Případová studie Ransomware - technické a finanční dopady, způsoby obrany. Artur Kane Technology Evangelist

Rozměr: px

Začít zobrazení ze stránky:

Download "Případová studie Ransomware - technické a finanční dopady, způsoby obrany. Artur Kane Technology Evangelist"

Miluše Hájková
před 5 lety
Počet zobrazení:

1 Případová studie Ransomware - technické a finanční dopady, způsoby obrany Artur Kane Technology Evangelist

3 POKUD NEFUNGUJE POČÍTAČOVÁ SÍŤ, NEFUNGUJE ANI FIRMA BEZPEČNOST UŽ DÁVNO NENÍ O VTIPKOVÁNÍ, JE TO ZPŮSOB JAK ZASTAVIT FIRMU A VYDĚLAT

4 90% NÁKLADŮ NA BEZPEČNOST JDE DO PERIMETRU POUZE 25% ÚTOKŮ SEM MÍŘÍ VNITŘNÍ HROZBY JSOU NEJVĚTŠÍM NEBEZPEČÍM

5 ANTIVIRY HLEDAJÍ JIŽ ZNÁMÉ A POPSANÉ HROZBY TAKTO ZAEVIDOVAT NOVÝ DRUH HROZBY TRVÁ I CELÉ MĚSÍCE

6 Organizace Kybernetická bezpečnost Nemocnice 1500 zaměstnanců Lidé Firewall Antivirus AD 1500 lůžek Investice do technologií Proces Patchování Viditelnost DLP ~4,6 milionu korun tisíc Flowmon

7 Fáze 1. Prevence Uživatel otevírá přílohu u, jeho zařízení se nakazí Nákaza se šíří na další počítače včetně těch s přístupem do úložiště vizuální dokumentace a začne šifrovat data Preventivní opatření selhala Potenciální finanční ztráty aktuálně: cca 60tisíc korun za každý nový CT sken Operace a další aktivity závislé na dokumentaci mají stop

8 PREVENCI APLIKUJEME VŠICHNI A PŘESTO JSOU ÚSPĚŠNÉ ÚTOKY NA DENNÍM POŘÁDKU ŽÁDNÉ PENÍZE NEKOUPÍ DODRŽOVÁNÍ PROCESŮ

Fáze 2. Detekce Několik minut po začátku enkrypce dat Flowmon začíná informovat o anomáliích v běžném chování stanice, aktivita Ramsomwaru neustává.

9 Fáze 2. Detekce Několik minut po začátku enkrypce dat Flowmon začíná informovat o anomáliích v běžném chování stanice, aktivita Ramsomwaru neustává. Největší hrozbou a potenciální finanční ztrátou pro nemocnici je v této chvíli ohrožení jejich reputace. Škody nevyčíslitelné. Standardní systémy často nejsou schopné odhalit takovou aktivitu uvnitř sítě. Obrovské množství dat a komunikace na síti zabraňuje administrátorům v rychlém odhalení příčiny bez patřičných technologií.

10 CELOSVĚTOVĚ JE NEDOSTATEK ODBORNÍKŮ AŽ 50% DETEKCE JE O ZNALOSTECH, SCHOPNOSTECH A KAPACITĚ TUTO PRÁCI ZASTANE POUZE UMĚLÁ INTELIGENCE

11 Fáze 3. Reakce Není možné reagovat na situaci, pokud není známa příčina. Jako příčinu Flowmon odhalil konkrétní stanici a tím výrazně zjednodušil technikům práci. Stačí jen stanici odpojit od sítě. Reakční doba nejenom přímo ovlivňuje konečnou výši finančních ztrát, ale také určuje dobu potřebnou na obnovení stavu před útokem. Administrátoři musí zastavit ostatní činnosti a tím se odkládají úkony zajišťující chod organizace. Pokud se teď navíc objeví další problém, nemocnice nebude mít kapacitu jej řešit.

12 REAKČNÍ DOBA JE ČAS, KDY LZE NEJVÍC ZTRATIT, NEBO ZÍSKAT 29% ORGANIZACÍM TRVÁ 2-7 DNŮ 65% ORGANIZACÍ VINÍ NEDOSTATEK ZKUŠENOSTÍ

13 Fáze 4. Obnova V tento moment již neprobíhá další šifrování. Je potřeba přesně určit šíři obnovení kolik stanic je potřeba přeinstalovat, kolik dat je potřeba obnovit atp. a samozřejmě akce provést. Finanční ztráty zahrnují práci techniků na obnově, odkládání naplánovaných aktivit, neaktivní činnost personálu, zvětšující se fronty pacientů. I teď kdy je zastaveno další šifrování a šíření infekce je nemocnice stále paralyzovaná a musí se čekat na obnovu dat.

14 PLNĚ ROZUMNĚT ROZSAHU ÚTOKU ZNAMENÁ SNÍŽIT ČAS NA OBNOVU POLOVINA ORGANIZACÍ ZCELA OBNOVÍ CHOD PO VÍCE NEŽ 3 MĚSÍCÍCH OD ÚTOKU

Fáze 5. Analýza Útok skončil, proběhla obnova do normálního stavu. Čas si oddechnout? Ne. Nyní je potřeba analyzovat průběh útoku a posílit prevenci, detekci a reakci. Bez potřebných dat to ale nejde.

15 Fáze 5. Analýza Útok skončil, proběhla obnova do normálního stavu. Čas si oddechnout? Ne. Nyní je potřeba analyzovat průběh útoku a posílit prevenci, detekci a reakci. Bez potřebných dat to ale nejde. Finanční ztráty se rovnají zmařeným investicím do prevence, která není připravena správně bez příkladné znalosti sítě a možných bodů selhání. Tato fáze typicky neovlivňuje efektivní chod organizace. Dokud však neproběhne příprava na další útok, organizace musí žít s vědomím, že mohou nastat obdobné ztráty.

16 ANALÝZA JE NEZBYTNOU SOUČÁSTÍ PŘÍPRAVY PROCESŮ, PLÁNOVÁNÍ A ZLEPŠOVÁNÍ PREVENCE KAŽDÁ HODINA ČASU, KAŽDÁ KORUNA DO PREVENCE BEZ ZNALOSTI RIZIK JE VYHOZENÁ

18 International vendor devoted to innovative network traffic & performance & security monitoring 600+ customers worldwide First 100G probes in the world Strong R&D background European origin

19 The only vendor recognized in both NetFlow related Gartner reports network visibility & security Alliance partner of the premium technology vendors

All-in-one Package forensics, detection, reporting - added

Effective Pricing perpetual and subscription licensing per

and Performance deployments in networks from 50 to 50

collectors Outstanding User-friendliness agentless,

20 All-in-one Package forensics, detection, reporting - added value across all IT operations Transparent Licensing and Effective Pricing perpetual and subscription licensing per appliance capacity - HW or SW or cloud Ultimate Scalability and Performance deployments in networks from 50 to 50 million users, world s first 100G probes, the most powerful collectors Outstanding User-friendliness agentless, non-intrusive, easy and quick deployment, intuitive GUI, great time-tovalue

21 SMB Enterprise ISP/Telco Ensuring of IT security is now easier and more affordable for our customers. Jiri Sedlák, Security Director at O2 IT Services "We can identify the causes of network issues easier than ever before." Masahiro Sato, Operations Network Engineer at SEGA Retail, online, cities, manufacturers, utilities, healthcare and universities

22 Firewall chrání především proti útokům zvenčí to je málo Antiviry odhalí pouze již známé hrozby SIEM je jenom tak silný, jako jeho zdroje dat Flowmon takové mezery umí vyplnit

23 Prevence nemůže ochránit váš byznys Téměř 80% incidentů způsobí nedbalost (ne neznalost) Žádné řešení není samospasné, ale jsou taková, která ulehčí práci a sníží finanční ztráty Volte tu, která pomáhá v celém průběhu řešení problému, je jednoduchá a prokázaná v praxi Děkuji Artur Kane

Podobné dokumenty

Kybernetické hrozby - existuje komplexní řešení?

Kybernetické hrozby - existuje komplexní řešení? Cyber Security 2015, Praha 19.2.2015 Petr Špringl springl@invea.com Bezpečnost na perimetru Firewall, IDS/IPS, UTM, aplikační firewall, web filtr, email