Share, , Google Plus, Pinterest,

Print

Posted in:

Platim sau nu?

© by Ton Snoei / bigstockphoto.com

Depinde 🙂 Dar hai mai intai sa vedem despre ce este vorba.

Tot mai la moda, in ultimul timp, sunt atacurile cibernetice ce vizeaza sa se infiltreze in retea cat mai silentios, sa stea acolo cat mai mult, timp in care aduna informatii despre structura retelei si punctele ei vulnerabile, dupa care sa extraga informatii ce pot fi valorificate intr-un fel sau altul. In acest caz, o simpla solutie de protectie de tip sandbox instalata dupa ce malware-ul s-a infiltrat in retea, nu va descoperi nimic, caci nu va fi capabila sa “descifreze” traficul deja existent, ci doar atacurile noi. Trebuie folosita o solutie mai avansata decat un simplu sandbox, care sa analizeze si traficul existent si sa fie capabila sa descopere daca ce se intampla in retea in timp real este legitim sau nu. Un astfel de exemplu este al unei banci, in care unul din angajatii concediati cu cateva luni in urma “isi lasase” o portita deschisa pentru a crea un canal securizat astfel incat sa extraga date confidentiale ale clientilor bancii, fara ca echipa IT sa isi dea seama in tot acest timp. Aceasta extragere a fost “demascata” de solutia Deep Discovery de la Trendmicro chiar in timpul testelor, portita inchisa, iar respectivul a fost tras la raspundere.

Tot din gama atacurilor la moda sunt cele de tip ransomware si crypto-locker. Ce fac acestea? Pai asa cum le zice numele, se infiltreaza in retea, descopera punctele cu informatii sensibile (statii de lucru, servere, baze de date, etc), dupa care le cripteaza cerand in schimbul cheii de decriptare o recompensa.

Companiile respective se regasesc, astfel, in situatia de a decide daca sa plateasca sau nu.

Exista 2 variante:

  • In cazul in care dispun de back-up si costul recuperarii datelor este mai mic decat suma ceruta, recompensa nu este platita si totul este OK cu costuri mai mici
  • In cazul in care NU dispun de back-up sau costul recuperarii datelor este mai mare decat recompensa (DA, sunt si astfel de cazuri), exista varianta platii acesteia, iar unele companii chiar recurg la aceasta varianta. Totusi, la ce riscuri se expun aceste companii?

Pai in primul rand risca sa plateasca fara sa primeasca cheia de decriptare corecta (sau sa nu o primeasca deloc) – pana la urma, ce incredere poti avea in oameni al caror scop este furtul, fie ca e furtul datelor, al indentitatii, sau orice alt furt.

In al doilea rand, chiar si in cazul primirii cheii de decriptare corecta in schimbul recompensei, ce sanse sunt ca acel malware sa lase destule portite in reteaua clientului astfel incat sa se poata re- infiltra/re-activa in orice moment? Va spun eu: sanse maxime. Iar logica este simpla si ar aplica-o chiar si subsemnatul: daca tot am gasit o victima cu retea penetrabila si dispusa sa plateasca recompensa, inseamna ca victima e bun platnic si va plati si data viitoare cand va fi atacata. Logica se aplica, zic eu, si in alte domenii, precum relatia banca – client al bancii, insa asta e o alta discutie in care nu sunt dispus sa intru. 🙂

Prin urmare, sfatul meu este ca intotdeauna sa faceti back-up, respectand regula 3-2-1 sa va securizati reteaua cu solutii de APT precum cele de la TrendMicro sau Fortinet ce ne pot proteja de astfel de crypto- malwareuri, si in nici un caz sa nu platiti recompensa. In caz contrar, veti ajuta niste hack-eri sa se dezvolte si, eventual, sa va atace la un nivel si mai mare, cerand o recompensa pe masura atacului. Voi ce ati face?

Ati plati sau nu?

Lasă un răspuns