Conducta Colonial și Lumea nouă a securității infrastructurii
Matt Olney, Director Threat Intelligence and Response, Cisco Talos, a analizat unul dintre cele mai cunoscute atacuri cibernetice din SUA, care a avut impact asupra aprovizionării cu gaz pe Coasta de Est a Statelor Unite. Atacul a dus la presiuni politice și, ulterior, la o creștere a vitezei de răspuns din partea guvernului SUA la activitățile ransomware.
Pe de altă parte, reacția hackerilor a fost și ea interesantă. Au știut că sunt depășiți de situație, au țintit foarte sus și s-au confruntat cu un răspuns imediat și profund. Au existat discuții pe forumurile underground și pe dark web despre faptul că atacul a fost o greșeală. Diferite grupuri de ransomware au lansat o politică oficială, cu devize de genul: „Acest grup nu atacă infrastructura critică sau spitalele”.
Au apărut, de asemenea, reacții pe diferite forumuri ascunse, unde se discuta brusc despre reguli noi, impunându-se restricții pe parte de promovare a serviciilor de ransomware. Probabil că acest lucru s-a datorat faptului că au vrut să evite intervenția forțelor de ordine și tipul de atenție pe care îl aduce asocierea cu ransomware. Autoritățile au luat măsuri și au subliniat importanța transparenței și a oferirii de informații utile în lupta cu amenințările cibernetice. Ransomware-ul continuă să se situeze însă la un nivel critic, iar amenințările de proporții pot fi văzute și tratate ca amenințări la securitatea națională.
În plus, atacurile de tip ransomware pot avea o mare amploarea când atacul vizează un lanț de aprovizionare. În 2017, atacul NotPetya. a provocat daune de peste 10 miliarde de dolari la nivel global. Acesta a fost un atac pur distructiv, nu ransomware, dar a fost realizat astfel încât să arate ca un ransomware. Lanțul de aprovizionare este cea mai sensibilă problemă de securitate în acest moment.
Dave Lewis, Advisory CISO, Cisco Secure vorbește despre un termen tot mai întâlnit în cybersecurity: datoria de securitate. Aceasta apare atunci când organizațiile folosesc sisteme care s-au depreciat sau nu sunt întreținute corespunzător. Ca rezultat, atacatorul are acces la ținte tot mai vizibile, adică la vulnerabilități majore ale companiei. Se poate vorbi și de o datorie tehnologică, manifestată ca o problemă de securitate.
Atacatorul poate privi această vulnerabilitate din mai multe perspective. Poate să folosească Shodan, să scaneze sau să recurgă la ceva simplu precum inteligența open-source, de exemplu să treacă prin LinkedIn și să vadă ce pun oamenii în CV-ul lor, observând dacă lucrează la un anumit produs. Atacatorii pot apoi să extragă esența produselor utilizate în mediul respectiv, comparând vulnerabilitățile cu cele deja existente sau cele găsite pe dark web. Pasul următor constă în construirea unui profil al organizației, pentru a o viza în funcție de informațiile colectate.
Dacă organizația ta are o astfel de datorie de securitate, poți lua câteva măsuri eficiente, așa cum arată Dave Lewis:
- Află care sunt resursele în mediul tău de lucru, cine sunt utilizatorii, care sunt hardware-ul și aplicațiile folosite Un astfel de audit te ajută să știi ce încerci să protejezi.
- Realizează un registru de risc, pentru a putea urmări problemele pe măsură ce sunt identificate. Poți utiliza acest sistem și pentru auditori. Registrul le poate arăta că ai identificat probleme și ai căutat soluțiile potrivite pentru acestea.
- Definește procesele recurente. Asigură-te că știi în cazul fiecărui proces la ce persoane să apelezi când intervin probleme și împarte sarcinile în echipă astfel încât să știi clar cine și cum se implică în cazul unui atac. E bine să ai roluri bine definite, pentru că specialiștii IT vin și pleacă, dar trebuie să existe mereu cineva care ocupă funcțiile cheie în materie de securitate.
Jerry Gamblin, Director de Cercetare în Securitate, Kenna Security spune că în 2021 a identificat peste 20.000 de CVE (Common Vulnerabilities and Exposures - vulnerabilități uzuale), toate nou apărute. Această cifră înseamnă 55 de CVE pe zi.
Nu există multe echipe de securitate care să aibă tehnologie și personal prin care să poată analiza 55 de CVE pe zi, astfel încât să înțeleagă care sunt cu adevărat importante. Rapoartele derulate zilnic de echipa lui Jerry Gamblin arată că 2022 va aduce peste 23.000 de CVE-uri noi, ceea ce înseamnă că problema e în creștere. Deși se vorbește în mod frecvent despre vulnerabilități deja populare, tot mai des apar zone sensibile pe Chrome și Edge, iar dezvoltarea acestora e una majoră.
PrintNightmare a fost una dintre vulnerabilitățile cu cel mai mare impact din 2021. A fost atât de răspândită încât, în cele din urmă, Microsoft a stabilit că trebuie să se revină la alocarea unui administrator care să instaleze imprimantele. S-a schimbat dinamica modului în care lucrează echipele de securitate în acest domeniu.
Microsoft a făcut, de asemenea, o schimbare substanțială în acest an, când a renunțat la Internet Explorer. Acum se bazează pe Chromium, așa că e necesar ca fiecare client să înțeleagă trecerea de la un browser open source la un browser cu sursă închisă.
De asemenea, o mulțime de vulnerabilități de virtualizare devin din ce în ce mai comune. Apar numeroase vulnerabilități VMware pe care nu le-am văzut în trecut. Totodată, începe să se vadă apariția unor așa numite „CVE-uri acumulate” - un CVE de bază, care prin cercetarea codului dezvăluie și multe alte CVE-uri.
Organizațiile trebuie să treacă la un sistem de management al vulnerabilităților bazat pe riscuri, în care să vizeze potențialele executări de cod de la distanță. În același timp, trebuie să se gândească la ce pot face pentru a se asigura că vulnerabilitățile din rețeaua proprie sunt abordate în mod corect.
Ashlee Benge, SecureX Threat Hunter, Cisco Secure spune că de prea mult timp s-a funcționat sub presupunerea că Mac OS este oarecum impenetrabil de amenințările malware. Totuși, Mac OS devine o suprafață de atac din ce în ce mai atractivă. În 2021, echipa lui Ashlee Benge a descoperit câteva tipuri noi de malware Mac OS, care au reprezentat un real motiv de îngrijorare. Una dintre cele mai interesante descoperiri, datând din august 2021, a fost malware-ul McSnip Backdoor. A fost identificată o schimbare a unei tehnici dropper existente, una dintre modalitățile folosite de un anumit grup de hackeri pentru a obține binarul inițial pe un sistem înainte de exploatare.
Prin analizarea fișierelor malware, s-a descoperit că, deși acest binar special avea capacitatea de a extrage informații sensibile, capacitățile sale nu erau pe deplin valorificate. În cazul McSnip, binarul uzurpa identitatea unui instrument de captură de ecran care putea fi descărcat direct de pe un site web. În noiembrie, au fost făcute mici actualizări ale malware-ului, iar acesta a început să folosească noile capabilități pentru extragerea datelor.
Pentru a te asigura că organizația ta rămâne la curent cu cele mai noi tendințe în materie de cybersecurity și că poate face față amenințărilor nou apărute, este necesar ca membrii echipei de IT să fie bine informați, astfel încât să descopere posibilele probleme. Contează pe cursurile Bittnet pentru a avea un avantaj împotriva amenințărilor cibernetice și a putea acționa rapid în orice situație.
distribuie:
