0
0
Os ataques cibernéticos gêmeos ao MGM Resorts e ao Caesars Entertainment forneceram uma visão singular do que acontece quando duas organizações semelhantes, sob ataques semelhantes do mesmo ator de ameaça, buscam estratégias contrastantes de resposta a incidentes.
Neste caso, ambos foram vítimas de um ataque cibernético Scattered Spider/ALPHV . O Caesars negociou rapidamente com os ciberataques e entregou um pagamento de resgate de US$ 15 milhões, o que lhe permitiu prosseguir com os negócios em um prazo relativamente curto. Enquanto isso, a MGM recusou-se categoricamente a pagar e acaba de anunciar que suas operações foram recuperadas após mais de 10 dias de inatividade operacional de cassinos e hotéis (dezenas de milhões de dólares em receitas perdidas posteriormente).
Embora seja tentador julgar qual abordagem é melhor, qualquer comparação direta entre as respostas do Caesars e da MGM ao ataque cibernético é uma simplificação excessiva, dizem os especialistas. Por exemplo, Rob T. Lee, diretor-chefe de currículo e líder do corpo docente do SANS Institute, enfatiza que o princípio fundamental da resposta a incidentes é tentar tomar a “decisão menos pior”. E esta tende a ser uma decisão complexa que tem sempre um conjunto de resultados positivos e negativos (alguns diriam brutais).
Ele observa: “muitas decisões de negócios podem envolver isso. Somente depois que um incidente termina você pode ver caminhos diferentes que poderiam ter levado a resultados diferentes ou pelo menos piores. Não há ‘vitória’ nessas situações, apenas decisões que podem impedir isso piore.”
Você deve pagar o resgate? A MGM estava certa ou o Caesars? É complicado
Pagar ou não um resgate após um ataque cibernético é uma daquelas decisões sem saída que os respondentes de incidentes são forçados a tomar sob intensa pressão.
Está bem documentado que pagar um resgate não garante a segurança dos dados ou a recuperação do sistema. Pior ainda, incentiva ataques futuros ao criar um mercado para estes crimes cibernéticos. Mas as decisões de risco empresarial nem sempre dependem de escolhas claras entre o certo e o errado, e a conveniência é sempre levada em consideração.
“A recuperação mais rápida do Caesars após o resgate pode dar a impressão de que eles tomaram uma decisão melhor”, diz Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical Start. “Do ponto de vista da continuidade dos negócios, a decisão de pagar pode parecer eficaz.”
No entanto, Joseph Carson, cientista-chefe de segurança e CISO consultivo da Delinea, explica que existem outras complexidades em jogo. As empresas que demoram um pouco para refletir sobre suas opções podem decidir que não pagar faz mais sentido. Em sua experiência, ele diz que as organizações têm apenas uma janela de quatro dias para negociar com os atores de ameaças de ransomware antes que as posições se tornem mais rígidas em ambos os lados. Depois disso, os invasores de ransomware tendem a ficar frustrados e as equipes de segurança corporativa também ficam comprometidas com sua posição.
“Há uma tendência de custo irrecuperável”, acrescentou o pesquisador de segurança Jake Williams. “Quanto mais longe do incidente elas (as equipes de resposta e recuperação de segurança cibernética) ficam, mais arraigadas ficam na recuperação.”
Os custos de recuperação são outra consideração, segundo Carson. Se a recuperação for dolorosa, mas custar apenas alguns milhões, essa poderá ser uma escolha melhor em comparação com um pagamento de extorsão de oito dígitos, acrescenta.
O que cada resposta sinaliza sobre as prioridades de negócios
Avaliando amplamente a resposta geral a incidentes da MGM e do Caesars , Guenther explica que a reação do Caesars mostra que manter as operações em funcionamento era a prioridade, enquanto a resposta da MGM demonstra que a organização está disposta a suportar dificuldades financeiras de curto prazo para obter ganhos de segurança cibernética a longo prazo.
“A escolha da MGM de não pagar o resgate, apesar das perdas financeiras, pode resultar de uma perspectiva mais ampla sobre as implicações dos pagamentos de resgate”, diz Guenther. “A duração da sua interrupção também pode refletir um processo abrangente de revisão interna e restauração, garantindo que todas as ameaças sejam totalmente mitigadas”.
A resposta do Caesars ao incidente, acrescenta ela, em comparação foi “decisiva”.
“No entanto, pagar um resgate, embora proporcione alívio imediato, traz consigo considerações de longo prazo”, acrescenta Guenther. “A velocidade de recuperação pós-pagamento sugere que eles tinham processos robustos de backup e restauração, mas também levanta questões sobre as medidas preventivas que levaram ao ataque.”
Algumas equipes de RI têm sorte em Las Vegas
Os especialistas reconhecem amplamente que as respostas aos incidentes do Caesars e do MGM foram capazes em circunstâncias difíceis e mitigaram danos mais generalizados.
Em termos do pagamento do resgate do Caesars, Andrew Barratt, vice-presidente da Coalfire, aponta que fração o pagamento de extorsão de US$ 15 milhões representa no esquema mais amplo das receitas globais da organização.
“O pagamento do Caesars representa um impacto de cerca de 0,1% em sua receita do ano anterior, e isso provavelmente nem faria sentido se fosse outro tipo de custo amortizado ao longo do período”, diz Barratt.
Ele acrescenta que o tempo de recuperação de 10 dias da MGM se compara bem ao de outras organizações, em sua experiência.
“ Embora pareça ter se arrastado, já vi incidentes levarem mais de um ano para serem totalmente resolvidos, e 10 dias não é uma resposta terrível para uma organização com a complexidade que a MGM inevitavelmente tem”, acrescenta Barratt.
Deixando de lado a higiene da segurança cibernética, a arquitetura do sistema, as ferramentas e o conjunto de talentos disponíveis, Lee, do SANS Institute, ressalta que a recuperação de incidentes é, em última análise, tão previsível quanto puxar uma máquina caça-níqueis.
“Só porque o Caesars se recuperou ‘melhor’ pode não ter nada a ver com o pagamento do resgate”, acrescenta Lee. “Você não pode julgar o ‘sucesso’ com base no resultado – eles simplesmente poderiam ter tido mais sorte, usando um termo de Vegas.”
FONTE: DARKREADING