Er is een jaar verstreken sinds de Koloniale pijplijn Ransomware-aanval die veroorzaakte Koloniale pijplijn om de dienst voor vijf dagen stop te zetten. Deze aanval zorgde voor een enorm brandstoftekort voor de oostelijke en zuidelijke staten, en dwong... Koloniale pijplijn om een forse $ 4.4 miljoen losgeld te betalen.
Sindsdien zijn ransomware-aanvallen onverminderd doorgegaan, met als meest recente LAPSUS$ en ONYX. (Deze versleutelen niet alleen het bestand, maar dreigen ook het hele systeem te vernietigen.) Black Kite heeft zijn 2022 Third-Party Breach Report uitgebracht, waarin wordt benadrukt dat Ransomware in 2021 de meest voorkomende aanvalsmethode voor aanvallen van derden werd. Alles wat nodig is is één gat: één gestolen wachtwoord, één open poort (zelfs slechts voor een korte testperiode), of één softwarekwetsbaarheid zoals Log4j om de Ransomware-deur open te laten.
Hier zijn enkele lessen die we hebben geleerd van de Colonial Pipeline-aanval en wat organisaties moeten doen om zichzelf te beschermen:
1: Verhoog het beveiligingsbewustzijn en dwing het beveiligingsbeleid af, bijvoorbeeld:
- Gebruik Multi-Factor Authentication (MFA) om het voor aanvallers veel moeilijker te maken om in te breken. Het VPN-account van Colonial Pipeline is gehackt omdat het wachtwoord op het dark web is gevonden. Het inschakelen van MFA zou het veel moeilijker maken om aan te vallen dan simpelweg het verkrijgen van een wachtwoord.
- Maak regelmatig back-upsystemen. Nadat het losgeld was betaald, was de geleverde decoderingstool zo traag dat de planningstools voor bedrijfscontinuïteit van het bedrijf effectiever waren in het terugbrengen van de operationele capaciteit.
2: Een detectie- en reactiesysteem is verplicht
Nadat het losgeldbericht was ontvangen, moest Colonial Pipeline de productie stopzetten omdat ze niet wisten hoe het gebeurde en hoe ver het gevorderd was. Het kostte hen enkele dagen om definitief vast te stellen dat de aanval volledig was ingeperkt. Het hebben van een detectie- en reactiesysteem had de uitschakeling kunnen voorkomen. Een detectie- en reactiesysteem moet:
- Detecteer vroege tekenen van een aanval en stop deze snel voordat deze vordert om schade te minimaliseren. In de zaak Colonial Pipeline vond gegevensexfiltratie plaats vóór de ransomware-aanval. Een detectie- en reactiesysteem had een exfiltratie-waarschuwing kunnen activeren, wat zou hebben geleid tot een onderzoek en reactie om te voorkomen dat de aanval overging in een ransomware-aanval.
- Detecteer verdacht gedrag en zorg dat de dekking is ingeschakeld MITRE ATT & CK technieken en tactieken. Aanvallers kunnen eenvoudig inloggegevens van het dark web kopen en inloggen als een legitieme gebruiker. Ze zullen geen detecties activeren op basis van MITRE ATT&CK-tactieken en -technieken. Echter, nadat ze binnen zijn, zullen ze zeker verdacht gedrag vertonen.
- Laat een duidelijk beeld zien van hoe de aanval is gebeurd, om onomstotelijk aan te tonen dat de aanval is ingeperkt. Colonial Pipeline heeft Mandiant ingehuurd om een uitgebreide zoektocht in hun omgeving uit te voeren om vast te stellen dat er geen andere gerelateerde activiteit was voordat de aanvaller op 29 april toegang tot het netwerk kreeg met behulp van het VPN-account. Een goed detectiesysteem zou dit echter in realtime hebben aangetoond zonder dagenlang handmatig traceren en vegen.
- Laat zien hoe ver de aanval is gegaan en begrijp de impact. Heeft het kritieke activa bereikt? Dit helpt om de impact op het bedrijf te bepalen om onnodige verstoring te voorkomen. Het primaire doelwit van de aanval was de factureringsinfrastructuur van het bedrijf. De eigenlijke oliepompsystemen konden nog steeds werken. Het was Colonial Pipeline echter niet duidelijk of de aanvaller hun operationele technologienetwerk had gecompromitteerd - het systeem van computers die de daadwerkelijke benzinestroom regelen, tot dagen later nadat Mandiant hun hele netwerk had geveegd en getraceerd. Een detectiesysteem moet duidelijk laten zien hoe ver de aanval is gevorderd en wat de getroffen activa zijn om de bijbehorende acties te bepalen.
- Laat nieuwe vervolgaanvallen zien die gaande zijn. Tijdens het onderzoek heeft Mandiant detectietools geïnstalleerd om eventuele vervolgaanvallen te monitoren. Een solide detectie- en reactiesysteem houdt 24/7 toezicht, ongeacht wanneer (of als) een aanval plaatsvindt.
De belangrijkste les hier is om een uniform detectie- en reactiesysteem te gebruiken dat de hele beveiligingsinfrastructuur 24x7 bewaakt, vroege tekenen van een aanval detecteert en verschillende signalen correleert om te laten zien hoe de aanval is gebeurd en hoe ver deze is gevorderd. Dat is precies wat Stellar Cyber's is Open XDR platform biedt.
