Monitoring
Pri každej hrozbe platí, že čím viac vieme o tom, čo sa v našej organizácii deje, tým lepšie vieme na ne reagovať. Pri ransomvéri to platí dvojnásobne. Viditeľnosť na všetkých úrovniach (nie len sieťovej, ale aj aplikačnej) nám môže pomôcť odhaliť problém ešte pred tým, ako nastane samotný incident.
Monitoring nie je nástroj, ale proces, akým spôsobom sa dozvedáme o udalostiach v našej organizácii. Dnes už nestačí monitorovať udalosti v našej sieti. Monitoring musí byť komplexný a zahŕňať aj aplikácie a služby, ako aj správanie sa samotných zariadení.
Na konci by sa nám všetky informácie mali zlievať do jedného monitorovacieho nástroja, v ktorom vieme korelovať jednotlivé udalosti aj z rôznych zdrojov (firewally, IDS, IPS, ale aj EDR a XDR) a následne tieto vyhodnocovať a zistiť, či prišlo k incidentu alebo nie.
Pri ransomvéri si musíme uvedomiť, čo je cieľom útočníka a na základe toho nastaviť aj monitorovacie pravidlá. Ak vieme, ako rôzne typy ransomvéru fungujú (niektoré len šifrujú, iné k tomu vynášajú dáta, ďalšie nešifrujú a len vynášajú dáta a podobne), vieme približne aj identifikovať, ako sa budú správať po úspešnej infekcii. Na základe toho vieme, čo máme v sieti a na zariadeniach sledovať.
Monitoring však nie je len o dobrom nastavení pravidiel. Do monitorovacieho nástroja sa musí niekto pozerať a vyhodnocovať informácie v ňom obsiahnuté. A to nestačí, ako sa hovori, “na pravidelnej báze”. Ak do monitorovacieho nástroja niekto pozrie raz za týždeň, kľudne sa môže stať, že o ransomvérovom útoku sa dozviete až vtedy, keď vaše dáta budú na predaj na darkwebe. Naideálnejšie je mať zavedenú 24/7 službu, ktorá bude neustále vyhodnocovať dáta z monitoringu. Samozrejme to pre niektoré organizácie nie je možné – vtedy je riešením aj nastavenie varovaní a upozornení z monitorovacieho nástroja, ktoré automaticky chodia zamestnancom zodpovedným za monitoring a riešenie kybernetických bezpečnostných incidentov.