Últimas notícias

Fique informado

Resposta ao que aconteceu na Tribune Publishing

3 de janeiro de 2019

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Ransomware suspected in cyberattack that crippled major US newspapers

Source inside Tribune Publishing says printing outage caused by Ryuk ransomware infection

31 de dezembro de 2018

Resposta a incidentes sob o olhar público ou uma análise sobre o que aconteceu na Tribune Publishing

Por Mark Nunnikhoven*

Ciberataques acontecem constantemente.

Todos os dias organizações são atacantes online, quer elas percebam isso ou não. A maioria desses ataques são assuntos de passagem.

O mero fato de que os sistemas estão ligados à internet os torna um alvo de oportunidade. Na maior parte, esses ataques não são eventos.

Softwares de segurança, bugs no código de ataque e aplicativos atualizados param a maioria dos ataques. Com mais de 20 bilhões de dispositivos conectados à Internet, é fácil para o ataque seguir em frente.

Mas a cada duas semanas há um ataque grande o suficiente para atrair manchetes. Você viu um fluxo constante deles nos últimos anos. 10 milhões de registros aqui, milhares de sistemas, e assim por diante.

Quando falamos sobre esses ataques, para a maioria das pessoas, é uma discussão abstrata. É difícil visualizar um conjunto abstrato de dados que vive on-line em algum lugar.

O ataque recente à rede Tribune Publishing é diferente

Este ataque teve um impacto real no mundo. Nos Estados Unidos, os jornais chegaram atrasados ​​e perderam seções significativas de conteúdo.

Timeline

Quinta-feira, alguns sistemas na rede Tribune Publishing estavam inacessíveis. Esta não é uma experiência incomum para quem trabalha em uma grande organização.

A tecnologia trouxe muitas maravilhas, mas a confiabilidade não é tipicamente uma delas. Quando o sistema está inacessível, não é difícil pensar primeiro: “Ugh, isso não está funcionando. Chame-o”.

Os tickets de suporte costumam ser os primeiros ataques cibernéticos … em retrospectiva. Todos os sinais públicos no ataque Tribune Publishing apontam dessa maneira. Depois que o suporte percebeu a extensão do problema e envolveu malware, o evento – uma solicitação de suporte – se transformou em um incidente. Isso inicia um processo de resposta a incidentes (IR).

É esse processo com o qual as equipes da Tribune Publishing estão lidando agora.

Whodunnit?

“Quem está por trás do ataque?” É a primeira pergunta na mente de todos. É da natureza humana – duplamente em uma organização de mídia – querer entender o “quem” e o “por que” em oposição ao “como”.

A realidade é que, para o processo de resposta a incidentes, essa é uma questão que desperdiça tempo. O objetivo do processo de resposta a incidentes é limitar os danos à organização e restaurar os sistemas o mais rápido possível.

Nesse contexto, a equipe de respostas só precisa classificar aproximadamente o atacante. É o atacante;

Um cibercriminoso de baixo nível que tem sorte com um ataque automatizado e tem poucos recursos para continuar ou sustentar o ataque?

Um cibercriminoso que pretende atacar uma classe específica de organização ou sistemas?

Um criminoso cibernético que segmenta sua organização?

Saber qual classe de cibercriminoso está por trás do ataque ajudará a ditar o esforço necessário em sua resposta.

Para um ataque simples, suas defesas automatizadas devem cuidar disso. Mesmo após uma infecção inicial, uma estratégia de defesa em profundidade isolará o ataque e fará a recuperação para frente.

Se o ataque fizer parte de uma campanha maior (por exemplo, WannaCry, NotPeyta, etc.), a resposta a incidentes é mais complexa, mas os mesmos princípios são verdadeiros. A terceira classe de invasores – especificamente visando sua organização – é o que causa uma alteração no processo. Agora você está defendendo contra um adversário que está ativamente mudando sua abordagem. Isso requer uma mentalidade completamente diferente em comparação com outras respostas.

O processo

Os processos de resposta a incidentes geralmente seguem seis etapas;

·Preparar
·Identificar
·Conter
·Erradicar
·Recuperar
·Aprender

No papel, o processo parece simples. A preparação começa com as equipes reunindo informações de contato, ferramentas e escrevendo – ou melhor, automatizando – procedimentos.

Uma vez que um incidente tenha começado, as equipes trabalham para identificar os sistemas afetados e o tipo de ataque. Eles então contêm o ataque para evitar que ele se espalhe. Em seguida, trabalhe para erradicar qualquer vestígio do ataque.

Quando o ataque termina, o trabalho muda para recuperar sistemas e dados para restaurar a funcionalidade. Depois, uma revisão ordenada é conduzida e as lições são compartilhadas sobre o que funcionou e o que não funcionou.

Fácil, certo?

Qualquer respondente de incidentes que ler este post, pode levar um minuto aqui, tendo apreciado uma boa risada. A próxima seção leva todos de volta à dura realidade do IR.

Realidade

As seis fases da resposta a incidentes ficam ótimas no papel, mas quando você está prestes a implementá-las no mundo real, as coisas nunca funcionam tão bem.

A maioria de uma resposta é gasta presa em um loop quase infinito. Identificando novas áreas de comprometimentos para tentar conter o ataque.

Esperançosamente, permitir que os respondentes erradiquem qualquer ponto de apoio para recuperar os sistemas afetados.

É com isso que a maioria das organizações luta. O tempo gasto na preparação é muitas vezes insuficiente porque é tudo teórico. Combinado com o ritmo acelerado de mudança na rede, as equipes se esforçam para acompanhar um incidente ativo.

Com uma organização como a Tribune Publishing, as coisas são ainda mais difíceis. Por sua própria natureza, é um negócio 24 horas por dia, sete dias por semana, com uma grande variedade de usuários em todo o país. Isso significa que há muitos sistemas a serem considerados e cada hora de inatividade tem um impacto muito real e significativo na linha de fundo.

Conforme o incidente progride, a equipe de resposta tomará uma decisão crítica após uma decisão crítica. Desligando vários serviços internos para protegê-los.

Alterando estruturas de rede para isolar atividades maliciosas. E uma série de outros desafios surgirá durante o incidente.

É difícil, difícil trabalho de condução. Feito duplamente com os olhos da gerência sênior, dos clientes e do público em geral.

Foco

Como líder de equipe de resposta a incidentes ou CISO, você precisa se concentrar no processo de RI e não na atribuição. É por isso que é preocupante ver a atribuição antecipada durante um incidente.

No ataque Tribune Publishing, foi relatado publicamente que o ataque veio de fora dos Estados Unidos. Isso leva à especulação em torno da motivação. É provável que essa declaração tenha sido baseada no malware encontrado e nas informações de endereço IP simples.

No início do processo de RI, evidências como essa serão encontradas. É facilmente acessível, mas também altamente não confiável. O malware é frequentemente vendido no subsolo digital e os endereços IP são facilmente falsificados ou proxied. A equipe de resposta sabe disso, mas a pressão do nível mais alto pode exigir alguma forma de resposta … quer ajude ou não a resolver a situação.

A equipe deve manter o foco na resolução do incidente, não gastando tempo e energia valiosos sendo acompanhados. A atribuição tem o seu lugar. Definitivamente não está no meio da resposta a um incidente.

Prática

A única verdade difícil da resposta a incidentes é que nada pode substituir a experiência. Dado o fato – esperançosamente óbvio – de que você não quer realmente ser atacado, isso leva ao conceito de um dia de jogo ou uma simulação ativa.

Popular em ambientes de nuvem – a AWS executa dias de jogos em seus eventos – esses exercícios proporcionam experiência prática. Normalmente realizado para a equipe de operações, eles são de importância crítica para a equipe de segurança também.

A segurança não funciona no vácuo, especialmente durante um incidente. Trabalhar com outras equipes durante um incidente é fundamental. Praticar assim é uma obrigação. Esse tipo de trabalho é um grande esforço, mas que vale a pena quando uma organização é atacada.

Próximos passos

A Tribune Publishing foi atingida por um ciberataque com impacto no mundo real. Esse nível de visibilidade é um lembrete gritante de como essas situações podem ser desafiadoras. A fase mais crítica da resposta a incidentes é a primeira: preparação.

Como CISO ou membro sênior da equipe de segurança, você precisa preparar não apenas o plano de resposta a incidentes. Com um plano em mãos, você precisa ter outras equipes a bordo e deixar claro para a gerência sênior como esse processo funciona. Crítico para o sucesso é garantir que o gerenciamento saiba que a prioridade é a recuperação … não a atribuição.

Combine isso com muita prática e, quando o próximo incidente acontecer, você colocará sua equipe em uma posição razoável para responder e se recuperar rapidamente.

*Mark Nunnikhoven é vice-presidente para Pesquisas em Cloud da Trend Micro

Ransomware suspected in cyberattack that crippled major US newspapers