Ransomware telah menjadi semakin profesional dengan aktor ancaman terorganisir, alat canggih dan model komersial baru, seperti ransomware sebagai layanan (RaaS), mendorong skala ekonomi. Sisi baiknya adalah bahwa dampak serius ransomware pada bisnis telah mendorong dunia maya ke tingkat papan atas.
Ransomware berpotensi menyebabkan kerusakan bisnis yang tidak dapat diubah, sehingga CISO harus mempertimbangkan tidak hanya perlindungan (skenario “jika”), tetapi juga respons dan pemulihan (skenario “kapan”). Dengan demikian, CISO harus menemukan keseimbangan yang tepat antara pencegahan dan pemulihan, menyeimbangkan perbaikan taktis dan strategis, sejalan dengan lanskap ancaman, industri, dan spesifik bisnis mereka.
Perlindungan
Melihat spektrum penuh tindakan perlindungan dan respons untuk ransomware dapat menjadi hal yang menakutkan. Menerapkan teknologi canggih, seperti deteksi dan respons yang diperluas (XDR) atau orkestrasi keamanan, otomatisasi, dan respons (SOAR), dapat secara drastis mengurangi kerentanan organisasi terhadap serangan ransomware tetapi memiliki label harga tinggi dan membutuhkan waktu untuk diterapkan.
Oleh karena itu, sementara CISO harus merencanakan untuk jangka panjang, pertimbangan yang sama harus diberikan untuk peningkatan keamanan dalam jangka pendek dan menengah.
Ini sangat penting karena kami berulang kali melihat serangan ransomware yang disebabkan oleh kurangnya kebersihan keamanan; CISO harus menerapkan rezim pengurangan risiko berkelanjutan yang menyeimbangkan waktu dan sumber daya untuk langkah-langkah taktis dan strategis di seluruh kontrol perlindungan, respons, dan pemulihan.
Ini dapat dilakukan dengan memeriksa rantai atau kerangka kerja serangan ransomware biasa, menilai postur keamanan Anda saat ini terhadap pendekatan yang dipilih dan kemudian bekerja dengan pemilik kontrol dan pakar materi pelajaran untuk mendorong peningkatan keamanan.
Misalnya, jika kita mempertimbangkan tahapan serangan ransomware biasa, yang akan mencakup pengintaian target, akses awal, eskalasi hak istimewa, dan pergerakan lateral hingga dampak akhir, CISO dapat menargetkan area spesifik untuk peningkatan di sepanjang rantai serangan.
Melihat eskalasi hak istimewa, dapatkah admin domain Anda menghapus cadangan? Jika demikian, mengeraskan Active Directory atau mengimplementasikan basic manajemen akses istimewa untuk sistem kunci dapat membantu.
Untuk akses awal, apakah media yang dapat dipindahkan dapat digunakan secara bebas di jaringan Anda? Jika ya, pertimbangkan untuk mengeraskan titik akhir untuk mencegah penggunaan media lepas-pasang yang tidak sah. Sebagian besar serangan ransomware akan berusaha untuk mengekstrak data, jadi periksa pengaturan kehilangan data O365 Anda sesuai standar.
Postur keamanan yang lebih kuat juga membantu saat pengadaan asuransi cyber, yang dapat dipertimbangkan oleh CISO. Penanggung akan mencari pemahaman tentang risiko organisasi untuk menginformasikan keputusan dan premi terkait. Sementara asuransi dapat menjadi bagian dari solusi, organisasi tidak boleh hanya mengandalkan asuransi ketika berhadapan dengan ransomware.
Respon dan pemulihan
Rezim ketahanan siber yang komprehensif mencakup seluruh organisasi dan dapat menjadi topik tersendiri untuk didiskusikan. Kuat kemampuan pemulihan akan mencakup proses bisnis penting, teknologi yang tepat, tim krisis dan komunikasi dan ketentuan pihak ketiga, selain perencanaan kesinambungan bisnis tradisional dan pengujian cadangan.
Masalah pemulihan klasik muncul ketika TI dan keamanan cyber terputus dari bisnis, sehingga mereka hanya bersatu ketika ada insiden besar. Berulang kali, kami melihat proses bisnis penting diidentifikasi dan diprioritaskan oleh tim operasional, daripada pemangku kepentingan bisnis.
Pemulihan bisa jauh lebih cepat jika keamanan siber dan tim TI bekerja membangun kembali tumpukan teknologi berdasarkan apa yang mendorong bisnis. Demikian juga, kelangsungan bisnis dan rencana pemulihan bencana perlu mencakup seluruh organisasi dan tidak dapat dilakukan secara terpisah atau terfokus pada situs atau ancaman tertentu. Perbaikan cepat, dan langkah pertama, bagi banyak organisasi yang khawatir tentang ransomware adalah menyatukan keamanan dunia maya, TI, dan tim bisnis untuk memprioritaskan proses bisnis penting.
Pengetahuan tentang komponen teknis yang diperlukan untuk pemulihan sangat penting. Ketika datang untuk membangun kembali lingkungan, menjengkelkan harus membuat server online atau memulihkan koneksi ke server waktu. Sangat menyakitkan untuk membangun kembali dari awal, sistem manajemen paket, mengatur semua aplikasi dan distribusinya, seperti SCCM. Ini adalah prospek yang menakutkan untuk membangun kembali layanan direktori dari awal, seperti Active Directory, yang memodelkan seluruh perusahaan dan membuat setiap pengguna, grup, perangkat, dan printer dipetakan.
Oleh karena itu, mengidentifikasi kumpulan data penting bisnis sebelumnya dan mencadangkan komponen pemulihan yang diperlukan untuk pemulihan yang berhasil sering kali dapat menjadi “pembuat atau penghancur” dari sebuah insiden.
Perencanaan dan persiapan untuk pemulihan akan meletakkan dasar, tetapi tidak ada cara yang lebih baik untuk memahami kemampuan Anda untuk merespons dan memulihkan daripada melakukan tes yang tepat dari bawah ke atas dengan pemasok. Kami telah melakukannya dan tahu itu menunjukkan waktu pemulihan yang sebenarnya: dari kemampuan Anda untuk memenuhi persyaratan bisnis hingga kemampuan penyedia Anda untuk memenuhi perjanjian tingkat layanan (SLA).
Hasilnya bisa mengejutkan dan selanjutnya mendorong dunia maya menjadi perhatian tingkat eksekutif. Bahkan menguji dasar-dasarnya dapat secara signifikan meningkatkan postur organisasi Anda. Proses manajemen krisis berpusat pada komunikasi dan pengambilan keputusan yang efektif, sehingga latihan wargaming secara teratur dan pengujian sederhana seperti memastikan staf dapat mengakses alat kolaborasi yang digunakan dalam krisis dan menyetujui peran dan tanggung jawab krisis di muka adalah biaya yang rendah, tetapi menghasilkan manfaat yang nyata.
Ini semua menggarisbawahi bahwa ransomware adalah ancaman yang kredibel yang dapat menyebabkan gangguan bisnis yang parah dan pada akhirnya merusak kepercayaan pelanggan dan merek. Oleh karena itu, penting untuk mendorong peningkatan keamanan berkelanjutan di samping membangun respons yang kuat dan kemampuan pemulihan.
Arina Palchik dan Charles Moorey adalah pakar keamanan siber di Konsultasi PA.
Indonesian
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Russian
Spanish