Minął rok od Rurociąg kolonialny Atak ransomware, który spowodował Rurociąg kolonialny zatrzymać usługę na pięć dni. Atak ten spowodował ogromne niedobory paliwa w stanach wschodnich i południowych i wymusił… Rurociąg kolonialny zapłacić potężny okup w wysokości 4.4 miliona dolarów.
Od tego czasu ataki ransomware nie słabną, a najnowsze z nich obejmują LAPSUS$ i ONYX. (Te nie tylko szyfrują plik, ale także grożą zniszczeniem całego systemu.) Black Kite opublikował raport dotyczący naruszenia bezpieczeństwa stron trzecich z 2022 r., podkreślając, że ransomware stało się najpopularniejszą metodą ataków stron trzecich w 2021 r. Wystarczy to jedna dziura: jedno skradzione hasło, jeden otwarty port (nawet na krótki czas do testowania) lub jedna luka w oprogramowaniu, taka jak Log4j, która pozwala pozostawić otwarte drzwi Ransomware.
Oto kilka lekcji, których nauczyliśmy się od Atak na rurociąg kolonialny i co organizacje powinny zrobić, aby się chronić:
1: Podnoszenie świadomości bezpieczeństwa i egzekwowanie zasad bezpieczeństwa, na przykład:
- Użyj Multi-Factor Authentication (MFA), aby utrudnić atakującym włamanie. Konto VPN Colonial Pipeline zostało naruszone, ponieważ hasło zostało znalezione w ciemnej sieci. Włączenie usługi MFA znacznie utrudniłoby atak niż zwykłe uzyskanie hasła.
- Regularnie twórz kopie zapasowe systemów. Po zapłaceniu okupu dostarczone narzędzie deszyfrujące było tak wolne, że narzędzia planowania ciągłości działania firmy były bardziej skuteczne w przywracaniu zdolności operacyjnej.
2: System wykrywania i reagowania jest obowiązkowy
Po otrzymaniu wiadomości z żądaniem okupu firma Colonial Pipeline musiała zamknąć produkcję, ponieważ nie wiedzieli, jak to się stało i jak daleko poszło. Kilka dni zajęło im ostateczne ustalenie, że atak został w pełni powstrzymany. Posiadanie systemu wykrywania i reagowania mogłoby uniknąć wyłączenia. System wykrywania i reagowania powinien:
- Wykrywaj wczesne oznaki ataku i szybko go powstrzymaj, zanim się rozwinie, aby zminimalizować obrażenia. W przypadku Colonial Pipeline do eksfiltracji danych doszło przed atakiem ransomware. System wykrywania i reagowania mógł wyzwolić alert o eksfiltracji, który skłoniłby do dochodzenia i odpowiedzi w celu powstrzymania ataku przed przekształceniem się w atak ransomware.
- Wykrywaj wszelkie podejrzane zachowania, oprócz tego, że masz włączony zasięg MITER ATT & CK techniki i taktyki. Atakujący mogą po prostu kupić dane uwierzytelniające z ciemnej sieci i zalogować się jako legalny użytkownik. Nie będą wyzwalać detekcji opartej na taktyce i technikach MITER ATT&CK. Jednak po wejściu do środka z pewnością będą wykazywać podejrzane zachowania.
- Pokaż wyraźny obraz tego, jak doszło do ataku, aby jednoznacznie pokazać, że atak został powstrzymany. Colonial Pipeline wynajęło Mandiant do przeprowadzenia gruntownego przeszukania ich środowiska w celu ustalenia, że nie było żadnej innej powiązanej aktywności, zanim atakujący uzyskał dostęp do sieci 29 kwietnia za pomocą konta VPN. Jednak dobry system wykrywania pokazałby to w czasie rzeczywistym bez dni ręcznego śledzenia i zamiatania.
- Pokaż, jak daleko zaszedł atak i zrozum jego wpływ. Czy osiągnął krytyczne zasoby? Pomaga to określić wpływ na biznes, aby uniknąć niepotrzebnych zakłóceń. Głównym celem ataku była infrastruktura rozliczeniowa firmy. Rzeczywiste systemy pompowania oleju nadal działały. Jednak dla Colonial Pipeline nie było jasne, czy atakujący naruszył ich operacyjną sieć technologiczną — system komputerów kontrolujących rzeczywisty przepływ benzyny, aż do kilku dni po tym, jak Mandiant przeczesał i wyśledził całą ich sieć. System wykrywania powinien wyraźnie pokazywać, jak daleko posunął się atak i jakie zasoby zostały dotknięte, aby określić odpowiednie działania.
- Pokaż wszystkie nowe ataki uzupełniające, które mają miejsce. Podczas dochodzenia Mandiant zainstalował narzędzia do wykrywania, aby monitorować wszelkie kolejne ataki. Solidny system wykrywania i reagowania będzie monitorować 24/7 bez względu na to, kiedy (lub czy) nastąpi atak.
Główną lekcją tutaj jest użycie zunifikowanego systemu wykrywania i reagowania, który monitoruje całą infrastrukturę bezpieczeństwa 24x7, wykrywa wczesne oznaki ataku, koreluje różne sygnały, aby pokazać, jak doszło do ataku i jak daleko się posunął. To jest dokładnie to, co Stellar Cyber Open XDR Platforma zapewnia.
