Bij ransomware-cyberaanvallen, hackers stelen gevoelige gegevens van een slachtoffer en dreigen deze te publiceren of de toegang ertoe te blokkeren, tenzij losgeld wordt betaald. Elk jaar over de hele wereld, miljoenen ransomware-aanvallen worden uitgevoerd op bedrijven, steden, en organisaties, die in totaal miljarden dollars aan betalingen en schadevergoedingen kosten. Veel technologieën kunnen dergelijke cyberaanvallen afwenden, maar MIT Computer Science and Artificial Intelligence Laboratory (CSAIL) en Department of Urban Studies and Planning (DUSP) onderzoekers geloven dat er meer komt kijken bij het oplossen van het probleem dan het inzetten van de nieuwste software.

Op basis van zakelijke onderhandelingsstrategieën, de onderzoekers ontwierpen een kader voor "cyberonderhandeling", onlangs gepubliceerd in het Journal of Cyber ​​Policy, waarin een stapsgewijs proces wordt beschreven voor wat u eerst moet doen, gedurende, en na een aanval. Hoofdauteur en CSAIL- en DUSP-onderzoeker Gregory Falco, die de cybersecurity-startup NeuroMesh oprichtte, sprak met MIT News over het plan. Hij werd op het papier vergezeld door co-auteurs Alicia Noriega SM '18, een DUSP-alumna; en Lawrence Susskind, de Ford Professor of Environmental and Urban Planning en een onderzoeker voor het Internet Policy Research Initiative en het MIT Science Impact Collaborative.

V:Wat zijn steden, vooral, geconfronteerd met ransomware-aanvallen, en waarom niet gewoon betere technologieën uitvinden om je tegen deze aanvallen te verdedigen?

A:Als u denkt aan kritieke infrastructuur, zoals transportsystemen of waterleidingnetwerken, deze worden vaak beheerd door stads- of metroagentschappen die geen tientallen miljoenen dollars hebben om experts of bedrijven te betalen om aanvallen af ​​te schrikken of te bestrijden. Aangezien steden allerlei gegevens hebben verzameld over activiteiten van inwoners of infrastructuuractiviteiten, hackers richten zich op deze schat aan gegevens om ze op de zwarte markt te verkopen. Ze verstoren regelmatig kritieke stedelijke infrastructuur in de Verenigde Staten. Als iemand een verkeerslicht hackt en de signalen verandert die naar een autonoom voertuig zouden moeten worden gestuurd, of als iemand slimme meters hackt en ons energiesysteem verstoort, volksgezondheid en veiligheid in gevaar komen.

Steden hebben personeel - meestal een individu of een klein team - dat verantwoordelijk is voor de bescherming van kritieke infrastructuur. Maar, ze hebben veel meer hulp nodig. Ransomware is een van de zeldzame gevallen waarin ze rechtstreeks met een hacker kunnen communiceren en mogelijk de controle over hun gegevens kunnen terugkrijgen. Ze moeten bereid zijn om dit te doen.

Het meeste van mijn onderzoek ging over het gebruik van hackertools tegen hackers, en een van de meest effectieve hackertools is social engineering. Daartoe, we hebben "Defensive Social Engineering, " een toolbox met social engineering-strategieën die onderhandelingscapaciteiten gebruiken om de manier waarop ransomware-aanvallen zich ontvouwen te veranderen. Encryptie en andere hightech tools zullen niet helpen zodra een aanval is begonnen. We hebben een cyberonderhandelingskader ontwikkeld dat organisaties kan helpen hun cyberaanvallen te verminderen risico’s en hun cyberweerbaarheid te vergroten.

V:Welke methoden heb je gebruikt om je cyberonderhandelingskader te ontwerpen? Wat zijn enkele voorbeelden van strategieën in het plan?

A:Larry [Susskind] is mede-oprichter van het interuniversitaire programma voor onderhandeling aan de Harvard Law School. We hebben de beste onderhandelingspraktijken toegepast om kritieke stedelijke infrastructuur te beschermen tegen cyberaanvallen. De pathologie van de meeste ransomware-aanvallen komt goed overeen met wat er gebeurt in andere soorten onderhandelingen:ten eerste, je vergroot je tegenstander, dan wissel je berichten uit, en uiteindelijk probeer je een soort overeenkomst te bereiken. We richten ons op alle drie de fasen van cyberonderhandeling:voor, gedurende, en na een aanval.

Om je voor te bereiden op een aanval, is het noodzakelijk om binnen de organisatie het bewustzijn te vergroten over hoe een aanval moet worden aangepakt als die zich voordoet. Overheidsinstanties hebben reactieplannen voor aanvallen nodig. Tijdens een aanval, instanties moeten de kosten berekenen van het al dan niet voldoen aan de eisen van een aanvaller, en hun juridische team raadplegen over hun aansprakelijkheden. Vervolgens, als de omstandigheden goed zijn, ze moeten onderhandelen met de hacker, zo mogelijk. Na een aanval, het is belangrijk om te bekijken wat er is gebeurd, informatie delen met de juiste autoriteiten, documenteren wat er is geleerd, en doe aan damage control. Cyberonderhandelingen vereisen niet noodzakelijkerwijs het betalen van losgeld. In plaats daarvan, het richt zich op flexibel zijn en weten hoe de situatie eerder moet worden gemanipuleerd, gedurende, en na een aanval. Deze manier van onderhandelen is een vorm van risicomanagement.

Om ons raamwerk te valideren, we hebben een steekproef van infrastructuurbeheerders geïnterviewd om te begrijpen wat ze zouden doen in het geval van een hypothetische ransomware-aanval. We ontdekten dat hun bestaande proces goed kon integreren met ons cyberonderhandelingsplan, zoals ervoor zorgen dat ze goede responsprotocollen hebben, en het hebben van open communicatienetwerken in hun interne organisatie om ervoor te zorgen dat mensen weten wat er aan de hand is. De reden waarom onze onderhandelingsstrategie waardevol is, is omdat deze operators allemaal verschillende stukjes van de cyberbeveiligingspuzzel behandelen, maar niet de volledige puzzel. Het is essentieel om naar het hele probleem te kijken.

Hoewel we ontdekten dat niemand met een aanvaller wil onderhandelen, onder bepaalde omstandigheden is onderhandelen de juiste zet, vooral wanneer bureaus geen realtime back-upsystemen hebben. Een klassiek geval was vorig jaar in Atlanta, waar hackers digitale diensten afsnijden, inclusief hulpprogramma, parkeren, en rechtbankdiensten. De stad betaalde het losgeld van ongeveer $ 50 niet, 000, en nu hebben ze meer dan $ 15 miljoen aan vergoedingen betaald om erachter te komen wat er mis is gegaan. Dat is geen geweldige vergelijking.

V:In de krant, je past je raamwerk met terugwerkende kracht toe op twee echte ransomware-aanvallen:toen hackers in 2017 de patiëntendossiers van de National Health Service van Engeland blokkeerden, en een incident uit 2016 waarbij hackers gegevens stalen van miljoenen gebruikers van Uber, die losgeld betaalde. Welke inzichten heb je uit deze casestudies gehaald?

een:voor degenen, We vroegen, "Wat zou er beter zijn gegaan als ze ons onderhandelingskader hadden voorbereid en gebruikt?" We concluderen dat er een aantal specifieke acties waren die ze hadden kunnen nemen die de schade die ze ondervonden hadden kunnen beperken. NHS, bijvoorbeeld, had behoefte aan meer bewustzijn bij zijn medewerkers over de gevaren van cyberaanvallen en meer expliciete communicatie over hoe dergelijke aanvallen te voorkomen en de verspreiding ervan te beperken. (Om de ransomware succesvol te installeren, een medewerker moest op een geïnfecteerde link klikken.) In het geval van Uber:het bedrijf schakelde geen autoriteiten in en voerde nooit schadecontrole uit. Dat leidde er mede toe dat Uber zijn vergunning om in Londen te opereren verloor.

Cyberaanvallen zijn onvermijdelijk, en zelfs als agentschappen zijn voorbereid, ze zullen verliezen lijden. Dus, aanvallen aanpakken en ervan leren is slimmer dan de schade toedekken. Een belangrijk inzicht van al ons werk is om niet vast te lopen in het installeren van dure technische oplossingen wanneer hun defensieve social engineering-acties de omvang en kosten van cyberaanvallen kunnen verminderen. Het helpt om interdisciplinair te zijn en methoden te mixen en matchen voor het omgaan met cyberbeveiligingsproblemen zoals ransomware.

Dit verhaal is opnieuw gepubliceerd met dank aan MIT News (web.mit.edu/newsoffice/), een populaire site met nieuws over MIT-onderzoek, innovatie en onderwijs.