En forhandlingsstrategi, der hjælper byer og organisationer med at minimere tab, når deres data holdes som gidsler

I ransomware-cyberangreb, hackere stjæler et offers følsomme data og truer med at offentliggøre eller blokere adgangen til dem, medmindre der betales løsesum. Over hele kloden hvert år, millioner af ransomware-angreb udføres på virksomheder, byer, og organisationer, koster i alt milliarder af dollars i betalinger og skader. Mange teknologier kan forhindre sådanne cyberangreb, men forskere fra MIT Computer Science and Artificial Intelligence Laboratory (CSAIL) og Institut for Bystudier og Planlægning (DUSP) mener, at der er mere til at løse problemet end at implementere den nyeste software.

Baseret på forretningsforhandlingsstrategier, forskerne designet en "cyberforhandling"-ramme, offentliggjort for nylig i Journal of Cyber ​​Policy, der beskriver en trin-for-trin-proces for, hvad du skal gøre før, i løbet af, og efter et angreb. Hovedforfatter og CSAIL og DUSP-forsker Gregory Falco, der grundlagde den kritiske infrastruktur cybersikkerhed startup NeuroMesh, talte med MIT News om planen. Han fik følgeskab på papiret af medforfatterne Alicia Noriega SM '18, en DUSP-alumna; og Lawrence Susskind, Ford-professoren i miljø- og byplanlægning og en forsker for Internet Policy Research Initiative og MIT Science Impact Collaborative.

Q:Hvad er byer, især, op imod med ransomware-angreb, og hvorfor ikke bare opfinde bedre teknologier til at forsvare sig mod disse angreb?

A:Hvis du tænker på kritisk infrastruktur, som transportsystemer eller vandforsyningsnetværk, disse drives ofte af by- eller metrobureauer, der ikke har titusindvis af millioner dollars til at betale eksperter eller virksomheder for at afskrække eller bekæmpe angreb. I betragtning af at byer har samlet alle slags data om beboernes aktivitet eller infrastrukturdrift, hackere målretter disse skattekister af data for at sælge på det sorte marked. De forstyrrer kritisk byinfrastruktur på regelmæssig basis i USA. Hvis nogen bryder ind i et lyskryds og ændrer de signaler, der skal sendes til et selvkørende køretøj, eller hvis nogen hacker smartmålere og forstyrrer vores energisystem, folkesundhed og sikkerhed vil være i fare.

Byer har personale - normalt et individuelt eller lille team - der er ansvarlige for at beskytte kritisk infrastruktur. Men, de har brug for meget mere hjælp. Ransomware er et af de sjældne tilfælde, hvor de kan have direkte kommunikation med en hacker og muligvis kan genvinde kontrollen over deres data. De skal være klar til at gøre dette.

Det meste af min forskning har handlet om at bruge hackerværktøjer mod hackere, og et af de mest effektive hackerværktøjer er social engineering. Til det formål, vi skabte "Defensive Social Engineering, " en værktøjskasse af social engineering-strategier, der anvender forhandlingskapacitet til at ændre den måde, ransomware-angreb udfolder sig på. Kryptering og andre højteknologiske værktøjer hjælper ikke, når først et angreb er begyndt. Vi har udtænkt en cyberforhandlingsramme, der kan hjælpe organisationer med at reducere deres cyber risici og styrke deres cyberresiliens.

Q:Hvilke metoder brugte du til at designe din cyberforhandlingsramme? Hvad er nogle eksempler på strategier i planen?

A:Larry [Susskind] er medstifter af interuniversitetsprogrammet om forhandling på Harvard Law School. Vi har anvendt den bedste forhandlingspraksis til at forsvare kritisk byinfrastruktur mod cyberangreb. Patologien for de fleste ransomware-angreb stemmer fint overens med, hvad der sker i andre former for forhandlinger:For det første, du størrelse op på din modstander, så udveksler du beskeder, og i sidste ende forsøger du at nå frem til en form for aftale. Vi fokuserer på alle tre cyberforhandlingsfaser:før, i løbet af, og efter et angreb.

For at forberede sig før et angreb er det nødvendigt at øge bevidstheden på tværs af organisationen om, hvordan man håndterer et angreb, hvis et opstår. Offentlige instanser har brug for angrebsreaktionsplaner. Under et angreb, agenturer skal finde ud af omkostningerne ved at efterkomme eller ikke overholde kravene fra en angriber, og konsultere deres juridiske team vedrørende deres forpligtelser. Derefter, hvis omstændighederne er rigtige, de skal forhandle med hackeren, hvis det er muligt. Efter et angreb, det er vigtigt at gennemgå, hvad der skete, dele oplysninger med relevante myndigheder, dokumentere det lærte, og engagere sig i skadeskontrol. Cyberforhandling kræver ikke nødvendigvis at betale løsesum. I stedet, den fokuserer på at være fleksibel og vide, hvordan man manipulerer situationen før, i løbet af, og efter et angreb. Denne tilgang til forhandling er en form for risikostyring.

For at validere vores rammer, vi interviewede et udvalg af infrastrukturoperatører for at forstå, hvad de ville gøre i tilfælde af et hypotetisk ransomware-angreb. Vi fandt ud af, at deres eksisterende proces kunne integreres godt med vores cyberforhandlingsplan, såsom at sikre, at de har gode svarprotokoller klar, og at have kommunikationsnetværk åbne på tværs af deres interne organisation for at sikre, at folk ved, hvad der foregår. Grunden til, at vores forhandlingsstrategi er værdifuld, er fordi disse operatører alle håndterer forskellige dele af cybersikkerhedspuslespillet, men ikke hele puslespillet. Det er vigtigt at se på hele problemet.

Mens vi fandt ud af, at ingen ønsker at forhandle med en angriber, under visse omstændigheder er forhandling det rigtige skridt, især når bureauer ikke har nogen realtids backup-systemer på plads. En klassisk sag var sidste år i Atlanta, hvor hackere afbryder digitale tjenester, inklusiv nytte, parkering, og retstjenester. Byen betalte ikke løsesummen på omkring $50, 000, og nu har de betalt mere end 15 millioner dollars i gebyrer for at finde ud af, hvad der gik galt. Det er ikke nogen stor ligning.

Q:I avisen, du anvender din ramme med tilbagevirkende kraft på to rigtige ransomware-angreb:da hackere låste Englands National Health Service-patientjournaler i 2017, og en hændelse i 2016, hvor hackere stjal data om millioner af brugere af Uber, som betalte løsesum. Hvilken indsigt fik du fra disse casestudier?

A:For dem, vi spurgte, "Hvad kunne være gået bedre, hvis de forberedte sig på og brugte vores forhandlingsramme?" Vi konkluderer, at der var en række specifikke handlinger, de kunne have truffet, som meget vel kunne have begrænset den skade, de stod over for. NHS, for eksempel, havde brug for større bevidsthed blandt sine medarbejdere om farerne ved cyberangreb og mere eksplicit kommunikation om, hvordan man kan forhindre sådanne angreb og begrænse deres spredning. (For at ransomware kan installeres med succes, en medarbejder skulle klikke på et inficeret link.) I Ubers tilfælde, virksomheden engagerede ikke myndigheder og gennemførte aldrig skadeskontrol. Det førte til dels til, at Uber mistede sin licens til at operere i London.

Cyberangreb er uundgåelige, og selvom agenturer er forberedt, de kommer til at opleve tab. Så, at håndtere angreb og lære af dem er smartere end at dække over skaden. En hovedindsigt fra alt vores arbejde er ikke at blive hængende i at installere dyre tekniske løsninger, når deres defensive social engineering handlinger, der kan reducere omfanget og omkostningerne ved cyberangreb. Det hjælper at være tværfaglig og blande og matche metoder til at håndtere cybersikkerhedsproblemer som ransomware.

Denne historie er genudgivet med tilladelse fra MIT News (web.mit.edu/newsoffice/), et populært websted, der dækker nyheder om MIT-forskning, innovation og undervisning.