S prezentací

Dostal jsem možnost prezentovat na konferenci IS2 na téma Ransomware. Nebylo to jen o prezentaci, součástí byl i příspěvek ve sborníku. To byla novinka, nikdy jsem nic takové nepsal. Je to taková seminární práce, která doplňuje prezentaci.

Nakonec jsem prezentaci pojmenoval Jste připraveni na ransomware útok? Chtěl jsem vyjít ze zkušeností z nedávných útoků (Dark Side, REvil) a vypíchnout, dle mého, nejzajímavější TTPs (techniky, taktiky a procedury).

Zvolil jsem rychlost, čas a výkupné na druhou. Útočník v řádů jednotek hodin dosáhne svého, tj. šifruje data. Využívá také čas, který je pro něj výhodný - noc, víkend, státní svátek. Cokoli, co sníží šanci na detekci a reakci.

Jak se bránit? Moc se mi líbí strategie Crowd Strike, 1/10/60. Na detekci události je minuta, deset minut na analýzu a šedesát minut na reakci. Čím kratší časy v jednotlivých částech, tím lépe pro vás. Hůře pro útočníka. Tím spíš, pokud necílíte jen na IP adresy ale jdete po technice, taktice jakou útočník používá. To je cesta.

Podpořit v tomto snažení vás může plán, mám na mysli BCP a DR. Máte-li solidně propracovaný postup - co, kdo, kdy a jak bude to pro vás ještě lepší. Nezapomeňte také na řetěz velení, koho informovat, kdy. Jestli komunikovat s veřejností, co zveřejnit a v neposlední řadě jestli platit nebo ne.

Otázka jestli platit nebo ne má na jednu stranu jasnou odpověď, neplatit. Může nastat situace, kdy bude potřeba vzít v potaz další hlediska - poskytujete službu, na které závisí ostatní? Typicky vodárna, elektrárna, teplárna anebo ropovod,... když nebude jeden, dva dny nebo týden v provozu stane se něco? Pomůže zaplacení tomu, že bude všechno fungovat jako předtím? Pokud tomu tak je, je dost možné, že si na otázku jestli platit nebo ne odpovíte jinak - proto je potřeba si sepsat pro a proti, dopady a následky vašeho rozhodnutí.