एक साल बाद: औपनिवेशिक पाइपलाइन रैनसमवेयर हमले से सबक

एक साल बीत चुका है औपनिवेशिक पाइपलाइन रैंसमवेयर हमला जिसके कारण हुआ औपनिवेशिक पाइपलाइन पांच दिनों के लिए सेवा बंद करने के लिए। इस हमले ने पूर्वी और दक्षिणी राज्यों के लिए ईंधन की भारी कमी पैदा कर दी, और मजबूर कर दिया औपनिवेशिक पाइपलाइन 4.4 मिलियन डॉलर की फिरौती देने के लिए।

तब से रैनसमवेयर हमले बेरोकटोक जारी हैं, जिनमें LAPSUS$ और ONYX शामिल हैं। (ये न केवल फ़ाइल को एन्क्रिप्ट करते हैं, बल्कि पूरे सिस्टम को नष्ट करने की धमकी भी देते हैं।) ब्लैक काइट ने अपनी 2022 थर्ड-पार्टी ब्रीच रिपोर्ट जारी की है, जिसमें बताया गया है कि रैंसमवेयर 2021 में तीसरे पक्ष के हमलों का सबसे आम हमला तरीका बन गया। एक छेद है: एक चुराया हुआ पासवर्ड, एक खुला बंदरगाह (यहां तक ​​कि परीक्षण के लिए थोड़े समय के लिए भी), या एक सॉफ्टवेयर भेद्यता जैसे कि Log4j रैंसमवेयर का दरवाजा खुला छोड़ देता है।

यहां कुछ सबक दिए गए हैं जिनसे हमने सीखा है औपनिवेशिक पाइपलाइन हमला और खुद को बचाने के लिए संगठनों को क्या करना चाहिए:

 1: सुरक्षा जागरूकता बढ़ाएं और सुरक्षा नीतियों को लागू करें, उदाहरण के लिए:

• मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) का उपयोग करें ताकि हमलावरों के लिए घुसपैठ करना अधिक कठिन हो। औपनिवेशिक पाइपलाइन के वीपीएन खाते से छेड़छाड़ की गई क्योंकि पासवर्ड डार्क वेब पर पाया गया था। एमएफए को सक्षम करने से केवल पासवर्ड प्राप्त करने की तुलना में हमला करना अधिक कठिन हो जाएगा।
• बैकअप सिस्टम नियमित रूप से। फिरौती के भुगतान के बाद, प्रदान किया गया डिक्रिप्शन टूल इतना धीमा था कि कंपनी के व्यवसाय निरंतरता योजना उपकरण परिचालन क्षमता को वापस लाने में अधिक प्रभावी थे।

2: एक जांच और प्रतिक्रिया प्रणाली अनिवार्य है

फिरौती का संदेश मिलने के बाद, औपनिवेशिक पाइपलाइन को उत्पादन बंद करना पड़ा क्योंकि उन्हें नहीं पता था कि यह कैसे हुआ और यह कितनी आगे बढ़ गया है। उन्हें यह तय करने में कई दिन लग गए कि हमला पूरी तरह से नियंत्रित था। डिटेक्शन एंड रिस्पांस सिस्टम होने से शटडाउन से बचा जा सकता था। एक पता लगाने और प्रतिक्रिया प्रणाली चाहिए:

• हमले के शुरुआती संकेतों का पता लगाएं और क्षति को कम करने के लिए आगे बढ़ने से पहले इसे जल्दी से रोक दें। औपनिवेशिक पाइपलाइन मामले में, रैंसमवेयर हमले से पहले डेटा एक्सफ़िल्टरेशन हुआ था। एक डिटेक्शन एंड रिस्पांस सिस्टम एक एक्सफिल्ट्रेशन अलर्ट को ट्रिगर कर सकता था, जिसने एक जांच और प्रतिक्रिया को हमले को रैंसमवेयर हमले की ओर बढ़ने से रोकने के लिए प्रेरित किया होगा।
• कवरेज करने के अलावा किसी भी संदिग्ध व्यवहार का पता लगाएं MITER ATT और CK तकनीक और रणनीति। हमलावर केवल डार्क वेब से क्रेडेंशियल खरीद सकते हैं और वैध उपयोगकर्ता के रूप में लॉगिन कर सकते हैं। वे MITER ATT&CK रणनीति और तकनीकों के आधार पर डिटेक्शन को ट्रिगर नहीं करेंगे। हालांकि, अंदर आने के बाद, वे निश्चित रूप से संदिग्ध व्यवहार प्रदर्शित करेंगे।
• यह स्पष्ट रूप से दिखाने के लिए कि हमला कैसे हुआ, यह स्पष्ट रूप से दिखाने के लिए कि हमला कैसे हुआ, एक स्पष्ट तस्वीर दिखाएँ। औपनिवेशिक पाइपलाइन ने मैंडिएंट को अपने पर्यावरण की एक विस्तृत खोज करने के लिए काम पर रखा ताकि यह निर्धारित किया जा सके कि 29 अप्रैल को वीपीएन खाते का उपयोग करके हमलावर द्वारा नेटवर्क तक पहुंच प्राप्त करने से पहले कोई अन्य संबंधित गतिविधि नहीं थी। हालांकि, एक अच्छे डिटेक्शन सिस्टम ने इसे वास्तविक समय में बिना मैनुअल ट्रेसिंग और स्वीपिंग के दिखाया होगा।
• दिखाएँ कि हमला कितनी दूर चला गया है और प्रभाव को समझें। क्या यह महत्वपूर्ण संपत्तियों तक पहुंच गया है? यह अनावश्यक व्यवधान से बचने के लिए व्यवसाय पर प्रभाव को निर्धारित करने में मदद करता है। हमले का प्राथमिक लक्ष्य कंपनी का बिलिंग इंफ्रास्ट्रक्चर था। वास्तविक तेल पंपिंग सिस्टम अभी भी काम करने में सक्षम थे। हालांकि, औपनिवेशिक पाइपलाइन के लिए यह स्पष्ट नहीं था कि क्या हमलावर ने अपने परिचालन प्रौद्योगिकी नेटवर्क से समझौता किया था - कंप्यूटर की प्रणाली जो गैसोलीन के वास्तविक प्रवाह को नियंत्रित करती है, जब तक कि मैंडिएंट के बह जाने और उनके पूरे नेटवर्क का पता लगाने के कुछ दिनों बाद तक। एक डिटेक्शन सिस्टम को स्पष्ट रूप से दिखाना चाहिए कि हमला कितना आगे बढ़ चुका है और संबंधित कार्यों को निर्धारित करने के लिए प्रभावित संपत्ति क्या है।
• कोई भी नया अनुवर्ती आक्रमण दिखाएँ जो चल रहा हो। जांच के दौरान, मैंडिएंट ने किसी भी अनुवर्ती हमले की निगरानी के लिए डिटेक्शन टूल स्थापित किए। एक ठोस पहचान और प्रतिक्रिया प्रणाली 24/7 निगरानी करेगी चाहे कोई हमला हो रहा हो (या अगर)।

यहां मुख्य सबक एक एकीकृत पहचान और प्रतिक्रिया प्रणाली का उपयोग करना है जो पूरे सुरक्षा ढांचे की 24X7 निगरानी करता है, हमले के शुरुआती संकेतों का पता लगाता है, यह दिखाने के लिए विभिन्न संकेतों को सहसंबंधित करता है कि हमला कैसे हुआ और यह कितनी आगे बढ़ गया है। ठीक यही स्टेलर साइबर का है Open XDR मंच प्रदान करता है।