Отговорите на кибератаките на MGM и Caesars изискваха тежък избор

Отговорите на кибератаките на MGM и Caesars изискваха тежък избор

Двойните кибератаки срещу MGM Resorts и Caesars Entertainment дадоха възможност да се види какво се случва, когато две сходни организации, подложени на сходни атаки от една и съща заплаха, прилагат противоположни стратегии за реакция при инциденти.

В този случай и двете организации са били жертви на кибератака на Scattered Spider /ALPHV. Caesars бързо се договори с бандитите и предаде 15 млн. долара откуп, което ѝ позволи да продължи дейността си в сравнително кратък срок. Междувременно MGM категорично отказа да плати и току-що обяви, че операциите ѝ са възстановени след над 10 дни прекъсване на работата на казината и хотелите (десетки милиони долари загубени приходи по-късно).

Въпреки че е изкушаващо да се направи преценка кой подход е по-добър, всяко пряко сравнение между реакциите на Caesars и MGM на кибератаката е прекалено опростено, казват експертите. Например Роб Т. Лий, главен директор на учебната програма и ръководител на факултета на SANS Institute, подчертава, че основният принцип на реакцията при инциденти е опитът да се вземе „най-малко лошото решение“. А това обикновено е сложно решение, което винаги има положителен и отрицателен (някои биха казали брутален) набор от резултати.

Той отбелязва, че „много бизнес решения могат да се включат в това. Едва след като инцидентът приключи, можете да видите различни пътища, които биха могли да доведат до различни или поне по-лоши резултати. В тези ситуации няма „победа“, а само решения, които могат да предотвратят влошаването им“.

Трябва ли да платите откупа? MGM или Caesars са били прави? Сложна е ситуацията

Дали да се плати откуп след кибератака или не, е едно от онези решения, които отговорниците за инциденти са принудени да вземат под силен натиск.

Добре документирано е, че плащането на откуп не гарантира сигурността на данните или възстановяването на системата. Още по-лошо, то насърчава бъдещи атаки, като създава пазар за тези киберпрестъпления. Но решенията за бизнес рисковете не винаги се основават на ясен избор между правилно и грешно, а целесъобразността винаги е фактор.

 

„Бързото възстановяване на компанията Caesars след откупа може да създаде впечатлението, че е взела по-добро решение“, казва Кали Гентър, старши мениджър на отдела за изследване на киберзаплахите в Critical Start. „От гледна точка на непрекъснатостта на бизнеса решението им да платят може да изглежда ефективно.“

Джоузеф Карсън, главен учен по сигурността и консултант по CISO в Delinea, обаче обяснява, че има и други сложни моменти. Компаниите, на които им е необходимо известно време, за да обмислят възможностите си, може да решат, че да не плащат е по-разумно. Според неговия опит организациите разполагат само с около четири дни за преговори с престъпници за откуп, преди позициите да се втвърдят и от двете страни. След това атакуващите с ransomware обикновено се разочароват, а екипите по сигурността на предприятията също се вкопчват в позицията си.

 

„Съществува пристрастие към потъналата цена“, добавя изследователят по сигурността Джейк Уилямс. „Колкото повече се отдалечават от инцидента, толкова по-задълбочени са екипите за реакция и възстановяване на киберсигурността.“

Според Карсън разходите за възстановяване са друг фактор. Ако възстановяването е болезнено, но струва само няколко милиона, това може да е по-добър избор в сравнение с осемцифрено изнудваческо плащане, добавя той.

Какво сигнализира всеки отговор за бизнес приоритетите

Оценявайки като цяло реакцията на MGM и Caesars на инцидента, Гюнтер обяснява, че реакцията на Caesars показва, че приоритет е било запазването на дейността, докато реакцията на MGM показва, че организацията е готова да понесе краткосрочна финансова болка за дългосрочни ползи в областта на киберсигурността.

„Изборът на MGM да не плати откуп, въпреки финансовите загуби, може да се дължи на по-широка перспектива за последиците от плащането на откуп“, казва Гуентер. „Продължителността на прекъсването на работата им може да отразява и цялостен вътрешен процес на преглед и възстановяване, гарантиращ пълното намаляване на всички заплахи.“

Тя добавя, че реакцията на Caesars при инцидента е била „решителна“.

„Въпреки това плащането на откуп, макар и да осигурява незабавно облекчение, е свързано с дългосрочни съображения“, допълва Гюнтер. „Бързината на възстановяването след плащането предполага, че те са имали надеждни процеси за архивиране и възстановяване, но също така повдига въпроси относно превантивните им мерки, предхождащи атаката.“

Някои IR отбори просто имат късмет във Вегас

Експертите широко признават, че реакциите на инцидентите в Caesars и MGM са били способни при трудни обстоятелства и са намалили по-широко разпространените щети.

Що се отнася до плащането на откупа от Caesars, Андрю Барат, вицепрезидент в Coalfire, изтъква каква малка част е изнудваческото плащане от 15 млн. долара в по-голямата схема на общите приходи на организацията.

„Плащането на Caesars е около 0,1 % от приходите им за предходната година и това вероятно дори нямаше да се отрази на приходите им, ако беше друг вид разход, амортизиран за периода“, казва Барат.

Той добавя, че според неговия опит 10-дневният срок за възстановяване на MGM е добър в сравнение с други организации.

„Въпреки че изглежда, че се е проточило, съм виждал инциденти, при които пълното разрешаване на проблема отнема до една година, а 10 дни не са страшни за организация със сложността, която MGM неминуемо има“, добавя Барат.

Като оставим настрана хигиената на киберсигурността, системната архитектура, инструментите и наличния набор от таланти, Лий от SANS Institute посочва, че възстановяването на инциденти в крайна сметка е толкова предсказуемо, колкото и тегленето на игрален автомат.

„Това, че Caesars са се възстановили „по-добре“, може да няма нищо общо с плащането на откупа“, добавя Лий. „Не можете да прецените „успеха“ въз основа на резултата – може би просто са имали повече късмет, ако използваме термина от Вегас.“

 

Източник: DARKReading

Сподели в: