Ein Jahr ist seit dem Koloniale Pipeline Ransomware-Angriff, der verursacht hat Koloniale Pipeline Dienst für fünf Tage einzustellen. Dieser Angriff führte zu einer enormen Treibstoffknappheit für die östlichen und südlichen Staaten und erzwang Koloniale Pipeline 4.4 Millionen Dollar Lösegeld zu zahlen.
Ransomware-Angriffe wurden seitdem unvermindert fortgesetzt, wobei die jüngsten Angriffe LAPSUS$ und ONYX umfassen. (Diese verschlüsseln nicht nur die Datei, sondern drohen auch, das gesamte System zu zerstören.) Black Kite hat seinen Third-Party Breach Report 2022 veröffentlicht, in dem hervorgehoben wird, dass Ransomware im Jahr 2021 zur häufigsten Angriffsmethode von Drittanbieter-Angriffen wurde. Alles was man braucht ist ein Loch: ein gestohlenes Passwort, ein offener Port (auch nur für kurze Zeit zum Testen) oder eine Software-Schwachstelle wie Log4j, um die Ransomware-Tür offen zu lassen.
Hier sind einige Lektionen, die wir daraus gelernt haben Kolonialer Pipeline-Angriff und was Organisationen tun sollten, um sich zu schützen:
1: Schärfung des Sicherheitsbewusstseins und Durchsetzung von Sicherheitsrichtlinien, zum Beispiel:
- Verwenden Sie Multi-Factor Authentication (MFA), um Angreifern das Eindringen erheblich zu erschweren. Das VPN-Konto von Colonial Pipeline wurde kompromittiert, weil das Passwort im Dark Web gefunden wurde. Die Aktivierung von MFA würde einen Angriff viel schwieriger machen, als sich einfach ein Passwort zu beschaffen.
- Backup-Systeme regelmäßig. Nachdem das Lösegeld bezahlt wurde, war das bereitgestellte Entschlüsselungstool so langsam, dass die Business-Continuity-Planungstools des Unternehmens effektiver waren, um die Betriebskapazität wiederherzustellen.
2: Ein Erkennungs- und Reaktionssystem ist obligatorisch
Nachdem die Lösegeldforderung eingegangen war, musste Colonial Pipeline die Produktion einstellen, weil sie nicht wussten, wie es dazu kam und wie weit sie fortgeschritten ist. Sie brauchten mehrere Tage, um endgültig festzustellen, dass der Angriff vollständig eingedämmt war. Ein Erkennungs- und Reaktionssystem hätte die Abschaltung vermeiden können. Ein Erkennungs- und Reaktionssystem sollte:
- Erkennen Sie frühe Anzeichen eines Angriffs und stoppen Sie ihn schnell, bevor er fortschreitet, um den Schaden zu minimieren. Im Fall Colonial Pipeline fand die Datenexfiltration vor dem Ransomware-Angriff statt. Ein Erkennungs- und Reaktionssystem hätte einen Exfiltrationsalarm auslösen können, der eine Untersuchung und Reaktion veranlasst hätte, um zu verhindern, dass sich der Angriff zu einem Ransomware-Angriff entwickelt.
- Erkennen Sie verdächtige Verhaltensweisen zusätzlich zur eingeschalteten Abdeckung MITRE ATT & CK Techniken und Taktiken. Angreifer können einfach Zugangsdaten aus dem Dark Web kaufen und sich als legitimer Benutzer anmelden. Sie lösen keine Erkennungen basierend auf MITRE ATT&CK-Taktiken und -Techniken aus. Nachdem sie jedoch eingestiegen sind, werden sie mit Sicherheit verdächtige Verhaltensweisen zeigen.
- Zeigen Sie ein klares Bild davon, wie der Angriff passiert ist, um schlüssig zu zeigen, dass der Angriff eingedämmt wurde. Colonial Pipeline beauftragte Mandiant mit der Durchführung einer umfassenden Durchsuchung ihrer Umgebung, um festzustellen, dass es keine anderen verwandten Aktivitäten gab, bevor der Angreifer am 29. April über das VPN-Konto Zugriff auf das Netzwerk erlangte. Ein gutes Erkennungssystem hätte dies jedoch in Echtzeit ohne tagelanges manuelles Nachverfolgen und Durchsuchen angezeigt.
- Zeigen Sie, wie weit der Angriff gegangen ist, und verstehen Sie die Auswirkungen. Hat es kritische Vermögenswerte erreicht? Dies hilft, die Auswirkungen auf das Geschäft zu bestimmen, um unnötige Unterbrechungen zu vermeiden. Das Hauptziel des Angriffs war die Abrechnungsinfrastruktur des Unternehmens. Die eigentlichen Ölpumpsysteme waren noch in der Lage zu arbeiten. Colonial Pipeline war jedoch nicht klar, ob der Angreifer ihr betriebliches Technologienetzwerk kompromittiert hatte – das Computersystem, das den tatsächlichen Benzinfluss steuert, bis Tage später, nachdem Mandiant ihr gesamtes Netzwerk gesäubert und verfolgt hatte. Ein Erkennungssystem sollte klar zeigen, wie weit der Angriff fortgeschritten ist und welche Assets betroffen sind, um die entsprechenden Maßnahmen zu bestimmen.
- Zeigen Sie alle neuen Folgeangriffe an, die im Gange sind. Während der Untersuchung installierte Mandiant Erkennungstools, um Folgeangriffe zu überwachen. Ein solides Erkennungs- und Reaktionssystem überwacht rund um die Uhr, egal wann (oder ob) ein Angriff stattfindet.
Die wichtigste Lektion hier ist die Verwendung eines einheitlichen Erkennungs- und Reaktionssystems, das die gesamte Sicherheitsinfrastruktur rund um die Uhr überwacht, frühe Anzeichen eines Angriffs erkennt und verschiedene Signale korreliert, um zu zeigen, wie der Angriff stattgefunden hat und wie weit er fortgeschritten ist. Genau das ist Stellar Cybers Open XDR Lernumgebung bietet.
