Πέντε βήματα «σωτηρίας» για εταιρίες-θύματα κυβερνοεπίθεσης

Καθώς το σύγχρονο επιχειρείν βασίζεται όλο και περισσότερο στην ψηφιακή τεχνολογία, και με τα κρούσματα των κυβερνοεπιθεσέων να αυξάνονται διαρκώς, η προστασία των εταιρικών δεδομένων αποκτά ακόμη πιο μεγάλη σημασία.

Η Denise Giusto Bilić, Security Researcher της Εset, συμβουλεύει εταιρίες και οργανισμούς που έχουν δεχτεί επιθέσεις, να ακολουθήσουν πέντε βασικά βήματα, ώστε να μπορέσουν να προστατεύσουν τους σημαντικούς τους πόρους.

Βήμα 1: Προσδιορίστε το εύρος της μόλυνσης. Οι εταιρίες που έχουν

πέσει θύματα επίθεσης συνήθως βασίζονται στη διαίσθησή τους για να αξιολογήσουν την κατάσταση, παρά σε μια αναλυτική εξέταση του προβλήματος. Αν η εταιρία έχει επενδύσει στην ανάπτυξη ισχυρών συστημάτων διαχείρισης περιστατικών έκτακτης ανάγκης, είναι δυνατόν να συγκεντρωθούν γρήγορα τα στοιχεία που θα οδηγήσουν σε βάσιμες εκτιμήσεις, ώστε να διερευνηθούν τα πρώτα σημαντικά ερωτήματα: ποια συστήματα έχουν παραβιαστεί και με ποιο τρόπο; Η μόλυνση περιορίζεται σε ένα μόνο τμήμα του δικτύου; Έχουν διαρρεύσει δεδομένα; Μιλάμε για εταιρικά δεδομένα ή για προσωπικά δεδομένα σχετικά με υπαλλήλους και/ή πελάτες;

Βήμα 2: Εξασφαλίστε τη συνέχεια της επιχειρηματικής λειτουργίας. Σε περίπτωση διαρροής πληροφοριών που ενδέχεται να θέσουν σε κίνδυνο εργαζομένους ή πελάτες, απαιτείται καταρχήν η ενημέρωση και η προειδοποίησή τους. Αν η εταιρία έχει φροντίσει για αντίγραφα ασφαλείας των αρχείων της, και διαθέτει ήδη ένα σχέδιο δράσης, μπορεί να επιστρέψει άμεσα στους κανονικούς ρυθμούς εξυπηρέτησης των πελατών της.

Βήμα 3: Περιορίστε τη μόλυνση. Αρχικά, θα πρέπει να απομονωθεί ο εξοπλισμός ή/και το τμήμα του δικτύου που έχει παραβιαστεί. Σε περίπτωση που διαπιστωθεί ότι οι επικοινωνίες που χρησιμοποιούνται για την επίθεση είναι κρυπτογραφημένες, θα πρέπει να εντοπιστούν τα κλειδιά με τη βοήθεια τεχνικών reverse engineering, ενώ, αν η επικοινωνία πραγματοποιείται σε μη εμπιστευτικά πρωτόκολλα όπως το HTTP, ο εντοπισμός των εντολών που χρησιμοποιεί ο επιτιθέμενος θα είναι ευκολότερος. Και στις δύο περιπτώσεις, στόχος είναι η δημιουργία κανόνων για το τείχος προστασίας, ώστε να δημιουργηθεί γρήγορα μια πρώτη γραμμή άμυνας. Το κατά πόσο η εταιρία έχει επενδύσει σε μηχανισμούς προληπτικής ανίχνευσης και εντοπισμού των απειλών, και χρησιμοποιεί μια ολοκληρωμένη λύση ασφάλειας, θα καθορίσει την ικανότητά της να ανταποκριθεί σε αυτή την κρίσιμη φάση.

Βήμα 4: Εξάλειψη της μόλυνσης και της επίθεσης. Η απομάκρυνση του κακόβουλου κώδικα είναι μια περίπλοκη διαδικασία. Το πρώτο στάδιο περιλαμβάνει τη λεπτομερή ανάλυση του κώδικα για να κατανοηθεί ο τρόπος λειτουργίας του, κάτι που οι λύσεις antivirus κάνουν αυτόματα, εξοικονομώντας πολύτιμο χρόνο στη διαδικασία απόκρισης. Είναι σημαντικό να απομακρυνθούν οποιαδήποτε κακόβουλα υπολείμματα και να αφαιρεθεί το τρωτό σημείο από όπου έγινε η επίθεση, να ενισχυθεί η διαδικασία ανάλυσης των πακέτων που μεταδίδονται από το δίκτυο, να αναθεωρηθούν οι ρυθμίσεις του τείχους προστασίας, να αλλαχθούν οι κωδικοί πρόσβασης στα εταιρικά δίκτυα και να ενημερωθούν τα κλειδιά. Σε αυτό το σημείο, αξίζει να διαπιστωθεί αν η λοίμωξη ήταν αποτέλεσμα απλής απροσεξίας ή μέρος μίας στοχευμένης σειράς επιθέσεων.

Βήμα 5: Μάθετε από τυχόν σφάλματα. Μια εμπεριστατωμένη έρευνα για το τι συνέβη μπορεί να αποτελέσει αφορμή για τη βελτίωση των διαδικασιών εντός της εταιρίας. Η αφαίρεση τυχόν ευπαθειών, η ύπαρξη των οποίων ήταν προηγουμένως άγνωστη, είναι ευκαιρία για να εντοπιστούν και άλλα τρωτά σημεία και να ενισχυθεί η άμυνα. Θα φανούν επίσης στοιχεία του σχεδιασμού του συστήματος που πρέπει να ενισχυθούν, και θα ανακαλυφθούν τα αδύναμα σημεία που υπάρχουν στην τρέχουσα άμυνα, ώστε να σχεδιαστεί μία ισχυρότερη.