Rút kinh nghiệm từ cuộc tấn công Bridgestone Ransomware

Vào ngày 17 tháng 5 năm 2023, Hoạt động của Accenture: Hội nghị thượng đỉnh về an ninh mạng 23 OT tiếp theo đã thảo luận về ưu tiên bảo vệ, phòng thủ và khả năng phục hồi. Mối quan tâm đặc biệt là cuộc thảo luận về cuộc tấn công ransomware vào Bridgestone Châu Mỹ.

Jim Guinn, giám đốc điều hành cấp cao và lãnh đạo an ninh mạng tại Accenture đã giới thiệu cuộc thảo luận có tiêu đề: “Chúng tôi đã học được gì từ cuộc tấn công ransomware của mình”. Cuộc thảo luận đã xây dựng chi tiết về cuộc tấn công bằng mã độc tống tiền vào tháng 2 năm 2022 nhằm vào Bridgestone Châu Mỹ và những gì các tổ chức có thể học được từ sự cố này để thực hiện thay đổi và tăng cường các biện pháp bảo mật của chính họ.

Tom Corridon, CISO tại Bridgestone và Rob Boyce, lãnh đạo toàn cầu, khả năng phục hồi không gian mạng Accenture đã thảo luận về cuộc tấn công và cách thức, trong tương lai, ngành có thể hưởng lợi từ các bài học rút ra từ sự cố, cách sự kiện định hình các ưu tiên và những gì đang được thực hiện để hỗ trợ thay đổi. Corridon là CISO tạm thời khi nhà sản xuất lốp xe toàn cầu bị tấn công bởi một sự kiện ransomware.

Guinn giải thích rằng Bridgestone đã ngoại tuyến các cơ sở vì lý do thận trọng. Anh ấy nói rằng Corridon đã chia sẻ suy nghĩ của anh ấy về những việc cần làm sau một cuộc tấn công và lời khuyên về cách chuẩn bị cho các giám đốc điều hành đưa ra quyết định nhanh chóng cần thiết khi điều hướng một sự kiện như thế này.

Corridon đã học được tầm quan trọng của việc lập kế hoạch và biết cách tiếp cận của bạn sẽ như thế nào. Anh ấy khuyên nên thực hiện các bài tập trên bàn trước để bạn không bị vấp ngã trong một sự cố. “[Organizations must] biết cách thức và ai cần đưa ra quyết định và ai có quyền quyết định đó,” ông nói.

“Tiền và tài nguyên là những thứ quan trọng,” Corridon nói. “Nhưng tôi nghĩ điểm mấu chốt và cơ hội để tận dụng là nhận thức vì toàn bộ tổ chức đã trải qua một sự kiện và họ đã chuẩn bị cho việc quản lý thay đổi tổ chức. Họ sẵn sàng chấp nhận những thay đổi khó thuyết phục hơn nhiều, có lẽ phải mất nhiều năm để có thể thực hiện được, trong khi khi xảy ra sự cố—hoặc ngay sau sự cố—là cơ hội tốt nhất để thực sự khiến mọi người nhận thức được vì điều đó mới xảy ra, và chúng có liên quan thực sự đến thời điểm này.”

Boyce nói: “Phần lớn trong số đó là sự thay đổi văn hóa. “Con người là mắt xích yếu nhất trong chuỗi bảo mật; nó gần như ở hai cấp độ khác nhau. Có một lượng lớn người dùng nhận thức được và có mức độ nhận thức về bảo mật để thực sự thúc đẩy hỗ trợ cho chương trình.”

“Trong một sự cố, các giám đốc điều hành có quyền hành động, vì vậy họ bỏ đi với sự hiểu biết tốt hơn về các thuật ngữ mà họ không bao giờ muốn hiểu hoặc muốn biết,” Corridon đồng ý. “Làm cho nó mang tính cá nhân—không phải bằng cách liên tục nhắc nhở mọi người về cơn ác mộng mà họ đã trải qua—nhưng giữ cho nó phù hợp và được ghi nhớ hàng đầu và làm cho nó liên quan đến công việc hàng ngày của họ là chìa khóa trong việc nhắn tin tới những người dưới quyền điều hành bộ cho người đóng góp cá nhân. Chỉ cần một cá nhân đưa ra một quyết định sai lầm và đột nhiên, bạn rơi vào tình trạng khủng hoảng hoàn toàn.”

Corridon nói rằng các tổ chức cần tận dụng quản lý thay đổi tổ chức để tận dụng lợi thế của một sự cố khi nó còn mới mẻ trong tâm trí mọi người và mùi vị vẫn còn trong miệng mọi người về những gì đã xảy ra để thực sự nghiêng về quản lý thay đổi tổ chức—những việc có thể mất hàng tháng hoặc thậm chí năm để thực hiện. Mọi người sẽ cởi mở hơn rất nhiều để hướng tới những thay đổi cần thiết nhằm cải thiện tình hình an ninh ngay sau khi xảy ra sự cố.

“Khôi phục thảm họa (DR) cần phải là một phần của quy trình quản lý thay đổi đó để bạn liên tục cập nhật các kế hoạch DR của mình dựa trên cách môi trường của bạn đang thay đổi,” Corridon nói. “Đó là một điều hiển nhiên. Tôi cũng nghĩ rằng khi suy nghĩ về các bản sao lưu bất biến và ưu tiên các tài sản quan trọng nhất của bạn, bạn sẽ cần mức tối thiểu là bao nhiêu để duy trì hoạt động kinh doanh của mình, để tiếp tục đạt được doanh thu? Và làm thế nào để bạn xếp chúng vào cấp 0 và đảm bảo các bản sao lưu không bị ngắt hoặc không thay đổi? Đó là một số bài học thực sự quan trọng.”

Điểm chính, bài học kinh nghiệm

Sự cố Bridgestone đã thúc đẩy đầu tư nhiều hơn vào bảo mật, nhưng mọi người đều có thể hưởng lợi rất nhiều từ cơ hội nâng cao nhận thức.

• Có một kế hoạch ứng phó sự cố vững chắc. Biết cách tiếp cận của bạn sẽ là gì và ai có quyền quyết định.
• Có một kế hoạch truyền thông mạnh mẽ. Nếu bạn không có kế hoạch, câu chuyện sẽ được viết cho bạn.
• Thực hiện các bài tập trên bàn trước để bạn không bị mắc kẹt trong một sự cố.
• Nâng cao nhận thức. Khi nói đến an ninh, con người là liên kết yếu nhất. Sau một sự cố, các giám đốc điều hành chắc chắn nhận thức rõ hơn. Đối với những người khác, bạn phải làm cho sự việc có liên quan đến cuộc sống hàng ngày của họ.
• Thay đổi tư duy. Các tổ chức cần coi sự kiện mạng không phải là một sự cố công nghệ thông tin (CNTT) hay bảo mật, mà là một tội ác chống lại công ty.
• Hiểu chuỗi giá trị của bạn. Để đẩy nhanh thời gian phục hồi, bạn cần phải làm việc đồng thời trên toàn bộ chuỗi giá trị của mình.

Nhìn về phía trước

Do có nhiều biện pháp thận trọng, các cơ sở thường có thể bị ngoại tuyến để bảo vệ khỏi một cuộc tấn công xâm nhập vào môi trường công nghệ vận hành (OT). “Thực tế là,” Guinn nói, “nếu bạn không thể nhìn thấy nó, bạn không thể bảo vệ nó. Và nếu bạn không biết bạn có nó, bạn không thể nhìn thấy nó. Một số điều quan trọng nhất mà chúng tôi có thể làm là hiểu cách cơ sở hạ tầng doanh nghiệp và CNTT của chúng tôi giao tiếp với cơ sở hạ tầng doanh nghiệp OT của chúng tôi và cách chúng kết hợp với nhau.”