È passato un anno dal Pipeline coloniale Attacco ransomware che ha causato Pipeline coloniale interrompere il servizio per cinque giorni. Questo attacco ha creato un'enorme carenza di carburante per gli stati orientali e meridionali e ha costretto Pipeline coloniale pagare un pesante riscatto di 4.4 milioni di dollari.
Da allora gli attacchi ransomware sono continuati senza sosta, con i più recenti tra cui LAPSUS$ e ONYX. (Questi non solo crittografano il file, ma minacciano anche di distruggere l'intero sistema.) Black Kite ha pubblicato il suo rapporto 2022 sulle violazioni di terze parti, evidenziando che il ransomware è diventato il metodo di attacco più comune degli attacchi di terze parti nel 2021. Tutto ciò che serve è un buco: una password rubata, una porta aperta (anche solo per un breve periodo di tempo per i test) o una vulnerabilità del software come Log4j per lasciare aperta la porta del Ransomware.
Ecco alcune lezioni che abbiamo imparato dal Attacco al gasdotto coloniale e cosa dovrebbero fare le organizzazioni per proteggersi:
1: aumentare la consapevolezza della sicurezza e applicare le politiche di sicurezza, ad esempio:
- Usa l'autenticazione a più fattori (MFA) per rendere molto più difficile l'irruzione degli aggressori. L'account VPN di Colonial Pipeline è stato compromesso perché la password è stata trovata nel dark web. L'abilitazione dell'autenticazione a più fattori renderebbe molto più difficile l'attacco rispetto al semplice ottenimento di una password.
- Sistema di backup regolarmente. Dopo il pagamento del riscatto, lo strumento di decrittazione fornito è stato così lento che gli strumenti di pianificazione della continuità operativa dell'azienda sono stati più efficaci nel ripristinare la capacità operativa.
2: Un sistema di rilevamento e risposta è obbligatorio
Dopo che il messaggio di riscatto è stato ricevuto, Colonial Pipeline ha dovuto interrompere la produzione perché non sapevano come fosse successo e fino a che punto fosse progredito. Ci sono voluti diversi giorni per determinare in modo definitivo che l'attacco fosse completamente contenuto. Avere un sistema di rilevamento e risposta avrebbe potuto evitare l'arresto. Un sistema di rilevamento e risposta dovrebbe:
- Rileva i primi segni di un attacco e fermalo rapidamente prima che progredisca per ridurre al minimo i danni. Nel caso Colonial Pipeline, l'esfiltrazione dei dati è avvenuta prima dell'attacco ransomware. Un sistema di rilevamento e risposta potrebbe aver attivato un avviso di esfiltrazione, che avrebbe indotto un'indagine e una risposta per impedire che l'attacco si trasformi in un attacco ransomware.
- Rileva eventuali comportamenti sospetti oltre ad avere la copertura MITRE ATT & CK tecniche e tattiche. Gli aggressori possono semplicemente acquistare le credenziali dal dark web e accedere come utente legittimo. Non attiveranno rilevamenti basati su tattiche e tecniche MITRE ATT&CK. Tuttavia, dopo essere entrati, mostreranno sicuramente comportamenti sospetti.
- Mostra un quadro chiaro di come è avvenuto l'attacco, per dimostrare in modo definitivo che l'attacco è stato contenuto. Colonial Pipeline ha assunto Mandiant per eseguire una ricerca approfondita nel loro ambiente per determinare che non c'erano altre attività correlate prima che l'attaccante ottenesse l'accesso alla rete il 29 aprile utilizzando l'account VPN. Tuttavia, un buon sistema di rilevamento lo avrebbe dimostrato in tempo reale senza giorni di tracciamento e spazzamento manuali.
- Mostra fino a che punto è arrivato l'attacco e comprendi l'impatto. Ha raggiunto asset critici? Questo aiuta a determinare l'impatto sul business per evitare interruzioni inutili. L'obiettivo principale dell'attacco era l'infrastruttura di fatturazione dell'azienda. Gli attuali sistemi di pompaggio dell'olio erano ancora in grado di funzionare. Tuttavia, a Colonial Pipeline non era chiaro se l'attaccante avesse compromesso la sua rete tecnologica operativa, il sistema di computer che controlla il flusso effettivo di benzina, fino a pochi giorni dopo, dopo che Mandiant ha spazzato e tracciato l'intera rete. Un sistema di rilevamento dovrebbe mostrare chiaramente fino a che punto è progredito l'attacco e quali sono le risorse interessate per determinare le azioni corrispondenti.
- Mostra tutti i nuovi attacchi di follow-up in corso. Durante l'indagine, Mandiant ha installato strumenti di rilevamento per monitorare eventuali attacchi di follow-up. Un solido sistema di rilevamento e risposta monitorerà 24 ore su 7, XNUMX giorni su XNUMX, indipendentemente da quando (o se) si sta verificando un attacco.
La lezione principale qui è utilizzare un sistema di rilevamento e risposta unificato che monitora l'intera infrastruttura di sicurezza 24 ore su 7, XNUMX giorni su XNUMX, rileva i primi segnali di un attacco, correla diversi segnali per mostrare come è avvenuto l'attacco e fino a che punto è progredito. Questo è esattamente ciò di Stellar Cyber Open XDR piattaforma fornisce.
