Případová studie Ransomware - technické a finanční dopady, způsoby obrany Artur Kane Technology Evangelist
POKUD NEFUNGUJE POČÍTAČOVÁ SÍŤ, NEFUNGUJE ANI FIRMA BEZPEČNOST UŽ DÁVNO NENÍ O VTIPKOVÁNÍ, JE TO ZPŮSOB JAK ZASTAVIT FIRMU A VYDĚLAT
90% NÁKLADŮ NA BEZPEČNOST JDE DO PERIMETRU POUZE 25% ÚTOKŮ SEM MÍŘÍ VNITŘNÍ HROZBY JSOU NEJVĚTŠÍM NEBEZPEČÍM
ANTIVIRY HLEDAJÍ JIŽ ZNÁMÉ A POPSANÉ HROZBY TAKTO ZAEVIDOVAT NOVÝ DRUH HROZBY TRVÁ I CELÉ MĚSÍCE
Organizace Kybernetická bezpečnost Nemocnice 1500 zaměstnanců Lidé Firewall Antivirus AD 1500 lůžek Investice do technologií Proces Patchování Viditelnost DLP ~4,6 milionu korun + 800 tisíc Flowmon
Fáze 1. Prevence Uživatel otevírá přílohu emailu, jeho zařízení se nakazí Nákaza se šíří na další počítače včetně těch s přístupem do úložiště vizuální dokumentace a začne šifrovat data Preventivní opatření selhala Potenciální finanční ztráty aktuálně: cca 60tisíc korun za každý nový CT sken Operace a další aktivity závislé na dokumentaci mají stop
PREVENCI APLIKUJEME VŠICHNI A PŘESTO JSOU ÚSPĚŠNÉ ÚTOKY NA DENNÍM POŘÁDKU ŽÁDNÉ PENÍZE NEKOUPÍ DODRŽOVÁNÍ PROCESŮ
Fáze 2. Detekce Několik minut po začátku enkrypce dat Flowmon začíná informovat o anomáliích v běžném chování stanice, aktivita Ramsomwaru neustává. Největší hrozbou a potenciální finanční ztrátou pro nemocnici je v této chvíli ohrožení jejich reputace. Škody nevyčíslitelné. Standardní systémy často nejsou schopné odhalit takovou aktivitu uvnitř sítě. Obrovské množství dat a komunikace na síti zabraňuje administrátorům v rychlém odhalení příčiny bez patřičných technologií.
CELOSVĚTOVĚ JE NEDOSTATEK ODBORNÍKŮ AŽ 50% DETEKCE JE O ZNALOSTECH, SCHOPNOSTECH A KAPACITĚ TUTO PRÁCI ZASTANE POUZE UMĚLÁ INTELIGENCE
Fáze 3. Reakce Není možné reagovat na situaci, pokud není známa příčina. Jako příčinu Flowmon odhalil konkrétní stanici a tím výrazně zjednodušil technikům práci. Stačí jen stanici odpojit od sítě. Reakční doba nejenom přímo ovlivňuje konečnou výši finančních ztrát, ale také určuje dobu potřebnou na obnovení stavu před útokem. Administrátoři musí zastavit ostatní činnosti a tím se odkládají úkony zajišťující chod organizace. Pokud se teď navíc objeví další problém, nemocnice nebude mít kapacitu jej řešit.
REAKČNÍ DOBA JE ČAS, KDY LZE NEJVÍC ZTRATIT, NEBO ZÍSKAT 29% ORGANIZACÍM TRVÁ 2-7 DNŮ 65% ORGANIZACÍ VINÍ NEDOSTATEK ZKUŠENOSTÍ
Fáze 4. Obnova V tento moment již neprobíhá další šifrování. Je potřeba přesně určit šíři obnovení kolik stanic je potřeba přeinstalovat, kolik dat je potřeba obnovit atp. a samozřejmě akce provést. Finanční ztráty zahrnují práci techniků na obnově, odkládání naplánovaných aktivit, neaktivní činnost personálu, zvětšující se fronty pacientů. I teď kdy je zastaveno další šifrování a šíření infekce je nemocnice stále paralyzovaná a musí se čekat na obnovu dat.
PLNĚ ROZUMNĚT ROZSAHU ÚTOKU ZNAMENÁ SNÍŽIT ČAS NA OBNOVU POLOVINA ORGANIZACÍ ZCELA OBNOVÍ CHOD PO VÍCE NEŽ 3 MĚSÍCÍCH OD ÚTOKU
Fáze 5. Analýza Útok skončil, proběhla obnova do normálního stavu. Čas si oddechnout? Ne. Nyní je potřeba analyzovat průběh útoku a posílit prevenci, detekci a reakci. Bez potřebných dat to ale nejde. Finanční ztráty se rovnají zmařeným investicím do prevence, která není připravena správně bez příkladné znalosti sítě a možných bodů selhání. Tato fáze typicky neovlivňuje efektivní chod organizace. Dokud však neproběhne příprava na další útok, organizace musí žít s vědomím, že mohou nastat obdobné ztráty.
ANALÝZA JE NEZBYTNOU SOUČÁSTÍ PŘÍPRAVY PROCESŮ, PLÁNOVÁNÍ A ZLEPŠOVÁNÍ PREVENCE KAŽDÁ HODINA ČASU, KAŽDÁ KORUNA DO PREVENCE BEZ ZNALOSTI RIZIK JE VYHOZENÁ
International vendor devoted to innovative network traffic & performance & security monitoring 600+ customers worldwide First 100G probes in the world Strong R&D background European origin
The only vendor recognized in both NetFlow related Gartner reports network visibility & security Alliance partner of the premium technology vendors
All-in-one Package forensics, detection, reporting - added value across all IT operations Transparent Licensing and Effective Pricing perpetual and subscription licensing per appliance capacity - HW or SW or cloud Ultimate Scalability and Performance deployments in networks from 50 to 50 million users, world s first 100G probes, the most powerful collectors Outstanding User-friendliness agentless, non-intrusive, easy and quick deployment, intuitive GUI, great time-tovalue
SMB Enterprise ISP/Telco Ensuring of IT security is now easier and more affordable for our customers. Jiri Sedlák, Security Director at O2 IT Services "We can identify the causes of network issues easier than ever before." Masahiro Sato, Operations Network Engineer at SEGA Retail, online, cities, manufacturers, utilities, healthcare and universities
Firewall chrání především proti útokům zvenčí to je málo Antiviry odhalí pouze již známé hrozby SIEM je jenom tak silný, jako jeho zdroje dat Flowmon takové mezery umí vyplnit
Prevence nemůže ochránit váš byznys Téměř 80% incidentů způsobí nedbalost (ne neznalost) Žádné řešení není samospasné, ale jsou taková, která ulehčí práci a sníží finanční ztráty Volte tu, která pomáhá v celém průběhu řešení problému, je jednoduchá a prokázaná v praxi Děkuji Artur Kane