Gregory Falco. Kredit:Ian MacLellan
I cyberattacker med ransomware, hackare stjäl ett offers känsliga data och hotar att publicera eller blockera åtkomst till den om inte en lösensumma betalas. Över hela världen varje år, miljontals ransomware-attacker utförs på företag, städer, och organisationer, totalt kostar miljarder dollar i betalningar och skadestånd. Många tekniker kan motverka sådana cyberattacker, men forskare från MIT Computer Science and Artificial Intelligence Laboratory (CSAIL) och Institutionen för urbana studier och planering (DUSP) tror att det finns mer att lösa problemet än att distribuera den senaste programvaran.
Baserat på affärsförhandlingsstrategier, forskarna utformade ett ramverk för "cyberförhandling", publicerades nyligen i Journal of Cyber Policy, som beskriver en steg-för-steg-process för vad du ska göra innan, under, och efter en attack. Huvudförfattare och CSAIL- och DUSP-forskare Gregory Falco, som grundade cybersäkerhetsstartupen NeuroMesh med kritisk infrastruktur, pratade med MIT News om planen. Han fick sällskap på tidningen av medförfattarna Alicia Noriega SM '18, en DUSP alumna; och Lawrence Susskind, Ford-professorn i miljö- och stadsplanering och en forskare för Internet Policy Research Initiative och MIT Science Impact Collaborative.
F:Vad är städer, framförallt, upp emot med ransomware-attacker, och varför inte bara uppfinna bättre teknik för att försvara sig mot dessa attacker?
S:Om du tänker på kritisk infrastruktur, som transportsystem eller vattenservicenätverk, dessa drivs ofta av stads- eller tunnelbanebyråer som inte har tiotals miljoner dollar för att betala experter eller företag för att avskräcka eller bekämpa attacker. Med tanke på att städer har samlat alla typer av data om invånares aktivitet eller infrastrukturverksamhet, hackare riktar in sig på dessa skattkammare av data för att sälja på den svarta marknaden. De stör kritisk urban infrastruktur regelbundet i USA. Om någon hackar sig in i ett trafikljus och ändrar signalerna som ska skickas till ett autonomt fordon, eller om någon hackar smarta mätare och stör vårt energisystem, folkhälsa och säkerhet kommer att vara i fara.
Städer har personal – vanligtvis en enskild eller ett litet team – som ansvarar för att skydda kritisk infrastruktur. Men, de behöver mycket mer hjälp. Ransomware är ett av de sällsynta fallen där de kan ha direkt kommunikation med en hacker och eventuellt kan återta kontrollen över sin data. De måste vara redo att göra detta.
Det mesta av min forskning har handlat om att använda hackerverktyg mot hackare, och ett av de mest effektiva hackerverktygen är social ingenjörskonst. För detta ändamål, vi skapade "Defensive Social Engineering, " en verktygslåda med strategier för social ingenjörskonst som använder förhandlingskapacitet för att förändra hur attacker mot ransomware utvecklas. Kryptering och andra högteknologiska verktyg hjälper inte när en attack väl har börjat. Vi har tagit fram ett ramverk för cyberförhandling som kan hjälpa organisationer att minska sin cyber risker och stärka deras cyberresiliens.
F:Vilka metoder använde du för att utforma ditt ramverk för cyberförhandling? Vilka är några exempel på strategier i planen?
S:Larry [Susskind] är en av grundarna av interuniversitetsprogrammet för förhandling vid Harvard Law School. Vi har tillämpat de bästa förhandlingsrutinerna för att försvara kritisk urban infrastruktur från cyberattack. Patologin för de flesta ransomware-attacker stämmer väl överens med vad som händer i andra typer av förhandlingar:För det första, du ökar storleken på din motståndare, sedan utbyter du meddelanden, och i slutändan försöker man nå någon form av överenskommelse. Vi fokuserar på alla tre cyberförhandlingsstadierna:före, under, och efter en attack.
För att förbereda sig innan en attack är det nödvändigt att öka medvetenheten i hela organisationen om hur man hanterar en attack om en inträffar. Offentliga myndigheter behöver attackresponsplaner. Under en attack, byråer måste räkna ut kostnaderna för att följa eller inte följa kraven från en angripare, och rådfråga deras juridiska team angående deras ansvar. Sedan, om omständigheterna är de rätta, de måste förhandla med hackaren, om möjligt. Efter en attack, det är viktigt att se över vad som hände, dela information med lämpliga myndigheter, dokumentera vad man lärt sig, och engagera sig i skadekontroll. Cyberförhandling kräver inte nödvändigtvis att man betalar lösen. Istället, den fokuserar på att vara flexibel och veta hur man manipulerar situationen innan, under, och efter en attack. Denna metod för förhandling är en form av riskhantering.
För att validera vårt ramverk, vi intervjuade ett urval av infrastrukturoperatörer för att förstå vad de skulle göra i fallet med en hypotetisk ransomware-attack. Vi fann att deras befintliga process kunde integreras väl med vår cyberförhandlingsplan, som att se till att de har bra svarsprotokoll uppe och redo, och att ha kommunikationsnätverk öppna i hela sin interna organisation för att säkerställa att människor vet vad som händer. Anledningen till att vår förhandlingsstrategi är värdefull är att dessa operatörer alla hanterar olika delar av cybersäkerhetspusslet, men inte hela pusslet. Det är viktigt att titta på hela problemet.
Medan vi upptäckte att ingen vill förhandla med en angripare, under vissa omständigheter är förhandling det rätta draget, särskilt när byråer inte har några realtidsbackupsystem på plats. Ett klassiskt fall var förra året i Atlanta, där hackare stängde av digitala tjänster, inklusive verktyg, parkering, och domstolstjänster. Staden betalade inte lösensumman på ungefär $50, 000, och nu har de betalat mer än 15 miljoner dollar i avgifter för att försöka ta reda på vad som gick fel. Det är ingen bra ekvation.
F:I tidningen, du retroaktivt tillämpar ditt ramverk på två riktiga ransomware-attacker:när hackare låste in Englands National Health Service patientjournaler 2017, och en incident 2016 där hackare stal data om miljontals användare av Uber, som betalade lösen. Vilka insikter fick du från dessa fallstudier?
A:För dem, vi frågade, "Vad kunde ha gått bättre om de förberett sig för och använt vårt förhandlingsramverk?" Vi drar slutsatsen att det fanns ett antal specifika åtgärder de kunde ha vidtagit som mycket väl kunde ha begränsat den skada de utsattes för. NHS, till exempel, behövde ökad medvetenhet bland sina anställda om farorna med cyberattack och mer explicit kommunikation om hur man kan förebygga sådana attacker och begränsa spridningen av dem. (För att ransomware ska kunna installeras framgångsrikt, en anställd behövde klicka på en infekterad länk.) I Ubers fall, företaget anlitade inte myndigheter och genomförde aldrig skadekontroll. Det ledde delvis till att Uber förlorade sin licens att bedriva verksamhet i London.
Cyberattacker är oundvikliga, och även om byråer är förberedda, de kommer att uppleva förluster. Så, att hantera attacker och lära av dem är smartare än att täcka upp skadan. En huvudinsikt från allt vårt arbete är att inte fastna i att installera dyra tekniska lösningar när deras defensiva sociala ingenjörsåtgärder kan minska omfattningen och kostnaderna för cyberattacker. Det hjälper att vara tvärvetenskaplig och blanda och matcha metoder för att hantera cybersäkerhetsproblem som ransomware.
Den här historien återpubliceras med tillstånd av MIT News (web.mit.edu/newsoffice/), en populär webbplats som täcker nyheter om MIT-forskning, innovation och undervisning.