Colonial Pipeline Ransomware Attack: Mga Aralin Pagkatapos ng Isang Taon

Lumipas ang isang taon mula noong Colonial Pipeline Pag-atake ng Ransomware na sanhi Colonial Pipeline upang ihinto ang serbisyo sa loob ng limang araw. Ang pag-atakeng ito ay lumikha ng malaking kakulangan sa gasolina para sa silangan at timog na mga estado, at pinilit Colonial Pipeline na magbayad ng mabigat na $4.4 milyon na ransom.

Ang mga pag-atake ng Ransomware ay nagpatuloy nang walang humpay mula noon, kasama ang mga pinakahuling pag-atake kasama ang LAPSUS$ at ONYX. (Ang mga ito ay hindi lamang nag-encrypt ng file, ngunit nagbabanta din na sirain ang buong system.) Inilabas ng Black Kite ang 2022 Third-Party Breach Report nito, na itinatampok na ang Ransomware ay naging pinakakaraniwang paraan ng pag-atake ng mga pag-atake ng third-party noong 2021. Ang kailangan lang ay isang butas: isang ninakaw na password, isang bukas na port (kahit na sa maikling panahon lamang para sa pagsubok), o isang kahinaan ng software gaya ng Log4j upang iwanang bukas ang pinto ng Ransomware.

Narito ang ilang aral na natutunan natin mula sa Pag-atake ng Colonial Pipeline at kung ano ang dapat gawin ng mga organisasyon para protektahan ang kanilang sarili:

1: Itaas ang kamalayan sa seguridad at ipatupad ang mga patakaran sa seguridad, halimbawa:

Gumamit ng Multi-Factor Authentication (MFA) para mas mahirap para sa mga umaatake na makapasok. Nakompromiso ang VPN account ng Colonial Pipeline dahil nakita ang password sa dark web. Ang pagpapagana sa MFA ay magpapahirap sa pag-atake kaysa sa simpleng pagkuha ng password.
Regular na i-backup ang mga system. Matapos mabayaran ang ransom, ang ibinigay na tool sa pag-decryption ay napakabagal na ang mga tool sa pagpaplano ng pagpapatuloy ng negosyo ng kumpanya ay naging mas epektibo sa pagbabalik ng kapasidad sa pagpapatakbo.

2: Ang sistema ng Detection at Response ay sapilitan

Matapos matanggap ang mensahe ng ransom, kinailangan ng Colonial Pipeline na isara ang produksyon dahil hindi nila alam kung paano ito nangyari at kung gaano kalayo ang pag-unlad nito. Inabot sila ng ilang araw upang tiyak na matukoy na ang pag-atake ay ganap na nakapaloob. Ang pagkakaroon ng sistema ng pagtuklas at pagtugon ay maaaring naiwasan ang pagsasara. Ang sistema ng pagtuklas at pagtugon ay dapat:

Tuklasin ang mga maagang palatandaan ng isang pag-atake at itigil ito nang mabilis bago ito umusad upang mabawasan ang pinsala. Sa kaso ng Colonial Pipeline, nangyari ang exfiltration ng data bago ang pag-atake ng ransomware. Maaaring mag-trigger ang isang detection at response system ng exfiltration alert, na mag-udyok ng imbestigasyon at pagtugon upang ihinto ang pag-atake mula sa pag-usad sa isang ransomware attack.
Tuklasin ang anumang mga kahina-hinalang gawi bilang karagdagan sa pagkakaroon ng saklaw MITER ATT&CK mga teknik at taktika. Maaaring bumili lang ang mga umaatake ng mga kredensyal mula sa dark web at mag-log in bilang isang lehitimong user. Hindi sila magti-trigger ng mga detection batay sa mga taktika at diskarte ng MITER ATT&CK. Gayunpaman, pagkatapos nilang makapasok, tiyak na magpapakita sila ng mga kahina-hinalang pag-uugali.
Magpakita ng isang malinaw na larawan kung paano nangyari ang pag-atake, upang mapagtibay na ipakita na ang pag-atake ay nakapaloob. Kinuha ng Colonial Pipeline si Mandiant upang magsagawa ng kumpletong paghahanap sa kanilang kapaligiran upang matukoy na walang iba pang nauugnay na aktibidad bago magkaroon ng access ang umaatake sa network noong Abril 29 gamit ang VPN account. Gayunpaman, maipapakita sana ito ng isang mahusay na sistema ng pag-detect nang real-time nang walang mga araw ng manual na pagsubaybay at pagwawalis.
Ipakita kung gaano kalayo ang narating ng pag-atake at unawain ang epekto. Naabot ba nito ang mga kritikal na asset? Nakakatulong ito upang matukoy ang epekto sa negosyo upang maiwasan ang hindi kinakailangang pagkagambala. Ang pangunahing target ng pag-atake ay ang imprastraktura sa pagsingil ng kumpanya. Ang aktwal na mga sistema ng pumping ng langis ay gumagana pa rin. Gayunpaman, hindi malinaw sa Colonial Pipeline kung nakompromiso ng attacker ang kanilang operational technology network — ang sistema ng mga computer na kumokontrol sa aktwal na daloy ng gasolina, hanggang makalipas ang ilang araw pagkatapos na walisin at subaybayan ni Mandiant ang kanilang buong network. Dapat malinaw na ipakita ng isang detection system kung gaano kalayo ang pag-unlad ng pag-atake at kung ano ang mga naapektuhang asset upang matukoy ang mga kaukulang aksyon.
Ipakita ang anumang mga bagong follow up na pag-atake na nangyayari. Sa panahon ng pagsisiyasat, nag-install si Mandiant ng mga tool sa pagtukoy upang subaybayan ang anumang mga follow-up na pag-atake. Ang isang solidong sistema ng pagtuklas at pagtugon ay susubaybayan 24/7 kahit kailan (o kung) may nangyayaring pag-atake.

Ang pangunahing aral dito ay ang paggamit ng pinag-isang sistema ng pagtuklas at pagtugon na sumusubaybay sa buong imprastraktura ng seguridad 24X7, nakakakita ng mga maagang senyales ng isang pag-atake, nag-uugnay ng iba't ibang senyales upang ipakita kung paano nangyari ang pag-atake at kung gaano ito kalayo. Iyan ay eksakto kung ano ang Stellar Cyber's Open XDR platform nagbibigay.

Mga Kakayahang Pangseguridad

Gamitin ang Kaso

Mga patayo

Ikumpara sa Stellar Cyber

paghahambing

Gumamit ng mga Kaso

Mga Differentiator

Pag-iisip ng Pamumuno

Maging isang MSSP Partner

Partner Portal

Naging Kasosyo sa Channel

Naging isang Kasosyo sa Teknolohiya

Maghanap ng MSSP

Mga Programa at Mapagkukunan

Matuto Nang Higit pa

Sa balita

Magsimula sa Stellar Cyber

Tampok na Mga Mapagkukunan

Ang AI SOC HUB

SOC Mga Gabay sa Awtomasyon

Mga Gabay sa SecOps

AI-hinimok SIEM Gabay

Lahat ng Gabay >

Piliin ang Wika

Makalipas ang Isang Taon: Mga Aral mula sa Colonial Pipeline Ransomware Attack

Mga Produkto

Multi-Layer AI™

Ihambing

Kasosyo

Mga mapagkukunan

kompanya

Para sa mga Negosyo

Para sa MSSP

Mga Kakayahan at Teknolohiya

network