トリプル恐喝戦術と、サイバー保険がもはや成熟したインシデント対応アーキテクチャの代替にはならない理由
すべての取締役会が恐れる瞬間
ほぼすべてのランサムウェア交渉には瞬間がある。通常36時間前後で、法務、IT、CFOが同じ部屋にいるとき、誰かが声を上げて「保険が何をカバーしているか見てみましょう」と言う。その本能は理解できるものだが、現代のビジネスにおいて最も高くついている仮定の1つになってしまった。脅威の状況は進化してきた。
保険市場もそれとともに進化している。そしてサイバー保険を主要な回復戦略として扱っている組織は、ビーチの傘で嵐に向かって飛び込んでいる。
ランサムウェアがビジネスになった経緯
犯罪グループは世代で考えない。金をたどる。初期のキャンペーンは無差別な手段だった。大量フィッシング、日和見的な暗号化、十分な被害者がパニックで支払うことを望む。REvil、Contiなどのグループは、1つのよく調査された企業ターゲットが10,000回のゴリ押し試行よりも価値があることに気づいた。身代金要求は数百ドルから数千万ドルに跳ね上がった。
今あなたが扱っているものは、前の2つの世代とはカテゴリー的に異なる。ランサムウェア3.0は主に暗号化についてではない。それはただの序盤の一手だ。本当の目的は、あなたの操業、データ、顧客、規制当局に対するあなたの足がかりを同時に握ることだ。
ベライゾンの2024年データ侵害調査報告書は、ランサムウェアまたは恐喝が全侵害の32%の要因であり、組織化された犯罪グループが大部分の事件を占めていることを記録している。
トリプル恐喝:最大圧力のメカニズム
ほとんどの組織は「ランサムウェア」という言葉を聞くと1つのことに心理的に準備する。ロックされたシステム、身代金要求書、回復の決定。そのフレーミングは今や危険なほど時代遅れだ。
ALPHV(BlackCat)やCl0pのようなグループが展開するのは、3層の圧力キャンペーンだ。暗号化が最初に襲う。操業がロックされ、収益が止まる。次に来るのが情報流出だ。データはすでに暗号化が実行される前に削除されており、その脅威はバックアップから復元しても消滅しない。3番目の層は、ほとんどの組織が最も準備できていない層だ。顧客、規制当局、株主への直接の接触で、最悪の瞬間に圧力を最大化するようにタイミングが合わせられている。
彼らは単に脅迫するだけではない。実行する。
ここでの経済的論理は、攻撃者の観点からは健全だ。良いバックアップ戦略は暗号化単独を克服できる。情報流出はできない。顧客記録、知的財産、取締役会通信がいったん犯罪グループの手に握られると、どのバックアップもその状況を回復させることができない。もはや技術的な問題ではなくなる。
Covewareの2024年第4四半期のランサムウェア分析は、データ流出がほとんどのエンタープライズランサムウェアケースで今や発生しており、交渉と回復の計算を根本的に変えていることを一貫して示している。
Ashish Mishra
Change Healthcareのケースが実際のコストについて教えること
2024年初頭にChange Healthcareで何が起きたかを考えてみよう。このヘルスケア決済処理業者に対するALPHVグループの攻撃は単にシステムを暗号化しただけではなく、潜在的に1億人以上のアメリカ人の個人健康情報を露出させ、全国の薬局サービスを数週間混乱させた。親会社のUnitedHealth Groupは約2,200万ドルの身代金を支払ったと報道されている。操業中断、復旧、継続的な法的露出を含む総財務影響は、2024年だけで約30億9000万ドルに達した。保険はその一部しかカバーしなかった。
HHS市民権局は、Change HealthcareおよびUnitedHealth Groupに対する正式な調査を開始したことを確認し、保護された健康情報が侵害されたかどうか、およびHIPAAルールが遵守されたかどうかに焦点を当てており、攻撃が患者ケアとプライバシーに前例のない影響を与えたことを挙げている。
Change Healthcareの数字は、単一のケーススタディ全体で保険会話全体をリフレーミングするので、じっくり考える価値がある。2024年2月、ALPHVグループは保護されていないCitrixポータルを通じてこのヘルスケア決済処理業者に侵入し、誰かが気づく前にネットワークを通じて数週間移動した。暗号化が実行されるまでに、ダメージはすでに完了していた。1億人以上のアメリカ人の個人健康情報が露出し、全国の薬局サービスが停止し、UnitedHealth Groupは約2,200万ドルの身代金をグループに支払うことになり、そのグループは金を持ち去り、約束された復号化ツールを配信せずに消えた。
2024年の総請求額は約30億9000万ドルに達した。その数字は、操業中断、復旧、プロバイダー支援、継続的な法的露出をカバーしている。保険プログラムはその一部をカバーしていた。その一部は自動的ではなく、戦った後に来た。
HHS市民権局は埃が落ち着くのを待たなかった。UnitedHealth GroupがHIPAAルールを遵守していたかどうか、および患者プライバシー保護が機能していたかどうかについての正式な調査を開始し、アメリカの歴史における最大のヘルスケアデータ侵害として公に枠組みした。その規制圧力は数週間後には到着しなかった。それは組織がまだ積極的な回復を行っている間に到着した。
あなたの保険証券があなたが思っているセーフティネットではない理由
その例は保険の問題を直接指摘している。サイバー保険は異なる脅威モデル向けに価格設定および構成されていた。キャリアはますますランサムウェアイベント向けのサブリミットを含め、国家帰属排除(保険会社に都合が良いときに故意に反論が難しいカテゴリー)、および多くの保険契約者が実際に確認したことがないセキュリティ管理に関する要件を含めている。大規模なインシデントの後、1,000万ドルのポリシーが200万ドルのランサムウェアサブリミットを持っていることを発見するかもしれません。そして保険範囲争いは次の18ヶ月間、あなたの侵害対応と並行して実行されます。
これは理論的ではない。2017年のNotPetya攻撃後のMerckと保険会社の法的闘争は、攻撃者がロシア国家の行為者に帰属させた。和解前の数年間、裁判を通じて引き抜かれた。Merckは2024年1月に残りの保険会社と和解した。ニュージャージー州最高裁判所の口頭弁論の数日前。控訴裁判所が敵対的/交戦的行動排除が非戦闘員企業へのNotPetyaサイバー攻撃に適用されないと裁定した後。
一方、Lloyd’s of Londonはその後、すべてのスタンドアロンのサイバーポリシーが2023年3月から有効に、国家支援のサイバー操作から生じる損失を除外する必要があることを強制した。市場は保険契約者に有利に動いていない。
Lloyd’s of LondonのMarket Bulletin Y5381は、2022年8月に公開され、すべてのスタンドアロンのサイバーポリシーが2023年3月31日から有効に、国家支援のサイバー操作から生じる損失を除外する必要があった。国家帰属攻撃から生じる保険範囲争いへの直接的な対応。
これのいずれもあなたがサイバー保険を持つべきではないということを意味しない。そうすべきだ。しかし、考え方は変わらなければならない。保険は残存リスクの財務移転メカニズムだ。意味のある防御を構築した後に残るリスク。
成熟したインシデント対応アーキテクチャがどのように見えるか
トリプル恐喝イベントを包含するのは、成熟したインシデント対応アーキテクチャだ。これはいくつかのものが協力して動作することを意味する。初期アクセス後の攻撃者の横方向の移動を制限するネットワークセグメンテーション。暗号化が始まる前に疑わしい行動を特定できるエンドポイント検出および応答ツール。環境内で数週間過ごしている洗練された攻撃者でさえ生き残る、オフラインまたは不変のバックアップ戦略。インシデント自体の間にプレイブックを学ぶ必要のない、リハーサルされた対応能力。
「リハーサルされた」部分は、ほとんどの組織が不足しているところだ。テーブルトップ演習は価値があるが、実際のイベントの完全な混乱をめったにシミュレートしない。通信ブラックアウト、CEOのオフィスからの圧力、スコープさえ確認する前に始まるメディア呼び出し。
MGM Resortsの2023年のランサムウェア攻撃は、Scattered Spiderに帰属され、人間層が失敗したときに何が起きるかを示した。テクノロジーレイヤーが適切であっても。ITヘルプデスクの社会工学は攻撃者に初期アクセスを与えた。その後の混乱は、1ヶ月間で約1億ドルの失われた収益と復旧コストの会社の推定を費やした。
ガイダンス:NISTのサイバーセキュリティフレームワーク2.0は、識別、保護、検出、対応、回復機能をカバーする、インシデント対応機能の成熟度についての最も広く採用されているリファレンスアーキテクチャを提供している。
両方のシナリオで支払われるただ1つの賭け
あなたの取締役会が聞く必要がある不快な真実はこれだ。問題は、あなたの組織が洗練された脅威アクターに直面するかどうかではなく、もはや。意味のあるサイズの組織、接続されたサプライチェーンで運営している、デジタル顧客関係を持つ、問題はそれが起きるときあなたがどれだけ準備ができているかだ。犯罪企業としてのランサムウェアの経済学はかつてないほど強い。Attack-as-a-serviceプラットフォームは参入障壁を低下させた。身代金支払いデータは分析され、将来の要求を調整するために使用される。これらのグループはあなたの財務報告書を研究する。
インシデント対応能力への投資 – 人員、プロセス、技術で – はコストセンターの決定ではない。それは防止シナリオと対応シナリオの両方で支払われるただ1つの賭けだ。保険はダメージが完了した後に支払われる。成熟した対応アーキテクチャはダメージ自体を減らす。
2023年のCl0p MOVEitキャンペーンを最小限の混乱で乗り切った組織は、最大の保険証券を持つ組織ではなかった。データフローをマップし、不要なMOVEit露出を制限し、日数ではなく数時間以内に移動できる対応チームを持つ組織だった。
それが現在あなたが競争している基準だ。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
翻訳元: https://www.csoonline.com/article/4171407/the-economics-of-ransomware-3-0.html
