Cybersäkerhetsexperter uppmanar regeringar och företag att betrakta ransomware-attacker som ett allvarligt hot. Företag som Amazon, Google, Microsoft har uppmanat den amerikanska regeringen att utse ransomware-attacker som ett hot mot nationell säkerhet och införa genomgripande policyändringar för att bekämpa dem. Under pandemin ökade antalet attacker mot ransomware avsevärt. Enligt KPMG finns det bevis för att chanserna att en ransomware-attack ska lyckas är betydligt högre när man arbetar på distans. Detta beror delvis på svagare konsoler på hem-IT samt det faktum att angripare använder beten med Covid-19-tema för att uppmuntra användare att klicka på länkar och dra nytta av de ökade nivåerna av ångest under pandemin, några av dessa beten inkluderar information om vacciner, masker och handdesinfektionsmedel. Det räcker inte för företag att utbilda sina anställda för att skydda sig mot sådana attacker, den ökande sofistikeringen av ransomware-attacker har gjort det viktigt för företag att bygga en nästa generations SOC (security operations center).
Senaste betydande Ransomware-attacker
1. The Colonial Pipeline Hack
Kallas till som den största attacken mot USA:s energiinfrastruktur, Colonial Pipeline ransomware-attacken är den mest betydande under 2021 hittills. Det fungerar som en väckarklocka för regeringar runt om i världen om farorna med dessa typer av attacker och de verkliga konsekvenserna de kan få. Den koloniala rörledningen levererar 40 % av bränslet till östkusten och södra delarna av USA. Hackare kompromissade med Colonial Pipelines-systemen, vilket ledde till att pipelinen stängdes av i 5 dagar. Enligt rapporter betalade Colonial Pipeline Company hackarna 5 miljoner dollar. Attacken utfördes av gruppen DarkSide, som opererade på ransomware som en tjänstemodell. Attacken har gjort det helt klart att viktig infrastruktur kan äventyras av dessa attacker.
Se även: 'Ransomware Task Force' Bildad för att hantera ökande attacker
2. Attack mot kanal nio
I mars i år drabbades Australiens Channel Nine av en cyberattack. Attacken gjorde det omöjligt för kanalen att sända sin söndagsnyhetsbulletin tillsammans med andra program. Kanalens huvudkontor i Sydney kunde inte komma åt internet vilket orsakade störningar i nätverkets publiceringsverksamhet. Inledningsvis hävdade kanalen att problemen orsakades av tekniska svårigheter men erkände senare en cyberattack.
3. Acers och lösensumman på 50 miljoner dollar
Den globala datortillverkaren Acer drabbades av en ransomware-attack tidigare i år. Hackarna krävde en lösensumma på 50 miljoner dollar, den högsta kända lösensumman hittills. Den cyberkriminella gruppen REvil anses vara ansvarig för attacken. Hackarna tillkännagav inte bara intrånget på sin webbplats, utan de delade också med sig några bilder av data de hade stulit.
4. Flygplanstillverkaren Bombardier
Bombardier är en välkänd kanadensisk flygplanstillverkare. I februari 2021 drabbades företaget av ett dataintrång. Konfidentiell information om kunder, leverantörer och 130 anställda som arbetar i Costa Rica äventyrades. Dåliga aktörer kunde få tillgång till data via en sårbarhet i en filöverföringsapplikation från tredje part som används av företaget. Den komprometterade informationen läckte ut på webbplatsen som drivs av ransomware-gänget som kallas Clop. Ingen information är tillgänglig om en lösensumma krävdes.
En oroande trend med Ransomeware-attacker under 2021 är att känslig information släpps från organisationer som vägrar att betala lösensumman. Dessa typer av attacker kan vara mycket lukrativa och därför finns det många incitament för cyberbrottslingar att engagera sig i dem. En framgångsrik attack kan leda till att ransomware-grupper tjänar miljontals dollar. Det framgår av dessa attacker att de inte är branschspecifika. Från kritisk infrastruktur till datortillverkare. Ransomware-angripare kommer att gå efter alla företag. Att betala en lösensumma garanterar inte att data kommer att returneras och inte läcker. FBI:s officiella ståndpunkt är att avskräcka företag från att betala lösen, eftersom det också kan uppmuntra brottslingarna att fortsätta attackera andra. Det är dock inte olagligt att betala lösen och många företag tycker att det är den bästa lösningen ur deras problem.
Därför är den bästa lösningen för företag att förhindra att en attack äger rum. Organisationer måste ha ett modernt Security Operations Center (SOC) som kan försvara sig mot sådana attacker.
Vad är ett nästa generations säkerhetsoperationscenter?
Ett säkerhetsoperationscenter består av säkerhetsanalytiker, ingenjörer och chefer som övervakar säkerhetsverksamheten i en organisation. Målet för SOC-teamet är att identifiera, analysera och reagera på eventuella cybersäkerhetshot och incidenter. För att göra detta använder teamet en kombination av säkerhetsprocesser, protokoll och tekniska lösningar som säkerhetsprogramvara. SOC ansvarar för att kontinuerligt övervaka och analysera en organisations cybersäkerhet. Om och när en säkerhetsincident upptäcks, är det SOC:s uppgift att ta itu med situationen och bestämma det bästa svaret. Dessa team övervakar aktivitet som äger rum på ett företags nätverk, servrar, databaser, applikationer, slutpunkter, webbplatser och alla andra system som används.
I en nästa generations SOC kommer teamet att implementera en metodik som integreras med en organisations informationssystem. De kommer att förlita sig på säkerhetskontrollpunkter och hotforskningsverktyg för att övervaka, bedöma och försvara sig mot cyberattacker. Målet är att vara så proaktiv som möjligt när det gäller att upptäcka hot och se till att alla slutpunkter är säkra.
Tips för att bygga en nästa generations soc
Det finns vissa saker som organisationer måste tänka på när det gäller att bygga ett nästa generations säkerhetsoperationscenter.
Förbättrad hotjakt
SOC bör kunna hitta och identifiera hot snabbt. Det finns lösningar tillgängliga på marknaden som gör det lättare att göra detta. Låt oss till exempel säga att ett nytt hot har identifierats och är i nyheterna. Utan rätt verktyg på plats kan det ta mycket lång tid för säkerhetsanalytiker att genomsöka organisationens informationssystem och avgöra om samma hot har påverkat deras organisation. Ofta för nya hot vet analytiker inte exakt vad de ska leta efter också. Att investera i verktyg som AutoFocus eller Active Track kan därför göra hotupptäckt lättare.
Robust rapportering och loggning
Korrekt rapportering och loggning kan hjälpa din SOC att identifiera mönster och upptäcka hot i ett tidigt tillstånd. En nästa generations SOC bör ha en heltäckande policy på plats för att alla avvikelser och incidenter ska rapporteras och loggas.
De bästa människorna och tekniken
Företag gör ibland misstaget att bara fokusera på en aspekt av säkerheten: tekniken eller människorna. Ett nästa generations säkerhetsoperationscenter kommer dock att ha både kvalitetsmänniskor och den bästa tekniken. SOC bör ha den senaste intelligensen, verktygen och lösningarna för att försvara sig mot cyberattacker. Den mänskliga komponenten är också lika viktig, även de bästa verktygen som ger den bästa informationen kommer att misslyckas, om rätt säkerhetsexperter inte är närvarande för att agera utifrån informationen.
Med antalet dåliga aktörer och ransomware-attacker ökar, är det nu dags för företag att investera i teknik och människor för att säkerställa sin driftsäkerhet. Prenumerera på whitepapers.online och lär dig mer om att bygga en nästa generations SOC tillsammans med andra teknikuppdateringar.
Utvald bild: Företagsfoto skapat av rawpixel.com - www.freepik.com