Một cuộc tấn công ransomware đã nhắc nhở tôi về những bài học rất giá trị mà mọi tổ chức cần phải kết hợp.
Đầu năm nay, khi một giám đốc điều hành tại một bệnh viện gọi là nhóm Incident Response (IR) của chúng tôi, anh ta vẫn chưa nhận ra rằng tổ chức của mình đang đối mặt với một cuộc tấn công ransomware đang hoạt động. Symantec Endpoint Protection (SEP) và nhóm nội bộ của anh ta đã đánh dấu là đáng ngờ một số dữ liệu được đánh dấu bằng tên tệp gồm bốn chữ cái, anh ta giải thích và nhiều lần thử để xóa nó đã thất bại.
Anh nói cho tôi biết tên tập tin và trái tim tôi thắt lại. Chưa đầy một tuần trước, tôi đã thấy một nửa tá công ty trong các ngành công nghiệp khác nhau trở thành nạn nhân của các tập tin ransomware bao gồm bốn chữ cái giống nhau. Tuy nhiên, trong trường hợp này, phần lớn là do giám đốc điều hành đã liên hệ với nhóm ứng phó sự cố của chúng tôi ngay lập tức, chúng tôi đã thành công trong việc ngăn chặn cuộc tấn công trong khi nó đang được tiến hành.
Tôi đã khuyên nên tắt Internet tạm thời và triển khai Symantec Endpoint Protection 15, dựa trên nền tảng đám mây Symantec, giúp định vị nhanh chóng và dễ dàng các máy chủ và các mối đe dọa. Họ là những hacker không xác định, hoạt động ở Nam Mỹ và chúng tôi đã loại bỏ chúng trước khi họ có thể truy cập hoặc mã hóa bất kỳ tập tin hoặc bản sao lưu nào của bệnh viện. Nếu giám đốc điều hành do dự trong việc cảnh báo chúng tôi, hậu quả đối với công ty của anh ta có thể đã tàn phá, đặc biệt khi xem xét rằng ransomware được coi là vi phạm HIPAA và các công ty bị phạt nặng vì những vi phạm đó.
Thật vậy, ngay cả sau khi nhóm của chúng tôi đã thử nghiệm và đưa ra một hệ thống bảo vệ điểm cuối mới cho bệnh viện, việc tuân thủ HIPAA yêu cầu luật sư của mình chạy kiểm tra toàn bộ đĩa trên hàng chục máy trạm của bệnh viện, tiêu tốn 9 tháng làm việc. Tôi biết về một công ty có vị trí tương tự đã thất bại trong cuộc tấn công mạng không được đề cập.
Nó đã gần ba tháng kể từ khi sự cố này xảy ra, và khi tôi suy nghĩ về nó, tôi đã bị tấn công bởi cách nó chứng minh ba cách thực hành tốt nhất của Symantec đối với an ninh mạng:
- Có kế hoạch ứng phó sự cố chi tiết và chủ động kiểm tra. Chưa đầy hai tuần trước cuộc tấn công ransomware đã cố gắng, bệnh viện đã thực hiện kế hoạch luyện tập ứng phó sự cố trong một cuộc tập trận. Tôi tự tin rằng giải thích một phần lý do tại sao giám đốc điều hành mà tôi đã giải quyết vừa nhanh nhẹn vừa thông thạo trong việc đối phó với mối đe dọa. Ngoài ra, đảm bảo rằng doanh nghiệp của bạn có sẵn nhiều bản sao, cũng như các bản sao lưu cập nhật của tất cả dữ liệu, được lưu trữ ngoại tuyến.
- Đầu tư vào các công cụ phòng thủ tốt nhất. Là khách hàng của Symantec, bệnh viện được hưởng lợi từ sự tham gia của cả đội giám sát mối đe dọa và đội ứng phó sự cố. Như Symantec đã quan sát trong Báo cáo bảo mật đe dọa Internet năm 2019, các công cụ phân mảnh không còn đủ và các nền tảng tích hợp là tương lai. Được cấp, không giống như phần mềm phân tán thông thường được thiết kế để phát hiện các lỗ hổng trên mạng, bộ sản phẩm và dịch vụ được hỗ trợ của chúng tôi không phải là miễn phí, nhưng nghiên cứu trường hợp này minh họa giá trị to lớn mà doanh nghiệp đạt được khi hợp tác với chúng tôi. Trong năm năm làm người phản ứng sự cố chính của Symantec, tôi đã thấy vô số ví dụ khác về cách bảo vệ mà chúng tôi chi trả cho khách hàng vượt xa chi phí.
- Khi chuông báo thức bắt đầu reo. đừng ngại gọi giúp đỡ. Cho rằng tội phạm mạng bị kỳ thị rất cao (và đặc biệt là ransomware), điều đó hoàn toàn dễ hiểu khi các doanh nghiệp có ý thức thương hiệu thường xem nhẹ sự tiếp xúc của họ với các cuộc xâm nhập trực tuyến. Nhưng trong hơn 20 năm hoạt động trong lĩnh vực bảo mật, tôi đã học được nó, luôn luôn tốt hơn để an toàn hơn là xin lỗi. Một người phản ứng sự cố dày dạn sẽ không có thời gian cũng như không quan tâm đến việc chỉ trích doanh nghiệp của bạn vì đã trở thành nạn nhân của một cuộc tấn công. Công việc của chúng tôi là nói chuyện với bạn về tình huống, chống lại cuộc tấn công và hỗ trợ bạn trong việc đưa doanh nghiệp trở lại đúng hướng.
Một lưu ý cuối cùng ở đây về các xu hướng mà chúng tôi thấy trong ransomware: Cho đến năm 2017, người tiêu dùng là người chịu ảnh hưởng nặng nề nhất, nhưng sự cân bằng đã nghiêng về phía các doanh nghiệp. Theo ISTR gần đây nhất của chúng tôi, năm 2018, sự thay đổi đó đã tăng tốc và các doanh nghiệp chiếm 81 phần trăm tất cả các trường hợp nhiễm ransomware.
Symantec đã đạt được hiệu quả cải thiện trong việc ngăn chặn ransomware, cả thông qua bảo vệ email nâng cao và phân tích hành vi và các công cụ máy học. Đây là những tiến bộ đáng kể, một số trong đó tôi đã triển khai để ngăn chặn mối đe dọa chống lại bệnh viện. Đó là một câu chuyện thành công thực sự, và một câu chuyện chứng minh giá trị của việc tiếp cận với các đội phản ứng sự cố như chúng ta từ rất sớm.
Theo Symantec.com
