U toku je sajber napad. Uljez je unutar vaše mreže: slobodno se kreće, prikuplja podatke i postavlja komandno-kontrolni (C&C) čvor za buduću komunikaciju. Osim ovoga puta, vi ih gledate – možete vidjeti šta rade. Ostaje dilema: čime se bavite? Dozvoliti im da nastave da prolaze kroz mrežu dok radite, sačekate da stignu forenzičari ili pronađu način da ih zaustave?
Ranije ove godine, a BBC Izvještaj o Co-op incidentu tvrdi da je IT tim u maloprodaji u Velikoj Britaniji “donio odluku da isključi kompjuterske usluge van mreže, sprječavajući kriminalce da nastave sa hakovanjem”.
Zločinci su poslali poruku BBCnavodeći: “Mreža Co-op nikada nije patila od ransomware-a. Oni su povukli vlastiti utikač – smanjili prodaju, spalili logistiku i spalili vrijednost dioničara.”
U svom saopćenju, Co-op je rekao da je “poduzeo ranu i odlučnu akciju da zaštiti našu Co-op, uključujući ograničavanje pristupa nekim sistemima”, što je pomoglo da se problem obuzda, spriječi daljnji pristup podacima i zaštiti šira organizacija.
Kada su ispitani u Podkomitetu za poslovanje i trgovinu u julu, predstavnici Co-op-a nisu direktno koristili frazu “izvući utikač”. Ali Rob Elsey, direktor grupe za digitalne informacije u Co-op-u, rekao je da su VPN i daljinski pristup ograničeni “kao način da osiguramo da smo u mogućnosti zadržati kriminalce podalje od naših sistema”.
Elsey je objasnio da softver unutar svoje mreže “efikasno pokušava komunicirati sa web-stranicom aktera prijetnje”, a nakon što je identificirao izvor, tim je preduzeo proaktivnu mjeru pauziranja cjelokupne komunikacije unutar te zone.
To, naglasio je, nije “izvlačenje iz struje”. Co-op sistemi „su jako segregirani, što znači da je ovo bilo u velikoj mjeri fokusirano na jednu specifičnu zonu“. Komitetu je rekao: „Za sve ovo naše poslovanje na mreži nastavilo je normalno da radi, a naše maloprodaje i plaćanja su segmentirani, tako da nisu bili dio ovog napada.
Koji utikač izvlačiš?
Tumačenje je otvoreno da li je Co-op zaista isključio. No, nakon nedavnih odluka o plaćanju ransomware-a, opcija da se odmah preduzmu mjere može dovesti do pragmatičnijih odluka.
Ev Kontsevoy, izvršni direktor Teleporta, kaže da, iako bi isključivanje moglo biti efikasna kratkoročna taktika, “to je pristup maljem, a ne strategija”, dodajući: “Prebacivanje sistema van mreže može zaustaviti bočno kretanje ili eksfiltraciju podataka u trenutku, ali ne rješava osnovni problem: kako su napadači ušli, koliko dugo su bili tamo i šta je uzrok neometanog pristupa. opipljiviji uticaj sajber napada ovih dana Ne bismo trebali ohrabrivati još veće poremećaje tako što ćemo sisteme isključiti.”
Tim Rawlins, direktor i viši savjetnik u NCC Grupi, kaže za Computer Weekly da to nije tako jednostavno kao jednostavno „isključivanje utikača“. Kritično pitanje, kaže on, je koji priključak – onaj koji je povezan s vanjskim svijetom ili onaj na internu mrežu?
“Kada ljudi pričaju o izvlačenju iz utičnice, ne želimo da potpuno isključe sisteme, jer tada gubimo sve nestabilne forenzičke dokaze – podatke u memoriji. Ako povučete utikač u klasičnom smislu ‘isključi, upali ponovo’, to je ono što gubimo”, kaže on.
Umjesto toga, Rawlins savjetuje pravilnu segmentaciju mreže: “Pokušavate otežati prijelaz iz ovog segmenta u taj segment. Ili je potpuno fizički odvojen, ili ima firewall s dodatnom kontrolom pristupa zasnovanom na ulogama.”
Segmentiranje mreže, dodaje, najbolja je praksa bez obzira na to. U slučaju napada, otežava bočno kretanje. „Ako možete da izvučete mrežni utikač, a ne utikač za napajanje, onda možete smanjiti šanse da se on proširi sa jednog hosta na više hostova – i zaista tu dolazi ‘izvlačenje utikača’,” kaže Rawlins.
“Postoji element gašenja stvari za koje vjerujete da nisu kompromitovane. Ako možete vidjeti rutu kojom su došle, možete preskočiti to i zaustaviti pristup. Ali morate biti sigurni da ne uspije. Ako samo isključite sistem – bukvalno izvucite utikač – mnogi sistemi će se srušiti.”
“Umjesto toga možete ih ugasiti tako da miruju i nisu dostupni za napad – to će učiniti mnoge organizacije. Skraćenica je da se izvuče iz utičnice, a dugotrajna je da morate malo pažljivije razmisliti o tome.”
Kontekst je bitan
Pitanje nije samo da li se isključiti, već šta situacija zahteva. U anketi na LinkedIn-u koju je ovaj novinar vodio na ovu temu, 55% ispitanika je reklo da je povlačenje utikača najbolji način da se zaustavi napad koji je u toku. Međutim, komentari na anketu jasno su pokazali da to nije tako binarno. Jedan ispitanik je rekao da je to „drastična stvar u krajnjoj instanci“. Drugi su naglasili potrebu da se razmotre „arhitektura, segmentacija, kritični serveri, tip incidenta i mnogo više podataka“ prije nego što se postupi.
Tim Anderson, glavni službenik za korisnike u Velikoj Britaniji u CyberCX-u, objašnjava da je isključenje servera uobičajen i često efikasan korak, ali nije jednostavan i može dovesti do novih rizika.
„Važno je ciljati na prave sisteme“, kaže on. „S obzirom na to koliko su moderni računarski sistemi međusobno povezani – i interno i sa internetom – isključivanje svega može biti složeno, dugotrajno i ometajuće.
“Gdje je to moguće, naši digitalni forenzičari i osobe koje reagiraju na incidente preferiraju ‘hirurške’ mrežne izolacije određenih sistema ili dijelova mreže. Ovo efektivno isključuje pogođene sisteme s interneta, umjesto da povlači napajanje. Može obuzdati napad i omogućiti istražiteljima ključno vrijeme da shvate razmjere i utjecaj.”
On priznaje da isključivanje ponekad može biti efikasno, ali nije poželjno. To može biti jako ometajuće, a sofisticirani napadači često primjenjuju metode povrata pristupa kada se sistemi vrate na mrežu.
Priznanje neuspjeha?
Drugi ugao je percepcija. Ako povučete utikač, priznajete li neuspjeh? Rafal Los, voditelj podcasta i šef GTM usluga u ExtraHop-u, sugerira da. “To je jedna od rijetkih stvari zbog kojih bih otpustio CISO – imate sigurnosni problem i morate zatvoriti posao? Otpušteni ste”, kaže on.
Los navodi SQL Slammer crva iz 2003. kao primjer kada su mreže u potpunosti kolabirali, ostavljajući gašenje kao jedinu opciju. Ali samo 18 mjeseci kasnije, kaže on, bolje prakse su omogućile više hirurških intervencija, poput gašenja određenih mrežnih segmenata ili portova.
“U 2025. ovo ne može biti funkcionalna strategija”, tvrdi Los. “Ako je odgovor ‘isključi sve’, onda imate ono što smatrate nekontroliranom krvarenjem u jednom od vaših prstiju, a vaš odgovor je da ga odsiječete.”
Ističe da se o mikrosegmentaciji i nultom povjerenju razgovara godinama. Ako se knjiga i dalje završava povlačenjem kabla za napajanje, to znači da ste izgubili vidljivost i kontrolu. „U tom trenutku, to je apsolutno najgora noćna mora svakog stručnjaka za sajber sigurnost“, kaže on. “Ne mogu zamisliti da nekome dam savjet da ga jednostavno ugasi. To zvuči, usuđujem se reći, jednostavno neodgovorno.”
Presedan
Uprkos ovim upozorenjima, postoje primeri isključenja visokog profila. Prema Newsweeksajber napad na Saudi Aramco 2012. doveo je do toga da je Shamoon virus izbrisao čvrste diskove, primoravši kompaniju da uništi više od 30.000 računara.
Slično, napad na Colonial Pipeline 2021. doveo je do toga da je nekoliko sistema isključeno iz mreže kako bi se spriječio proboj. Taj potez je privremeno zaustavio rad cjevovoda i poremetio više IT sistema.
Los priznaje da postoje ekstremni slučajevi u kojima je gašenje svega jedina opcija. Ali, rekao je, ako je to jedino rješenje na stolu, to odražava „potpuno nespremnost kao organizacija“.
Rawlins se složio da smanjenje pristupa internetu usred napada ponekad može imati smisla, jer napadačima oduzima njihov čvor za komandu i kontrolu. Ali šire posljedice – šta još zavisi od te povezanosti – moraju se odvagnuti.
Završne misli
Izmišljeni prikazi sajber sigurnosti često prikazuju izvlačenje kao dramatično rješenje. Ali u stvarnosti, to je rijetko konačna ili najbolja opcija. Češće, odražava lošu mrežnu arhitekturu ili nedovoljnu segmentaciju.
Pravo rješenje leži u pripravnosti: segmentacija, priručnik i uvježbani planovi odgovora na incidente. U sajber sigurnosti, isključivanje i ponovno uključivanje može raditi za neke probleme – ali kada je u pitanju aktivan napad, to je rijetko najbolja opcija.