لقد تعرضت شركتك للتو لهجوم فدية. من سيجري نقطة؟ CIO أو CISO أو كليهما؟ الجواب يعتمد على ما إذا كان لديك كليهما. إذا قمت بذلك، فيمكنهم العمل بالتوازي لتقليل تأثير الهجوم أثناء التمكين استمرارية الأعمال.
ومن المهم أيضًا أن تكون المنظمات كذلك على استعداد لهجوم الفديةوهذا هو السبب وراء قيام CISOs بإجراء تمارين الطاولة. قد يتوفر كتاب قواعد اللعبة الذي يحدد الخطوات اللازمة ويعين المسؤوليات.
ولكن لا يؤيد الجميع قواعد اللعب، لأن الهجوم الذي تغطيه ربما لن يتطابق مع الهجوم الذي يحدث. وبغض النظر عن شعور CISOs وCIOs تجاه قواعد اللعبة الإرشادية، فإنهم يميلون إلى الاتفاق على أن وقت التخطيط ليس عند وقوع الحادث للتو.
لقد ناقشنا الأمر مع ثلاثة من كبار مسؤولي تكنولوجيا المعلومات، أحدهم يقود أيضًا وظيفة تكنولوجيا المعلومات:
-
حذر زاكاري لويس، رئيس قسم تكنولوجيا المعلومات ورئيس قسم تكنولوجيا المعلومات في جامعة العلوم الصحية والصيدلة (UHSP)، من أنه عند إيقاف تشغيل الأنظمة أو استعادتها، قد يتم فقدان بيانات الطب الشرعي الضرورية. إنه معجب كبير بـ تمارين الطاولة.
-
وقال بريان بلاكلي، رئيس قسم تكنولوجيا المعلومات في شركة رأس المال الاستثماري بيليني كابيتال، إن الخطوات الثلاث الأولى يجب أن تكون التأكيد والاحتواء والتثبيت. وحذر أيضًا من أن قواعد اللعبة الصارمة يمكن أن تكون عائقًا أكثر من كونها مساعدة، ولهذا السبب أوصى باستخدام مكونات قابلة لإعادة الاستخدام يمكن تجميعها، حسب الضرورة، بسرعة.
-
قال كريس ريفكين، كبير مسؤولي الأمن والمخاطر في شركة Fortra العالمية لبرامج وخدمات الأمن السيبراني، إنه على الرغم من أن الاحتواء سيختلف في المؤسسات بناءً على بنياتها وضوابطها وتقنياتها، فإن أسوأ ما يمكن فعله هو تخمين القرارات القوية والحاسمة. وهو أيضًا من محبي تمارين الطاولة.
زاكاري لويس، رئيس قسم تكنولوجيا المعلومات ورئيس قسم تكنولوجيا المعلومات، جامعة العلوم الصحية والصيدلة
زاكاري لويس، UHSP: كن مستعدًا و
لا تقم بحذف بيانات الطب الشرعي عن طريق الخطأ
“عادة، من قبل [CIOs] فاعلم أنها فدية[ware] الهجوم، فإنهم عادة ما يحاولون استكشاف أخطاء شيء ما وإصلاحه. وأود أن أقول، “أوقف كافة عمليات استكشاف أخطاء التعافي من الكوارث وإصلاحها.” عليك أن تتوقف عن كل ذلك فوراً. لا ترغب في إتلاف أي أدلة جنائية بمجرد أن تعرف وتتأكد من تعرضك لحادث فدية.
“بعد ذلك، تقوم عادةً بأحد أمرين: تقوم بتهيئة فريق الاستجابة للحوادث، إذا كان لديك واحدًا. قد يكون مدير تكنولوجيا المعلومات و/أو رئيس أمن المعلومات، أو اثنين من الأشخاص الآخرين داخل المؤسسة. وبالترادف، فإنك أيضًا تسمح لفريق القيادة الخاص بك بمعرفة أنهم بحاجة إلى أن يكونوا على دراية حتى يتمكنوا من البدء في معالجة ما يجري. لذا، قد يكون ذلك هو الذهاب إلى رئيسك أو مستشارك العام وإعلامهم بذلك.
“بعد ذلك، اتصل بمزود التأمين السيبراني الخاص بك، لأنه ستكون هناك خطوات محددة يجب عليك استكمالها معهم. قد يكون أمرًا محددًا يتطلب منك إخطار الأشخاص. سيكون بمقدورهم تزويدك بخبراء الطب الشرعي، والتفاوض بشأن التهديدات، ومفاوضين التهديد، والمستشار العام الذي يفهم المشهد السيبراني. [enough to] التنقل في حادثة برامج الفدية تلك.
“أود أن أشجع بشدة إشراك مكتب التحقيقات الفيدرالي و/أو CISA [the Cybersecurity and Infrastructure Security Agency] خلال الساعة الأولى أو نحو ذلك بعد العثور على ملاحظة برنامج الفدية.”
أولويات CIO و CISO والتحضير
“[CIOs and CISOs] من المحتمل أن تكون لديهم أولويات مختلفة عندما يريدون القيام بالأشياء؛ سيكون مدير تقنية المعلومات أكثر قلقًا [about the] الجانب التجاري من الحفاظ على تشغيل الأنظمة، في حين أن CISO [wants to know] أين هذه البيانات الهامة؟ هل يتم التصفية؟ وجود خطة جيدة للاستجابة للحوادث، والتخطيط لهذه الأشياء مسبقًا [is necessary so both parties know] ما هي الخطوات التي من المفترض أن يتخذوها.
“أفضل طريقة افتراضية لاحتواء الهجوم هي قطع الاتصال بالإنترنت. فأنت لا ترغب في إعادة تشغيل النظام [or] أغلقه، لأنك قد تفقد أدلة الطب الشرعي. وبهذه الطريقة، إذا كانوا يقومون بتسريب أي بيانات، فإن هذا الوصول يتوقف، لذا يمكنك البدء في فرز كيفية دخولهم وتصحيح تلك الثغرة.
“نحتاج أيضًا إلى افتراض أنهم قاموا باختراق أنظمتنا وربما لديهم حسابات يمكنهم من خلالها رؤية رسائل البريد الإلكتروني والدردشات الخاصة بنا، لذلك نحتاج إلى الانتقال إلى اتصال خارج النطاق، أو إعداد حسابات Gmail أو قنوات Slack – شيء خارج عن المجال الطبيعي حتى تتمكن من بدء الاتصالات ومعرفة كيفية إصلاح ذلك.
“عليك أن ترى ما إذا كانت أنظمتك معطلة. إذا كانت معطلة [and] مشفرة، فأنت لا تريد استردادها [because] قد تحتاج إلى بيانات الطب الشرعي لمعرفة ما يحدث. لذا، من الناحية المثالية، أن يكون لديك خادم سحابي أو أي شيء آخر يمكنك من خلاله استعادة تلك الأنظمة المهمة وتدفق البيانات مرة أخرى.
“هذا هو المكان الذي يكون فيه وجود مدير تكنولوجيا المعلومات ومدير تكنولوجيا المعلومات مع فريقين مختلفين أمرًا منطقيًا، لأن مدير تكنولوجيا المعلومات يمكنه الوقوف على تلك الأنظمة المهمة مرة أخرى إذا تعطلت، [while] يمكن أن يقوم CISO بمراجعة سجلات الطب الشرعي في محاولة لمعرفة مكان حدوث الاختراق والبحث عن الحسابات المزيفة أو الضارة [and whether] لديهم باب خلفي في النظام. علينا أن نتأكد من عدم عودتهم مرة أخرى وتشفيرنا بعد تعافينا.
“أنت تريد الاستعداد لهذا قبل حدوثه. تريد تشغيل سطح الطاولة مع الفريق التنفيذي وجعلهم يفكرون في الكثير من هذه الأشياء، مثل، من سيبلغ الموظفين بحدوث هذا؟ هل فقدنا بيانات الموظفين؟ إذا كان الأمر كذلك، يجب أن نكون قادرين على إخبارهم بذلك. من يتواصل مع العملاء، ووسائل الإعلام؟ هل تعرف المديرة المالية وفريقها كيفية شراء بيتكوين إذا كنت ستدفع فدية؟ من السهل القول، “لن ندفع” الفدية، حتى يكون ذلك وتعلم أنك لا تستطيع استرداد ذلك “.
بريان بلاكلي، رئيس قسم تكنولوجيا المعلومات في شركة Bellini Capital
بريان بلاكلي، رئيس قسم تكنولوجيا المعلومات في شركة Bellini Capital:
تأكيد واحتواء وإرساء
“ربما تكون الدقائق القليلة الأولى أكثر أهمية مما تدركه معظم المؤسسات. من خلال تجربتي، يتم تحديد الخطوات الثلاث الأولى للتأكيد والاحتواء والتثبيت. نريد التأكد من نطاق الانفجار هذا، وليس الافتراض أو النظريات حول ما يمكن أن يكون، ولكن ما هو في الواقع؟ ستندهش من عدد الفرق التي أمضيت ساعاتها الأكثر قيمة في مناقشة ما إذا كانت بالفعل عبارة عن برامج فدية أم لا.
“ثانيًا، الاحتواء أولًا، والتواصل ثانيًا. أعتقد أن هناك أمرًا طبيعيًا [tendency for] البشر لإرسال بريد إلكتروني شامل، والاتصال باجتماع طارئ وحتى إخطار العملاء. إن الأمر الأكثر أهمية هو فرز وإيقاف النزيف، وعزل تلك الأنظمة المعرضة للخطر وشل الحركة الجانبية للممثل السيئ. إذا لم تتمكن من إيقاف زخم المهاجم، فإن القصة تزداد سوءًا كل دقيقة.
“يصبح التواصل أكثر إيلامًا في وقت لاحق. التواصل الواضح أمر ضروري، لكنني أعتقد أنه يكون أكثر فاعلية بمجرد احتواء الحادث بما يكفي للتحدث بصدق وأصيل.
“الجزء الثالث هو المرساة، وهذا هو الشيء الذي يفتقده معظم المهووسين بالتكنولوجيا: في كل خطوة تالية، قم بتثبيتها في الشركة لأن برامج الفدية تزدهر في حالة من الفوضى. الإرساء يعني اتخاذ القرارات بناءً على وظائف العمل المهمة التي تزيد الإيرادات. ما الذي لا يزال قيد التشغيل؟ ما هي الأنظمة التي تمثل ثقة العملاء وتمكن التدفق النقدي؟ فكر في استعادة الترتيب
الشركة تجني المال، وليس بالترتيب الذي يتم فيه تنظيم البنية التحتية.
“عندما كنت أعمل في شركة متوسطة الحجم تعرضت لبرامج الفدية، كانت لوحة المعلومات تحتوي على أنظمة مدرجة أبجديًا، لذا تحدث الفريق بشكل غريزي عنها بهذا الترتيب. وذلك عندما يتقدم مدير تكنولوجيا المعلومات الجيد ويقول: “إن رحلة الهجوم هذه ليست استراتيجية – إنها أي من هذه الأنظمة يدر لنا المال. [Restore] الأنظمة ذات الأهمية للإيرادات أولاً [to] حافظ على سير العمل واطرح الباقي في تسلسل مدروس وهادف.”
أولويات CIO و CISO والتحضير
“أعتقد أن مدير تكنولوجيا المعلومات ورئيس قسم تكنولوجيا المعلومات يتعاملان بشكل طبيعي مع أي حادث من زوايا مختلفة، وأعتقد أن هذا الاختلاف ضروري. عندما يعملان في وئام، تحصل على هذه الاستجابة المتوازنة التي تكون سريعة وآمنة. أعتقد أن مدير تكنولوجيا المعلومات يساعد في دفع الأعمال إلى الأمام، ويساعد رئيس أمن المعلومات الجيد في دفع الأعمال إلى الأمام بشكل أسرع وبثقة.”
“على يسار الازدهار، كل هذه الأشياء الرائعة والاستباقية. أنت تبني سياسات، وبرامج، وتبني ذاكرة عضلية، وتصبح بارعًا في أساسيات ما تحتاج إلى القيام به على المستوى التشغيلي لمنع حدوث أشياء سيئة.
“التحضير يؤتي ثماره بشكل كبير. إن المؤسسات التي رأيتها تتعافى بشكل أسرع هي تلك التي تصمم الحد الأدنى من طرق العمل القابلة للتطبيق من قبل [an attack]. إذا كنت لا تفهم وظائف عملك الهامة قبل حدث برامج الفدية، سوف تتعلمها بشكل مؤلم خلال الحدث. تريد تمكين العمليات اليدوية أو البديلة للحفاظ على تدفق الإيرادات.
“[You should have] اللبنات الأساسية، وليس قواعد اللعبة الصارمة [because they] تبدو رائعة على الورق وتضع علامة في مربع الامتثال، ولكن يمكنني أن أخبرك من خلال الخبرة، أنه لا يوجد سيناريو تتوصل إليه يطابق واقع السيناريو الحقيقي، لذلك ما يحدث هو أن قواعد اللعبة يتم التخلص منها خلال أول 15 دقيقة من [the incident].
“إذا كان لديك مكونات قابلة لإعادة الاستخدام يمكنك تجميعها سريعًا بناءً على الموقف الذي أمامك، فإن القدرة على التكيف يمكن أن توفر ساعات أو أيامًا من وقت التعافي.”
كريس ريفكين، كبير مسؤولي الأمن والمخاطر، فورترا
كريس ريفكين، فورترا: ابقَ هادئًا.
الممارسة تجعل من الكمال.
“[First,] احتواء والتواصل. الوقت هو جوهر الأمر. تأكد من تمكين الفرق بسلطة واضحة للقيام بما يلزم لاحتواء تفشي المرض، بغض النظر عن فقدان المزيد من القدرة التشغيلية. إن إعادة الأنظمة من إيقاف التشغيل المتحكم فيه أسهل بكثير من استعادتها من النسخ الاحتياطية. معًا، [provide] الرئيس التنفيذي مع تحديث للوضع، وكبار القادة الآخرين والمستشارين الخارجيين والتأمين.
“بعد ذلك، قم بالتحقيق وتقييم التأثير. قم بتقييم البيانات والأنظمة المتأثرة، وأصل الهجوم والتداعيات التنظيمية المحتملة، وابدأ في تجميع جدول زمني شامل ونطاق الهجوم. وفي مرحلة ما، يجب الاتصال بوكالة إنفاذ القانون المناسبة أيضًا.
“[Last, focus on] الاستجابة والانتعاش. يجب أن تكون هناك وظيفة استجابة مخصصة لتنسيق تدفق المعلومات والأولويات والتبعيات وما إلى ذلك. على سبيل المثال، أين ستذهب المنظمة للرد على استفسار العميل أو استفسار وسائل الإعلام المتعلق بالحدث إذا تم نشره للعامة، وكيف سيتم مشاركة هذه المعلومات؟ هناك ما هو أكثر بكثير من مجرد الأجزاء الفنية التي يجب تنسيقها، وغالبًا ما يكون التعامل معها أصعب من التعامل مع التكنولوجيا.
“[The best way to contain a ransomware attack will be different for each organization depending on their architectures, controls and technology, but in general, isolate as completely as possible. That may seem like overkill; however, assuming you are focusing on containment before investigation, you do not know the origin, secondary or tertiary tactics or motives at play. The worst thing to do is to second guess strong and decisive decisions.
Priorities arbiter
“[To ensure critical operations during the response,] قم بإشراك المديرين التنفيذيين بشأن أولويات التوفر والاستعادة، وقم بتعيين مسؤول تنفيذي – وليس الرئيس التنفيذي أو مدير تكنولوجيا المعلومات أو رئيس أمن المعلومات – ليكون الحكم على الأولوية. وهذا يسمح برؤية كاملة للأولوية المتصورة للأنظمة، مع تركيز عمليات الاستعادة والعمليات على أولويات العمل [rather] من الأولويات التنفيذية الفردية. من الناحية النظرية، يجب أن يكون لديك بالفعل أولوية للأنظمة تعتمد على هدف وقت الاسترداد، على الرغم من أن ذلك قد يكون أو لا يكون فعالاً في حدث حقيقي، في انتظار آخر مرة مارست فيها عمليات الاستجابة الخاصة بك.
“حافظ على هدوئك. الممارسة تؤدي إلى الكمال. متى كانت آخر مرة قمت فيها بإجراء تمرين سطحي للتعافي؟ يجب التحقق من صحة الأنظمة الرئيسية وأولويات العمل وقوائم الاتصال والتغييرات في التكنولوجيا أثناء تدريباتك التدريبية. لا تفترض أنه سيكون لديك إمكانية الوصول إلى إصدار عبر الإنترنت من خطة الاسترداد الخاصة بك، فقد تكون هذه الأنظمة غير متصلة بالإنترنت أثناء حدث حقيقي. افهم مكان وجود نسخ خطة الاسترداد الخاصة بك وتحقق من إمكانية الوصول إليها بسرعة كافية لدعم عمليات البحث والإنقاذ الخاصة بك، إلى جانب القدرة على التواصل مع الموظفين المهمين.”
