Kurz po przejściu wirusa Petya powoli osiada.

I będzie osiadał jeszcze długo – w niektórych firmach będzie to bolesne i kosztowne. Wbrew temu, co można wywnioskować z komunikatów oficjalnych – również w Polsce.

Czas na wnioski.

Dzisiaj trochę bardziej gorzkie przemyślenia o branży, jej stanie i podejściu. Tak mnie naszło po fali komentarzy i wpisów na LinkedIn. W zasadzie jest kilka różnych obszarów, w których przydałoby się coś napisać. Ale po kolei.

 

Płonie, płonie stodoła …a sprzedaż trwa

Nie od dzisiaj wiadomo. Strach sprzedaje.

Nie tylko strach. Duża część sprzedaży odbywa się z użyciem FUD. Dla tych, co nie znają terminu:

Fear, uncertainty and doubt.

Taka technika była i jest używana ciągle. Ze zdwojoną siłą ujawnia się za każdym razem, gdy wydarzy się coś podobnego do obecnego bałaganu z Petya.

Firmy gaszą pożary (stąd stodoła, zaczerpnięta z piosenki Czesława Niemena – wyjaśniam młodszej części widowni :)), próbują podnieść swój biznes i zminimalizować straty.

Taka sytuacja. Płonie stodoła. Straż gasi. Nagle wpadają ludzie, rozkładają stragany (zastąpione teraz przez LinkedIn, blogi i FB) i zaczynają:

Widzicie, jak im się pali?! Mocno się pali! Równym ogniem. PREMIUM!
Wasza się jeszcze nie pali?
Poczekajcie, na pewno się zapali…
Chyba, że zakupicie bramę wjazdową do waszej stodoły.
Nieee, brama nie spowoduje, że wasza stodoła się nie zapali, ale jakby ktoś chciał ją podpalić, to nie wejdzie do środka.
TO TAKIE PROSTE: BRAMA i JUŻ!

Przyznaję, do napisania o tym skłoniła mnie ostatecznie jedna z rozmów na LinkedIn:

 

 

Nie. ChromeBook nie rozwiąże problemu z Petya. Dla większości firm, w obecnej sytuacji przynajmniej, nie jest też rozwiązaniem akceptowalnym. Ale to tak na marginesie.

Nie chodzi nawet o to, że to Chromebook. To samo dotyczy większości materiałów o firewallach, inteligentnych gatwayach, AI analizujących pakiety i magicznych tarczach z +10 Strength i +20 Charisma.

I co w tym złego?

W zasadzie nic, można by powiedzieć. Tak było i będzie. Tak po prostu jest.

Może i tak. Ale dzięki takiemu podejściu, za jakiś czas skończymy jako branża z kolejnym Petya moment i cykl zacznie się od nowa.

Taki klimat.
Z czegoś trzeba żyć! Bonus się sam nie wygeneruje.

Niby tak. Ale tracimy na tym jako branża w całości. Dodatkowo – jeżeli ktoś zacznie działać inaczej, to według mnie, długoterminowo ma dużo więcej do ugrania.

Dlaczego tracimy na tym jako branża?

To proste. Sprzedaż opiera się nadal głównie na relacjach z vendorami. Pytanie – czy te zakupy wynikają z analizy, gdzie należy zainwestować, aby osiągnąć maksymalny efekt? Czy też kupujemy bramę do płonącej stodoły?

Jeżeli to drugie, to nie dość, że nie naprawiamy niczego, to jeszcze jako branża podążamy wciąż tą samą drogą. Gdzie nas to doprowadziło – widzieliśmy ostatnio na przykładach WannaCry i Petya.

Skupmy się na podstawach

Tutaj jest nasza szansa. To, co możemy zrobić, żeby zmienić sytuację, to skupić się na podstawach.

Cytując bardzo dobry tekst Cyber is broken:

As the principles remain the same, so do the same basic controls to counter them. In fact, for over six years the same four basic controls would have prevented over 85% of all intrusions.

“Properly implementing… the Top 4 [controls]continues to mitigate over 85% of adversary techniques used in targeted cyber intrusions.” ASD, 2011-7

We know the controls exist. We know they are effective.

Dokładnie tak. Zamiast wydawać na super ficzery, testy przeprowadzane z szablonu bez większego zastanowienia i na coraz to nowsze subskrypcje różnego rodzaju usług – skupmy się na podstawach:

Uwaga: ta lista może odmienić wasze życie w infosec (tutaj możecie przeczytać więcej):

  • use application whitelisting to help prevent malicious software and unapproved programs from running
  • patch applications such as Flash, web browsers, Microsoft Office, Java and PDF viewers
  • patch operating systems
  • restrict administrative privileges to operating systems and applications based on user duties.

I o tym właśnie musimy mówić naszym pracownikom, partnerom, klientom. Tłumaczyć, że zamiast kupować nowe urządzenia i zabawki, zmieniając Windowsy na Mac lub Chromebooks, powinni najpierw przemyśleć podstawy.

Jeżeli zaadresują poprawnie podstawy, cała reszta stanie się o niebo prostsza!

Tylko tyle i aż tyle!

Przy okazji: bardziej technicznie o Petya spisałem się już na blogu firmowym.

Zainteresowanych zapraszam tu:  http://predica.pl/blog/petya-malware/.

Tak, każdy ma swoją część do sprzedania :). Choć akurat tu chcemy osiągnąć coś innego. Cytując jednego z członków zarządu:

jak będziesz wbijał tego bloga o petya, to niech to nie będzie upsell na czyjejś tragedii/ryzyku (poza tym dobrze wskazać, że to nie jest żaden ransomware).

Co do innych przemyśleń post-Petya – będa już niedługo.

Zdjęcie główne: dok1 via Visual Hunt / CC BY

About Author

2 Comments

  1. Nigdy nie będziemy w stanie się przed wszystkim zabezpieczyć, nie wszystkie nowinki technologiczne zapewnią nam bezpieczeństwo, jednak podstawy, o których wspominałeś, mogą bardzo ułatwić życie. Ostatnie wydarzenia uczą, że wiele przedsiębiorców nie zadało sobie pytań: „Co by było, gdyby wszystkie komputery zostały zablokowane?” i w żaden sposób nie przygotował się na taką okoliczność. Lubię sobie samemu zadawać pytania, nawet takie głupie, ponieważ skłaniają mnie od refleksji i podejmowania jakichś kroków.

    • Dokładnie tak. W tym tygodniu na spotkaniu w dużej organizacji ktoś zadał mi pytanie – nie znając nawet firmy, od czego byśmy zaczęli? Pierwsza myśl to były właśnie podstawy – bez nich nie ma sensu inwestować w kolejne warstwy i zabezpieczenia.

      Co do tego myślenia “co by było gdyby” – dotąd budowano plany DR dla jednej lokalizacji, backup itp. Faktycznie nie widziałem dotąd albo nie słyszałem “co by było gdyby wszystko się zawaliło”. Taki 9/11 scenariusz ale dla całej firmy. Teraz kilka firm na świecie to przechodzi i to z faktycznym wpływem na ich wyniki i finanse, więc zapewne wyciągnięte zostaną jakieś wnioski. Ale też już spotkałem sie z firmami, które doszły do wniosku, że to ich nie dotyczy, bo one się patchują itp.

      Prosty przykład – usługa on-prem taka jak AD. Podstawa i znana. Nadal, wiele firm nie ma planu jej odtworzenia.

Leave A Reply

Share This

Share This

Share this post with your friends!