Прошел год с момента Колониальный Трубопровод Атака программы-вымогателя, вызвавшая Колониальный Трубопровод прекратить обслуживание на пять дней. Эта атака создала огромную нехватку топлива для восточных и южных штатов и вынудила Колониальный Трубопровод заплатить огромный выкуп в размере 4.4 миллиона долларов.
С тех пор атаки программ-вымогателей не ослабевают, самые последние из них включают LAPSUS$ и ONYX. (Они не только шифруют файл, но и угрожают уничтожить всю систему.) Black Kite выпустила отчет о вторжении третьих лиц за 2022 год, в котором подчеркивается, что программы-вымогатели стали наиболее распространенным методом атаки сторонних атак в 2021 году. Все, что нужно Это одна дыра: один украденный пароль, один открытый порт (даже на короткий период времени для тестирования) или одна программная уязвимость, такая как Log4j, оставляющая дверь для программ-вымогателей открытой.
Вот некоторые уроки, которые мы извлекли из Атака колониального трубопровода и что организации должны сделать, чтобы защитить себя:
1: Повышение осведомленности о безопасности и применение политик безопасности, например:
- Используйте многофакторную аутентификацию (MFA), чтобы злоумышленникам было намного сложнее взломать систему. Учетная запись VPN Colonial Pipeline была скомпрометирована, поскольку пароль был найден в даркнете. Включение MFA значительно усложнит атаку, чем простое получение пароля.
- Резервное копирование систем регулярно. После того, как выкуп был выплачен, предоставленный инструмент дешифрования работал настолько медленно, что инструменты планирования непрерывности бизнеса компании более эффективно восстанавливали операционную мощность.
2: Система обнаружения и реагирования обязательна.
После того, как сообщение о выкупе было получено, Colonial Pipeline пришлось остановить производство, потому что они не знали, как это произошло и как далеко это продвинулось. Им потребовалось несколько дней, чтобы окончательно определить, что нападение было полностью остановлено. Наличие системы обнаружения и реагирования могло бы избежать отключения. Система обнаружения и реагирования должна:
- Выявляйте ранние признаки атаки и быстро останавливайте ее до того, как она разовьется, чтобы свести к минимуму ущерб. В случае с Colonial Pipeline эксфильтрация данных произошла до атаки программ-вымогателей. Система обнаружения и реагирования могла бы вызвать предупреждение об утечке, что побудило бы к расследованию и реагированию, чтобы предотвратить развитие атаки в атаку программы-вымогателя.
- Обнаружение любого подозрительного поведения в дополнение к охвату MITRE ATT & CK техники и тактики. Злоумышленники могут просто купить учетные данные в даркнете и войти в систему как законный пользователь. Они не будут вызывать обнаружения, основанные на тактике и методах MITRE ATT&CK. Однако после того, как они вошли, они наверняка будут демонстрировать подозрительное поведение.
- Покажите четкую картину того, как произошло нападение, чтобы убедительно показать, что нападение было сдержано. Colonial Pipeline наняла Mandiant для проведения тщательного анализа их среды, чтобы определить, что не было никаких других связанных действий до того, как 29 апреля злоумышленник получил доступ к сети с использованием учетной записи VPN. Однако хорошая система обнаружения показала бы это в режиме реального времени без многодневного ручного отслеживания и сканирования.
- Покажите, как далеко зашла атака, и поймите последствия. Достигнут ли он критическими активами? Это помогает определить влияние на бизнес, чтобы избежать ненужных сбоев. Основной целью атаки стала биллинговая инфраструктура компании. Настоящие системы перекачки нефти все еще могли работать. Тем не менее, Colonial Pipeline не было ясно, скомпрометировал ли злоумышленник их операционную технологическую сеть — систему компьютеров, которые контролируют фактический поток бензина, до тех пор, пока несколько дней спустя Mandiant не проверил и не отследил всю их сеть. Система обнаружения должна четко показывать, как далеко зашла атака и какие активы затронуты, чтобы определить соответствующие действия.
- Показать любые новые последующие атаки, которые происходят. В ходе расследования Mandiant установила инструменты обнаружения для отслеживания любых последующих атак. Надежная система обнаружения и реагирования будет отслеживать 24 часа в сутки, 7 дней в неделю, независимо от того, когда (или если) происходит атака.
Главный урок здесь — использовать единую систему обнаружения и реагирования, которая круглосуточно и без выходных контролирует всю инфраструктуру безопасности, выявляет ранние признаки атаки, сопоставляет различные сигналы, чтобы показать, как произошла атака и как далеко она зашла. Это именно то, что Stellar Cyber's Open XDR Платформа обеспечивает.
