Dans les cyberattaques de ransomware, les pirates informatiques volent les données sensibles d'une victime et menacent de les publier ou d'en bloquer l'accès à moins qu'une rançon ne soit payée. Partout dans le monde chaque année, des millions d'attaques de ransomware sont menées contre des entreprises, villes, et organisations, coûtant des milliards de dollars au total en paiements et dommages-intérêts. De nombreuses technologies peuvent contrecarrer de telles cyberattaques, mais les chercheurs du Laboratoire d'informatique et d'intelligence artificielle du MIT (CSAIL) et du Département d'études et de planification urbaines (DUSP) pensent qu'il y a plus pour résoudre le problème que de déployer les derniers logiciels.

Sur la base de stratégies de négociation commerciale, les chercheurs ont conçu un cadre de « cybernégociation », publié récemment dans le Journal of Cyber ​​Policy, qui détaille un processus étape par étape pour savoir quoi faire avant, pendant, et après une attaque. Auteur principal et chercheur CSAIL et DUSP Gregory Falco, qui a fondé la startup de cybersécurité des infrastructures critiques NeuroMesh, a parlé à MIT News du plan. Il a été rejoint sur le papier par les co-auteurs Alicia Noriega SM '18, une ancienne élève du DUSP ; et Lawrence Susskind, le professeur Ford de planification environnementale et urbaine et chercheur pour l'Internet Policy Research Initiative et le MIT Science Impact Collaborative.

Q :Que sont les villes, surtout, face aux attaques de ransomware, et pourquoi ne pas simplement inventer de meilleures technologies pour se défendre contre ces attaques ?

R :Si vous pensez aux infrastructures critiques, comme les systèmes de transport ou les réseaux de distribution d'eau, ceux-ci sont souvent gérés par des agences de la ville ou du métro qui n'ont pas des dizaines de millions de dollars pour payer des experts ou des entreprises pour dissuader ou combattre les attaques. Étant donné que les villes ont accumulé toutes sortes de données sur l'activité des résidents ou le fonctionnement des infrastructures, les pirates ciblent ces trésors de données pour les vendre au marché noir. Ils perturbent régulièrement les infrastructures urbaines critiques aux États-Unis. Si quelqu'un pirate un feu de circulation et modifie les signaux censés être envoyés à un véhicule autonome, ou si quelqu'un pirate des compteurs intelligents et interfère avec notre système énergétique, la santé et la sécurité publiques seront menacées.

Les villes ont du personnel, généralement un individu ou une petite équipe, chargé de protéger les infrastructures critiques. Mais, ils ont besoin de beaucoup plus d'aide. Les ransomwares sont l'un des rares cas où ils peuvent avoir une communication directe avec un pirate informatique et peuvent éventuellement reprendre le contrôle de leurs données. Ils doivent être prêts à le faire.

La plupart de mes recherches ont porté sur l'utilisation d'outils de piratage contre les pirates, et l'un des outils de piratage les plus efficaces est l'ingénierie sociale. À cette fin, nous avons créé « Ingénierie sociale défensive, " une boîte à outils de stratégies d'ingénierie sociale qui utilisent des capacités de négociation pour modifier la façon dont les attaques de ransomware se déroulent. Le chiffrement et d'autres outils de haute technologie n'aideront pas une fois qu'une attaque a commencé. Nous avons conçu un cadre de cybernégociation qui peut aider les organisations à réduire leur cyber risques et renforcer leur cyber-résilience.

Q :Quelles méthodes avez-vous utilisées pour concevoir votre cadre de cybernégociation ? Quels sont quelques exemples de stratégies dans le plan?

R :Larry [Susskind] est le co-fondateur du programme interuniversitaire de négociation à la faculté de droit de Harvard. Nous avons appliqué les meilleures pratiques de négociation pour défendre les infrastructures urbaines critiques contre les cyberattaques. La pathologie de la plupart des attaques de ransomware correspond bien à ce qui se passe dans d'autres types de négociations :vous jaugez votre adversaire, puis vous échangez des messages, et finalement vous essayez de parvenir à une sorte d'accord. Nous nous concentrons sur les trois étapes de la cybernégociation :avant, pendant, et après une attaque.

Pour se préparer avant une attaque, il est nécessaire de sensibiliser l'ensemble de l'organisation à la manière de gérer une attaque si elle se produit. Les organismes publics ont besoin de plans de réponse aux attaques. Lors d'une attaque, les agences doivent déterminer les coûts de se conformer ou de ne pas se conformer aux exigences d'un attaquant, et consulter leur équipe juridique concernant leurs responsabilités. Puis, si les circonstances sont bonnes, ils doivent négocier avec le pirate informatique, si possible. Après une attaque, il est important de revoir ce qui s'est passé, partager des informations avec les autorités compétentes, documenter ce qui a été appris, et s'engager dans le contrôle des dommages. La cybernégociation ne nécessite pas nécessairement le paiement d'une rançon. Au lieu, il se concentre sur être flexible et savoir manipuler la situation avant, pendant, et après une attaque. Cette approche de la négociation est une forme de gestion des risques.

Pour valider notre cadre, nous avons interrogé un échantillon d'opérateurs d'infrastructure pour comprendre ce qu'ils feraient dans le cas d'une hypothétique attaque de ransomware. Nous avons constaté que leur processus existant pourrait bien s'intégrer à notre plan de cybernégociation, comme s'assurer qu'ils ont de bons protocoles de réponse en place et prêts, et avoir des réseaux de communication ouverts à travers leur organisation interne pour s'assurer que les gens savent ce qui se passe. La raison pour laquelle notre stratégie de négociation est précieuse est que ces opérateurs gèrent tous différentes pièces du puzzle de la cybersécurité, mais pas le puzzle complet. Il est essentiel d'examiner l'ensemble du problème.

Alors que nous avons constaté que personne ne veut négocier avec un attaquant, dans certaines circonstances, la négociation est la bonne décision, surtout lorsque les agences ne disposent pas de systèmes de sauvegarde en temps réel. Un cas classique était l'année dernière à Atlanta, où les pirates ont coupé les services numériques, y compris l'utilité, parking, et les services judiciaires. La ville n'a pas payé la rançon d'environ 50 $, 000, et maintenant, ils ont payé plus de 15 millions de dollars en frais pour essayer de comprendre ce qui n'allait pas. Ce n'est pas une grande équation.

Q :Dans le journal, vous appliquez rétroactivement votre cadre à deux véritables attaques de ransomware :lorsque des pirates ont verrouillé les dossiers des patients du National Health Service d'Angleterre en 2017, et un incident de 2016 où des pirates ont volé des données sur des millions d'utilisateurs d'Uber, qui a payé une rançon. Quelles informations avez-vous tirées de ces études de cas ?

R :Pour ceux-là, nous avons demandé, « Qu'est-ce qui aurait pu mieux se passer s'ils se préparaient et utilisaient notre cadre de négociation ? » Nous concluons qu'il y avait un certain nombre de mesures spécifiques qu'ils auraient pu prendre qui auraient très bien pu limiter les dommages auxquels ils ont été confrontés. NHS, par exemple, avait besoin d'une plus grande sensibilisation de ses employés aux dangers des cyberattaques et de communications plus explicites sur la façon de prévenir de telles attaques et de limiter leur propagation. (Pour que le ransomware soit installé avec succès, un employé devait cliquer sur un lien infecté.) Dans le cas d'Uber, l'entreprise n'a pas engagé les autorités et n'a jamais effectué de contrôle des dommages. Cela a en partie conduit Uber à perdre sa licence d'exploitation à Londres.

Les cyberattaques sont inévitables, et même si les agences sont préparées, ils vont subir des pertes. Donc, faire face aux attaques et en tirer des leçons est plus intelligent que de couvrir les dégâts. L'un des principaux enseignements de tous nos travaux est de ne pas s'enliser dans l'installation de solutions techniques coûteuses lorsque leurs actions d'ingénierie sociale défensive peuvent réduire la portée et les coûts des cyberattaques. Cela aide à être interdisciplinaire et à mélanger et assortir les méthodes pour traiter les problèmes de cybersécurité comme les ransomwares.

Cette histoire est republiée avec l'aimable autorisation de MIT News (web.mit.edu/newsoffice/), un site populaire qui couvre l'actualité de la recherche du MIT, innovation et enseignement.