Um ano se passou desde o Oleoduto Colonial Ataque de ransomware que causou Oleoduto Colonial interromper o serviço por cinco dias. Este ataque criou uma enorme escassez de combustível para os estados do leste e do sul, e forçou Oleoduto Colonial pagar um resgate de US$ 4.4 milhões.
Os ataques de ransomware continuaram inabaláveis desde então, com os mais recentes incluindo LAPSUS$ e ONYX. (Eles não apenas criptografam o arquivo, mas também ameaçam destruir todo o sistema.) A Black Kite lançou seu Relatório de violação de terceiros de 2022, destacando que o Ransomware se tornou o método de ataque mais comum de ataques de terceiros em 2021. Tudo o que é preciso é um buraco: uma senha roubada, uma porta aberta (mesmo que por um curto período de tempo para teste) ou uma vulnerabilidade de software como o Log4j para deixar a porta do Ransomware aberta.
Aqui estão algumas lições que aprendemos com o Ataque Colonial Pipeline e o que as organizações devem fazer para se proteger:
1: Aumente a conscientização sobre segurança e aplique políticas de segurança, por exemplo:
- Use a autenticação multifator (MFA) para dificultar a invasão de invasores. A conta VPN da Colonial Pipeline foi comprometida porque a senha foi encontrada na dark web. Ativar a MFA tornaria muito mais difícil atacar do que simplesmente obter uma senha.
- Sistemas de backup regularmente. Depois que o resgate foi pago, a ferramenta de descriptografia fornecida foi tão lenta que as ferramentas de planejamento de continuidade de negócios da empresa foram mais eficazes em trazer de volta a capacidade operacional.
2: Um sistema de detecção e resposta é obrigatório
Depois que a mensagem de resgate foi recebida, a Colonial Pipeline teve que encerrar a produção porque não sabia como isso aconteceu e até que ponto progrediu. Eles levaram vários dias para determinar conclusivamente que o ataque foi totalmente contido. Ter um sistema de detecção e resposta poderia ter evitado o desligamento. Um sistema de detecção e resposta deve:
- Detecte os primeiros sinais de um ataque e interrompa-o rapidamente antes que ele progrida para minimizar os danos. No caso do Colonial Pipeline, a exfiltração de dados aconteceu antes do ataque de ransomware. Um sistema de detecção e resposta poderia ter acionado um alerta de exfiltração, o que levaria a uma investigação e resposta para impedir que o ataque progredisse para um ataque de ransomware.
- Detecte quaisquer comportamentos suspeitos, além de ter cobertura em MITER ATT & CK técnicas e táticas. Os invasores podem simplesmente comprar credenciais da dark web e fazer login como um usuário legítimo. Eles não acionarão detecções com base nas táticas e técnicas do MITRE ATT&CK. No entanto, depois de entrarem, eles certamente exibirão comportamentos suspeitos.
- Mostre uma imagem clara de como o ataque aconteceu, para mostrar conclusivamente que o ataque foi contido. A Colonial Pipeline contratou a Mandiant para realizar uma pesquisa exaustiva em seu ambiente para determinar que não havia outra atividade relacionada antes que o invasor obtivesse acesso à rede em 29 de abril usando a conta VPN. No entanto, um bom sistema de detecção teria mostrado isso em tempo real sem dias de rastreamento e varredura manual.
- Mostre até onde o ataque foi e entenda o impacto. Atingiu ativos críticos? Isso ajuda a determinar o impacto nos negócios para evitar interrupções desnecessárias. O principal alvo do ataque foi a infraestrutura de cobrança da empresa. Os sistemas reais de bombeamento de óleo ainda eram capazes de funcionar. No entanto, não ficou claro para a Colonial Pipeline se o invasor havia comprometido sua rede de tecnologia operacional – o sistema de computadores que controlam o fluxo real de gasolina, até dias depois, depois que a Mandiant varreu e rastreou toda a rede. Um sistema de detecção deve mostrar claramente até que ponto o ataque progrediu e quais são os ativos afetados para determinar as ações correspondentes.
- Mostre quaisquer novos ataques de acompanhamento que estão acontecendo. Durante a investigação, a Mandiant instalou ferramentas de detecção para monitorar quaisquer ataques subsequentes. Um sólido sistema de detecção e resposta monitorará 24 horas por dia, 7 dias por semana, não importa quando (ou se) um ataque estiver acontecendo.
A principal lição aqui é usar um sistema unificado de detecção e resposta que monitora toda a infraestrutura de segurança 24 horas por dia, 7 dias por semana, detecta os primeiros sinais de um ataque, correlaciona diferentes sinais para mostrar como o ataque aconteceu e até que ponto ele progrediu. Isso é exatamente o que Stellar Cyber's Open XDR plataforma proporciona.
