Det här är en opinionstext. Åsikter som uttrycks är skribentens egna. Gå in i ett företags IT-säkerhetsrum under en pågående ransomware-attack och se liknande scener utspela sig. Säkerhetsexperter med olika teorier om hur hoten ska hanteras på bästa sätt. Jämfört med i en spelhall, är energin och kaoset som uppstår inte lika välkommet här. Det […]
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Gå in i ett företags IT-säkerhetsrum under en pågående ransomware-attack och se liknande scener utspela sig. Säkerhetsexperter med olika teorier om hur hoten ska hanteras på bästa sätt. Jämfört med i en spelhall, är energin och kaoset som uppstår inte lika välkommet här. Det orsakar konflikter eftersom ”bästa praxis” ofta glöms bort och återhämtningsförsöken ofta misslyckas.
Det är dags att återställa ordningen för hur arbetet med ransomware-attacker fungerar i praktiken. Nyheten om en högprofilerad attack sprids snabbt, med media och branschledare som spekulerar kring vad som kan ha gått fel. När dagarna passerar glöms vissa intrång bort, medan andra blir permanent associerade till företaget.
I denna artikel kommer jag att beskriva ett tydligt fyrstegsprogram för att hjälpa säkerhetsteam att snabbt och smidigt kunna hantera en cyberattack.
Återhämtningsplaner om en ransomware-attack saknar ofta tydliga handlingsplaner, förberedande planering, och en utvärdering över vilka system som faktiskt är verksamhetskritiska. Idag är ransomware-attacker ett så vanligt förekommande hot att det sker en ny attack var elfte sekund.
De organisationer som förutsätter att de kommer att bli utsatta, är ofta de som klarar sig bäst när olyckan är framme. Det är viktigt att arbeta fram en återhämtningsplan för hur man ska hantera en attack, och förutspå vilka verksamhetens svaga punkter kan vara. En sådan plan ska alltid utgå ifrån ”worst-case-scenario” som förutsätter att hela system slås ut. Genom att planera för hur man ska återta kontrollen och hantera en attack av den skalan kommer man kunna hantera en attack bättre när den väl slår till.
Ett vanligt hot ligger i den interna kommunikationen under och precis efter en attack. Att sätta tydliga planer för vem i säkerhetsteamet som ansvarar för vad ska inte underskattas. Med en tydlig plan för vem som gör vad och hur alla ska komma i gång med sin del av arbetet, online eller på plats, kan man spara värdefulla minuter under en brinnande attack.
Många tror att det enklaste är att betala den efterfrågade ransomware-summan som hackarna efterfrågar för att få tillbaka sina system och kunna återgå till verksamheten. Men så ser inte verkligheten ut. Förra året fick 92 procent utav företagen som betalade en ransomware-summa inte full tillgång till all sin data. Många kan alltså inte fortsätta verksamheten på samma sätt som tidigare, och i flera fall är man extra exponerade för framtida attacker med system som redan är infiltrerade.
I stället bör företag investera i automatiserad teknik som kan sköta återhämtningsarbetet åt dem. Säkerhetsteam med tillgång till modern teknik behöver inte gripas av panik och betala höga ransomware-summor. Moderna automatiserade system märker själv när en nätverkskomponent blivit attackerad och skärmar av denna från resten av nätverket för att förhindra att den skadliga koden sprider sig vidare. Systemen minimerar dessutom risken för mänskliga misstag vilket kan skapa stora konsekvenser med tiden, inte minst på företagets rykte och förtroende.
Ett företags rykte är bara lika starkt som allmänhetens förtroende för dess kompetens. I vissa fall, med särskilt skadligt eller uppmärksammat utfall, är det därför viktigt att kommunicera resultatet av en intern utredning offentligt. För företagets intressenter är transparens ofta nyckeln till att behålla deras förtroende efter att en olycka inträffat.
Data är värdefullt, och om den går förlorad, kan konsekvenserna bli förödande. Ransomware fungerar så att det krypterar data på ett sätt som gör den obrukbar till dess att hackarna har dekrypterat den. Det finns exempel där ransomware har planterats oannonserat i företags nätverk under flera månader, för att spridas i nätverket och till säkerhetskopior som också blir oanvändbara.
Majoriteten av dagens ransomware-attacker är fil-lösa och det är därför viktigt att noggrant skanna igenom hela nätverket, inklusive säkerhetskopior, för att säkerställa att nätverket är helt rent och för att undvika bakslag. Genom att kombinera traditionella och moderna automatiserade tekniker säkerställer man en robust strategi för att skydda sitt nätverk och för att hålla takten med de cyberkriminella aktörerna.
Samarbete är nyckeln till ett lyckat säkerhetsteam, och en viktig egenskap för alla team är förmågan att analysera sitt eget arbete och sina strategier för att utvärdera och förbättra.
Så fort hotet har lagt sig och attacken är motverkad är det viktigt att dela med sig av sin upplevelse och nya erfarenheter inom teamet, men även med andra avdelningar. Det är viktigt att säkerhetsstrategin är anpassad för alla så att den kan följas utan förvirring. Eftersom ett nätverk aldrig är starkare än sin svagaste länk är det viktigt att ha hela organisationen med sig i säkerhetsarbetet, och än viktigare att ta del av deras feedback för att anpassa och utveckla säkerheten vidare.
Hackarna verkar alltid ligga steget före, och ransomware-attacker är en viktig del av deras arsenal. Det är lätt att bli desorienterad när en attack angriper eftersom konsekvenserna kan bli förödande. Men om återhämtningsplanering integreras i kärnverksamheten från början, med investeringar i den senaste detektions- och svarstekniken och bästa säkerhetspraxis, kommer organisationer att ha goda förutsättningar att hantera hot som kommer deras väg.
Med en väl utvecklad säkerhetsstrategi kan säkerhetsteamet gå ifrån attacken med ett blåmärke eller två, men sannolikheten att de klarar av att skydda organisationen ökar väsentligt, och företaget kommer ostört kunna fortsätta med sin dagliga verksamhet.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
