Một năm đã trôi qua kể từ khi Đường ống thuộc địa Cuộc tấn công ransomware đã gây ra Đường ống thuộc địa ngừng dịch vụ trong năm ngày. Cuộc tấn công này đã tạo ra một sự thiếu hụt nhiên liệu lớn cho các bang miền đông và miền nam, và buộc phải Đường ống thuộc địa để trả khoản tiền chuộc khổng lồ 4.4 triệu đô la.
Các cuộc tấn công ransomware đã tiếp tục không suy giảm kể từ đó, với những cuộc tấn công gần đây nhất bao gồm LAPSUS $ và ONYX. (Những thứ này không chỉ mã hóa tệp mà còn đe dọa phá hủy toàn bộ hệ thống.) Black Kite đã phát hành Báo cáo vi phạm của bên thứ ba năm 2022, nhấn mạnh rằng Ransomware đã trở thành phương thức tấn công phổ biến nhất trong các cuộc tấn công của bên thứ ba vào năm 2021. Tất cả chỉ cần là một lỗ hổng: một mật khẩu bị đánh cắp, một cổng đang mở (thậm chí chỉ trong một khoảng thời gian ngắn để thử nghiệm) hoặc một lỗ hổng phần mềm như Log4j khiến cánh cửa Ransomware mở.
Dưới đây là một số bài học mà chúng tôi đã học được từ Cuộc tấn công đường ống thuộc địa và các tổ chức nên làm gì để tự bảo vệ mình:
1: Nâng cao nhận thức về bảo mật và thực thi các chính sách bảo mật, ví dụ:
- Sử dụng Xác thực đa yếu tố (MFA) để khiến kẻ tấn công khó xâm nhập hơn nhiều. Tài khoản VPN của Colonial Pipeline đã bị xâm phạm do mật khẩu được tìm thấy trên dark web. Việc kích hoạt MFA sẽ khiến việc tấn công khó hơn nhiều so với việc chỉ lấy mật khẩu.
- Sao lưu hệ thống thường xuyên. Sau khi trả tiền chuộc, công cụ giải mã được cung cấp quá chậm nên các công cụ lập kế hoạch liên tục kinh doanh của công ty có hiệu quả hơn trong việc mang lại năng lực hoạt động.
2: Hệ thống phát hiện và phản hồi là bắt buộc
Sau khi nhận được thông báo đòi tiền chuộc, Colonial Pipeline đã phải ngừng sản xuất vì họ không biết sự việc diễn ra như thế nào và tiến triển đến đâu. Họ đã mất vài ngày để xác định một cách chính xác rằng cuộc tấn công đã được kiểm soát hoàn toàn. Có một hệ thống phát hiện và phản hồi có thể tránh được việc tắt máy. Hệ thống phát hiện và phản hồi phải:
- Phát hiện sớm các dấu hiệu của một cuộc tấn công và ngăn chặn nó nhanh chóng trước khi nó tiến triển để giảm thiểu thiệt hại. Trong trường hợp Colonial Pipeline, việc đánh cắp dữ liệu đã xảy ra trước cuộc tấn công của ransomware. Hệ thống phát hiện và phản hồi có thể đã kích hoạt cảnh báo xâm nhập, điều này sẽ thúc đẩy một cuộc điều tra và phản hồi để ngăn cuộc tấn công tiến triển thành một cuộc tấn công ransomware.
- Phát hiện bất kỳ hành vi đáng ngờ nào ngoài việc đề cập đến MITER ATT & CK kỹ thuật và chiến thuật. Những kẻ tấn công có thể chỉ cần mua thông tin đăng nhập từ dark web và đăng nhập với tư cách là người dùng hợp pháp. Chúng sẽ không kích hoạt phát hiện dựa trên chiến thuật và kỹ thuật MITER ATT & CK. Tuy nhiên, sau khi họ vào được, chắc chắn họ sẽ thể hiện những hành vi đáng ngờ.
- Hiển thị một bức tranh rõ ràng về cách cuộc tấn công đã xảy ra, để cho thấy một cách chắc chắn rằng cuộc tấn công đã được kiểm soát. Colonial Pipeline đã thuê Mandiant thực hiện một cuộc tìm kiếm toàn diện môi trường của họ để xác định rằng không có hoạt động liên quan nào khác trước khi kẻ tấn công giành được quyền truy cập vào mạng vào ngày 29 tháng XNUMX bằng tài khoản VPN. Tuy nhiên, một hệ thống phát hiện tốt sẽ hiển thị điều này trong thời gian thực mà không cần phải truy tìm và quét thủ công trong nhiều ngày.
- Cho biết cuộc tấn công đã đi được bao xa và hiểu tác động của nó. Nó đã đạt đến các tài sản quan trọng chưa? Điều này giúp xác định ảnh hưởng đến hoạt động kinh doanh để tránh những gián đoạn không đáng có. Mục tiêu chính của cuộc tấn công là cơ sở hạ tầng thanh toán của công ty. Hệ thống bơm dầu thực tế vẫn có thể hoạt động. Tuy nhiên, Colonial Pipeline không rõ liệu kẻ tấn công có xâm nhập mạng công nghệ hoạt động của họ hay không - hệ thống máy tính kiểm soát dòng chảy thực tế của xăng, cho đến những ngày sau khi Mandiant quét và lần ra toàn bộ mạng của họ. Hệ thống phát hiện phải chỉ ra rõ ràng cuộc tấn công đã tiến triển đến đâu và nội dung bị ảnh hưởng là gì để xác định các hành động tương ứng.
- Hiển thị bất kỳ cuộc tấn công tiếp theo mới nào đang diễn ra. Trong quá trình điều tra, Mandiant đã cài đặt các công cụ phát hiện để theo dõi mọi cuộc tấn công tiếp theo. Một hệ thống phát hiện và phản hồi vững chắc sẽ giám sát 24/7 bất kể khi nào (hoặc nếu) một cuộc tấn công đang xảy ra.
Bài học chính ở đây là sử dụng một hệ thống phát hiện và phản ứng thống nhất giám sát toàn bộ cơ sở hạ tầng bảo mật 24X7, phát hiện các dấu hiệu sớm của một cuộc tấn công, so sánh các tín hiệu khác nhau để cho biết cuộc tấn công đã xảy ra như thế nào và nó đã tiến triển đến đâu. Đó chính xác là những gì Stellar Cyber's Open XDR nền tảng cung cấp.
