Zephyrnet logo

Generatiivinen tiedustelu

Cyber ​​Security

SEC vaatii neljän päivän tiedonantorajaa kyberturvallisuusrikkomuksille

Julkaissut Platon
Julkaissut Platon

Treffi:

Luettu: 73
by Paul Ducklin

Viime viikolla Yhdysvaltain arvopaperi- ja pörssikomitea (SEC) ilmoitti uudet ja melko tiukat säännöt kyberturvallisuusloukkausten paljastamisesta kaikille henkilöille tai yrityksille, jotka kuuluvat sen sääntelytehtäviin.

SEC muuten perustettiin Yhdysvaltain suuren laman huipulla 1930-luvulla, ja sen tarkoituksena oli estää sääntelemätön keinottelu, joka johti ns. Musta torstai, pahamaineinen Wall Streetin romahdus 24. lokakuuta 1929.

Sen omat sanat:

SEC:n tehtävänä on suojella sijoittajia; ylläpitää oikeudenmukaisia, järjestyksessä ja tehokkaita markkinoita; ja helpottaa pääoman muodostusta.

SEC pyrkii edistämään markkinaympäristöä, joka on yleisön luottamuksen arvoinen.

Yksinkertaisesti sanottuna, jos pyörität yhtiötä, joka tarjoaa osakkeita yleisölle, sinun on noudatettava SEC:n sääntöjä ja määräyksiä, joiden on tarkoitus antaa sijoittajillesi jonkinlainen suoja perusteettomilta väitteiltä, ​​jotka puhuvat vilpittömästi ehdotuksen. , tai jotka antavat lujasti vääriä tietoja riskin tasosta.

Kuten voitte kuvitella, varsinkin verkkomaailmassa, jossa kiristysohjelmien loukkaukset voivat saada yrityksen digitaaliseen pysähdykseen yhdessä yössä ja jossa jopa usean miljoonan dollarin yskiminen kiristysmaksu hyökkääjille "palautusohjelma" ei ehkä riitä saamaan asioita taas käyntiin...

...kyberturvallisuushäiriöillä voi olla dramaattisia, pitkän aikavälin vaikutuksia yrityssijoituksen arvoon.

Rahan vaatiminen uhkauksin

Nykyään kiristysohjelmahyökkäykset sisältävät usein kyberrikollisia, jotka varastavat ensin kopiot palkintotiedoistasi, erityisesti työntekijöiden ja asiakkaiden tiedoista, ja sitten salaavat kopioisi samoista tiedostoista, mikä puristaa sinut kaksinkertaiseen kyberturvallisuusdraamaan.

Heillä on tiedostosi, jotka sisältävät tyypillisesti kasoja tietoja, jotka sinun oli velvollisuus pitää itselläsi ja jotka olit luultavasti luvannut aivan avoimesti, että sinuun voi luottaa.

Mutta sinulla ei ole enää niitä tiedostoja, millään tarkoituksella.

Ironista kyllä, tyypillisessä tiedostoja sekoittavassa kiristysohjelmahyökkäyksessä voit nähdä kaikki tiedostosi yhä siellä, usein alkuperäisten tiedostonimien säilössä, ilmeisesti napsautusetäisyydellä, mutta siitä ei ole sen enempää hyötyä, kun yrität avata niitä kuin digitaalisen kasan silputtu kaali.

Tämän kaksoispelin skenaarion vuoksi ransomware ei ole aivan oikea sana nykyään, koska lunnaat ovat summa, jonka maksat jonkun turvallisesta palauttamisesta tai jostakin, jonka haluat takaisin, olipa kyseessä sitten kidnapattu keskiaikainen monarkki tai kasa 21-luvun datatiedostot.

Loppujen lopuksi nykypäivän "lunnasohjelmahyökkäyksillä" on useita eri tapoja avautua, mukaan lukien:

  • A tyypin. Tiedostosi on lukittu, ja vain roistoilla on salauksenpurkuavain. Maksa pakkolunastusmaksu ja roistot (tai niin sanotaan) eivät vain lähetä sinulle avainta, vaan myös vaikenevat tapahtuneesta, jotta sinun ei tarvitse myöntää, että tilapäinen yrityskatkos johtui verkkotunkeutumisesta. Kieltäydy maksamasta ja olet omillasi. Organisaatiot, joilla ei ole toteuttamiskelpoista toipumissuunnitelmaa, eivät ehkä koskaan saa liiketoimintaansa takaisin raiteilleen.
  • Tyyppi B. Tiedostosi kopioidaan, ja roistoilla on ne kaikki. Maksa kiristysmaksu, niin he poistavat varastetut tiedot (tai niin sanotaan) suojellakseen sinua henkilökunnan ja asiakkaiden tietosuojaloukkausoikeudenkäynneiltä, ​​estääkseen sääntelyviranomaisia ​​kaivamasta liian syvälle ja auttaakseen sinua pitämään maineesi ennallaan. Kieltäydy maksamasta, niin olet tiukasti julkisuudessa ja paljastuu organisaationa, johon ei voi luottaa.
  • Tyyppi C. Molemmat edellä mainitut.

Kuten näette, B-tyypin hyökkäykset voidaan torjua, vaikka rikolliset eivät onnistuisikaan murtautumaan verkkoosi ja pääsemään jokaiseen tiedostoon suoraan omilla kannettavillasi tai pöytäkoneillasi tai eivät halua sitä riskiä. ja palvelimia.

Äskettäin MOVEit-hyökkäyksetEsimerkiksi tietoverkkorikollisoperaattorit, joiden väitetään työskentelevän pahamaineisen Clop ransomware -jengin bannerin alla, saivat haltuunsa valtavia määriä yksityistä dataa useilta korkean profiilin organisaatioilta, mutta he eivät kuitenkaan loukannut näitä organisaatioita suoraan.

Sen sijaan rikolliset seurasivat kolmannen osapuolen palveluyrityksiä, kuten palkanlaskennan tarjoajia, jotka siirsivät ja tallensivat kopioita näiden organisaatioiden palkintotiedoista käyttämällä neljännen osapuolen tiedonhallintatuotetta MOVEit Transfer ja sitä vastaavaa MOVEit Cloudia verkossa:

Ja tyypin A hyökkäykset voivat suorittaa nopeasti ja suoraan ilman tiedostojen suodatusta etukäteen, ja kyberrikolliset, jotka eivät halua ottaa riskiä, ​​että heidät havaitaan yrittäessään ladata suuria tietomääriä.

Jotkut roistot omaksuvat tämän lähestymistavan, koska kaikki odottamattomat lähtevän verkkoliikenteen piikit ovat suosittu kompromissiindikaattori (IoC), jota yritykset oppivat varomaan.

Tyypin A kiristysohjelmahyökkäyksissä huijareiden ei itse asiassa tarvitse tuottaa lähtevää verkkoliikennettä ollenkaan – ei edes pitääkseen hallinnassa kunkin tietokoneen salauksenpurkuavaimia.

He voivat salaa epäsymmetrisesti pääavaimet tiedostoihin, jotka jäävät jokaiselle tietokoneelle, jota asia koskee, käyttämällä julkista avainta, jota varten vain heillä on vastaava yksityinen avain.

Mitä julkinen avain on lukittu, sitä ei voida avata tällä julkisella avaimella. vain vastaavan yksityisen avaimen haltija voi tehdä sen. (Ajattele lukitsematonta riippulukkoa: kuka tahansa voi napsauttaa sen kiinni, mutta vain fyysisen avaimen omaava henkilö voi avata sen uudelleen.)

Siten pääavaimen tiedot ovat aivan näkyvissä, mutta hyödyttömiä sinulle ilman tarvittavaa yksityistä avainta, jonka hyökkääjät ovat valmiita offline-tilassa etukäteen.

Ainoa mitä roistot tarvitsee tehdä, on jättää jälkeensä viesti, jossa kerrotaan, kuinka heihin saa yhteyden, jotta voit alkaa "neuvotella" yksityisen avaimen ostamiseksi heiltä.

Milloin ransomware-hyökkäys on ilmoitusvelvollisuus?

Yksi asia, joka ei ole koskaan ollut ilmeinen, on se, kuinka kiristysohjelmahyökkäykset ja olemassa olevat tietomurtosäännökset risteävät.

Jos joudut tyypin A hyökkäykseen, mutta ei ole todisteita siitä, että salaamattomat tiedot olisi suodatettu, ja palautat varmuuskopiot onnistuneesti yhdessä yössä ja saat yrityksesi takaisin raiteilleen nopeasti…

…pitäisikö sinun pakottaa kertomaan kenellekään, ja jos on, minkälaisia ​​ja laajuisia haittaohjelmia tai tietojen korruptiota myös pitäisi ilmoittaa?

Jos joudut B-tyypin hyökkäykseen ja maksat huijarit ripeästi, olet taipuvainen uskomaan, että he todellakin poistivat tiedot, jotta he eivät voi enää paljastaa niitä…

…Voitko kohtuudella määritellä sen ei-loukkaukseksi, koska hyökkääjät eivät ilmeisesti "loukanneet" tietoihin, joten vahinkoa ei lopulta aiheutunut?

Todellakin, jos maksat verkkokiristämismaksun mistä tahansa syystä…

… pitäisikö sinun paljastaa se kaikissa tapauksissa, vaikka rikoslaki ei sitä edellytä?

Valitettavasti, mutta ymmärrettävää, koska tämä on SEC:n ensimmäinen ilmoitus lehdistötiedote ei mene niin yksityiskohtiin.

Sen sijaan se vain sanoo, että sen toimivaltaan kuuluvat, joita kutsutaan nimellä rekisteröijät, ovat:

[… vaaditaan] paljastamaan kokemansa olennaiset kyberturvallisuushäiriöt ja vuosittain olennaiset tiedot kyberturvallisuusriskien hallinnasta, strategiasta ja hallinnosta.

Uudet säännöt edellyttävät, että rekisteröijät paljastavat […] kaikki olennaiseksi katsomansa kyberturvallisuustapahtumat ja kuvaavat tapahtuman luonteen, laajuuden ja ajoituksen olennaiset näkökohdat sekä sen olennaisen tai kohtuullisen todennäköisen olennaisen vaikutuksen rekisteröijään.

[Ilmoitus] on yleensä maksettava neljän arkipäivän kuluttua siitä, kun rekisteröijä on todennut, että kyberturvallisuushäiriö on olennainen.

Tietojen paljastaminen voi viivästyä, jos Yhdysvaltain oikeusministeri katsoo, että välitön paljastaminen aiheuttaisi merkittävän riskin kansalliselle tai yleiselle turvallisuudelle, ja ilmoittaa tästä kirjallisesti komissiolle.

Pitäisikö B-tyypin kyberkiristäjien maksamista pitää esimerkiksi "aineellisena vaikutuksena", koska et voi koskaan olla varma siitä, etteivätkö roistot palaa lisää tai ettei joku muu ole varastanut heidän varastamiaan tietoja. oliko se luvatta hallussa?

Pitäisikö A-tyypin ransomare-rikollisten kohteeksi joutumista pitää "aineellisena vaikutuksena", ja jos on, mitä ohjeita hyökkäyksen laajuudelle tulisi olla?

Esimerkiksi yrityksessä, jossa on 100 tietokoneen verkko, kuinka monta tietokonetta pitäisi salata yksittäisen kiristysohjelmatapahtuman aikana, jotta hyökkäyksen katsotaan todennäköisesti altistaneen yrityksen muulle kuin vain sivuvaikutuksille. joitain tuhoutuneita tiedostoja?

Kerro mielipiteesi alla olevissa kommenteissa…

spot_img

Uusin älykkyys

spot_img

Tekijänoikeus @ 2024 Plato Technologies Inc.