Negli attacchi informatici ransomware, gli hacker rubano i dati sensibili di una vittima e minacciano di pubblicarli o bloccarne l'accesso a meno che non venga pagato un riscatto. In tutto il mondo ogni anno, milioni di attacchi ransomware vengono effettuati su aziende, città, e organizzazioni, costando miliardi di dollari in totale in pagamenti e danni. Molte tecnologie possono contrastare tali attacchi informatici, ma i ricercatori del MIT Computer Science and Artificial Intelligence Laboratory (CSAIL) e del Department of Urban Studies and Planning (DUSP) credono che ci sia di più per risolvere il problema che distribuire il software più recente.

Sulla base di strategie di negoziazione aziendale, i ricercatori hanno progettato un quadro di "negoziazione informatica", pubblicato di recente sul Journal of Cyber ​​Policy, che dettaglia un processo passo passo per cosa fare prima, durante, e dopo un attacco L'autore principale e ricercatore CSAIL e DUSP Gregory Falco, che ha fondato la startup di sicurezza informatica delle infrastrutture critiche NeuroMesh, ha parlato con il MIT News del piano. È stato affiancato sulla carta dai coautori Alicia Noriega SM '18, un'alunna DUSP; e Lawrence Suskind, il Ford Professor of Environmental and Urban Planning e ricercatore per l'Internet Policy Research Initiative e il MIT Science Impact Collaborative.

D:Cosa sono le città, specialmente, contro gli attacchi ransomware, e perché non inventare tecnologie migliori per difendersi da questi attacchi?

R:Se pensi alle infrastrutture critiche, come sistemi di trasporto o reti di servizi idrici, questi sono spesso gestiti da agenzie cittadine o metropolitane che non hanno decine di milioni di dollari per pagare esperti o aziende per scoraggiare o combattere gli attacchi. Dato che le città hanno accumulato tutti i tipi di dati sull'attività dei residenti o sulle operazioni infrastrutturali, gli hacker prendono di mira questi tesori di dati per venderli al mercato nero. Interrompono regolarmente le infrastrutture urbane critiche negli Stati Uniti. Se qualcuno entra in un semaforo e cambia i segnali che dovrebbero essere inviati a un veicolo autonomo, o se qualcuno hackera contatori intelligenti e interferisce con il nostro sistema energetico, la salute e la sicurezza pubblica saranno a rischio.

Le città dispongono di personale, di solito un singolo o un piccolo team, incaricato di proteggere le infrastrutture critiche. Ma, hanno bisogno di molto più aiuto. Il ransomware è uno dei rari casi in cui possono avere una comunicazione diretta con un hacker e possono eventualmente riprendere il controllo dei propri dati. Devono essere pronti a farlo.

La maggior parte della mia ricerca ha riguardato l'utilizzo di strumenti di hacker contro gli hacker, e uno degli strumenti di hacker più efficaci è l'ingegneria sociale. A quello scopo, abbiamo creato "Defensive Social Engineering, " una cassetta degli attrezzi di strategie di ingegneria sociale che impiegano capacità di negoziazione per alterare il modo in cui si svolgono gli attacchi ransomware. La crittografia e altri strumenti ad alta tecnologia non aiuteranno una volta iniziato un attacco. Abbiamo ideato un quadro di negoziazione informatica che può aiutare le organizzazioni a ridurre il loro cyber rischi e rafforzare la loro resilienza informatica.

D:Quali metodi hai utilizzato per progettare il tuo framework di negoziazione informatica? Quali sono alcuni esempi di strategie nel piano?

R:Larry [Susskind] è il co-fondatore del Programma interuniversitario sulla negoziazione presso la Harvard Law School. Abbiamo applicato le migliori pratiche di negoziazione per difendere le infrastrutture urbane critiche dagli attacchi informatici. La patologia della maggior parte degli attacchi ransomware si abbina perfettamente a ciò che accade in altri tipi di negoziazioni:in primo luogo, misuri il tuo avversario, poi si scambiano messaggi, e alla fine provi a raggiungere un qualche tipo di accordo. Ci concentriamo su tutte e tre le fasi della negoziazione informatica:prima, durante, e dopo un attacco

Per prepararsi prima di un attacco è necessario sensibilizzare l'intera organizzazione su come gestire un attacco se si verifica. Le agenzie pubbliche hanno bisogno di piani di risposta agli attacchi. Durante un attacco, le agenzie devono calcolare i costi per conformarsi o non conformarsi alle richieste di un aggressore, e consultare il proprio team legale in merito alle proprie responsabilità. Quindi, se le circostanze sono giuste, devono negoziare con l'hacker, se possibile. Dopo un attacco, è importante rivedere quello che è successo, condividere le informazioni con le autorità competenti, documentare quanto appreso, e impegnarsi nel controllo dei danni. La negoziazione informatica non richiede necessariamente il pagamento di un riscatto. Anziché, si concentra sull'essere flessibili e sapere come manipolare la situazione prima, durante, e dopo un attacco Questo approccio alla negoziazione è una forma di gestione del rischio.

Per convalidare il nostro quadro, abbiamo intervistato un campione di operatori di infrastrutture per capire cosa farebbero in caso di un ipotetico attacco ransomware. Abbiamo scoperto che il loro processo esistente potrebbe integrarsi bene con il nostro piano di negoziazione informatica, come assicurarsi che dispongano di buoni protocolli di risposta pronti e pronti, e avere reti di comunicazione aperte in tutta l'organizzazione interna per garantire che le persone sappiano cosa sta succedendo. Il motivo per cui la nostra strategia di negoziazione è preziosa è perché questi operatori gestiscono tutti diversi pezzi del puzzle della sicurezza informatica, ma non il puzzle completo. È essenziale considerare l'intero problema.

Anche se abbiamo scoperto che nessuno vuole negoziare con un aggressore, in determinate circostanze la negoziazione è la mossa giusta, soprattutto quando le agenzie non dispongono di sistemi di backup in tempo reale. Un caso classico è stato l'anno scorso ad Atlanta, dove gli hacker tagliano i servizi digitali, compresa l'utilità, parcheggio, e servizi giudiziari. La città non ha pagato il riscatto di circa $ 50, 000, e ora hanno pagato più di $ 15 milioni di tasse cercando di capire cosa è andato storto. Non è una grande equazione.

D:Nel giornale, applichi retroattivamente il tuo framework a due veri attacchi ransomware:quando gli hacker hanno bloccato i record dei pazienti del National Health Service inglese nel 2017, e un incidente del 2016 in cui gli hacker hanno rubato dati su milioni di utenti di Uber, che ha pagato un riscatto. Quali intuizioni hai tratto da questi casi di studio?

R:Per quelli, noi abbiamo chiesto, "Cosa sarebbe potuto andare meglio se avessero preparato e utilizzato il nostro quadro negoziale?" Concludiamo che c'erano una serie di azioni specifiche che avrebbero potuto intraprendere che avrebbero potuto limitare il danno che hanno dovuto affrontare. NHS, ad esempio, aveva bisogno di una maggiore consapevolezza tra i suoi dipendenti sui pericoli degli attacchi informatici e di comunicazioni più esplicite su come prevenire tali attacchi e limitarne la diffusione. (Affinché il ransomware venga installato correttamente, un dipendente doveva fare clic su un collegamento infetto.) Nel caso di Uber, la società non ha coinvolto le autorità e non ha mai effettuato il controllo dei danni. Ciò ha in parte portato Uber a perdere la licenza per operare a Londra.

Gli attacchi informatici sono inevitabili, e anche se le agenzie sono preparate, andranno incontro a perdite. Così, affrontare gli attacchi e imparare da essi è più intelligente che coprire il danno. Un'intuizione principale di tutto il nostro lavoro è non impantanarsi nell'installazione di soluzioni tecniche costose quando le loro azioni di ingegneria sociale difensive possono ridurre la portata e i costi degli attacchi informatici. Aiuta essere interdisciplinari e combinare metodi per affrontare i problemi di sicurezza informatica come il ransomware.

Questa storia è stata ripubblicata per gentile concessione di MIT News (web.mit.edu/newsoffice/), un popolare sito che copre notizie sulla ricerca del MIT, innovazione e didattica.