynı zamanda departmanlardaki yöneticilerin ilgilenmesi gereken bir şeydir. Buna halkla ilişkiler dahildir; Herkesin, her yerde siber saldırılara karşı savunmasız olduğu günümüz dünyasında, bir organizasyonun bir saldırıya tepkisi ve onu nasıl ele aldığı marka bütünlüğünü korumak için çok önemlidir.
Olay sonrası aktivite yoğundur ve yoğun olmalıdır. Ancak, ne yazık ki çoğu zaman olduğu gibi, CISO’ya bırakılmamalıdır. Bir saldırı veya güvenlik ihlali devam ederken, CEO, COO ve insan kaynakları ve hukuk ekipleri dahil olmak üzere şirket liderliğinin çoğunun dahil olduğunu sık sık görüyoruz. Bu yöneticilerin ve ekiplerin saldırı sonrası aşamaya liderlik etmeye devam etmesi önemlidir.
Tüm şirket aynı zamanda bir siber saldırıya yol açan teknik olarak neyin yanlış gittiğini değil, aynı zamanda nasıl ele alındığını, gelecek için derslerin belirlenmesini ve siber güvenlik müdahale planını güncellemesini de incelemeye dahil olmalıdır. Siber güvenlik, bir şirketi her zamankinden daha fazla geliştirebilir veya çökertebilir; bu gerçeklik, bazıları saldırının bittiğini sansa bile, bir saldırının her aşamasında tam teşekküllü bir ekip çalışması gerektirir.
İyi yapılırsa, bir saldırıya yanıt yalnızca güvenlik açıklarını kapatmakla kalmayacak, aynı zamanda markanın itibarını, operasyonlarını ve müşterilerini koruyacak ve bir sonraki saldırıyı savuşturmak için bir şirketi daha hazırlıklı hale getirecektir.