pl 
Tegoroczny atak ransomware na Colonial Pipeline jest prawdopodobnie jednym z największych do tej pory cyberataków w sektorze energetycznym. Jego skala i przebieg zaskoczyły ekspertów ds. cyberbezpieczeństwa na całym świecie. Atak okazał się świętną lekcją i przestrogą dla zespołów ds. bezpieczeństwa cybernetycznego. Dlatego zapraszam do lektury tekstu, w którym podpowiem, jak w prosty sposób zabezpieczyć organizację przed ransomware.
Colonial Pipeline to firma, która zarządza największym rurociągiem paliwowym w USA – transportuje około 45% paliwa używanego na Wschodnim Wybrzeżu. 29 kwietnia 2021 r. została zaatakowana przez hakerów z grupy przestępczej DarkSide. W rezultacie firma tymczasowo zamknęła całą swoją sieć, co doprowadziło do poważnych niedoborów paliwa i skoku cen gazu. Chociaż Colonial Pipeline wznowiło swoje usługi w ciągu dwóch tygodni od zamknięcia, cyberprzestępcy zagrozili jednemu z najbardziej krytycznych zasobów energetycznych w kraju. Atak dotknął ponad 50 milionów mieszkańców, a hakerzy otrzymali w zamian okup w wysokości 4,4 mln dolarów.
Incydenty związane z bezpieczeństwem takie jak ten, pokazują, że cyberataki nie tylko kosztują organizacje ich reputację. Mogą potencjalnie zakłócić lub nawet odciąć świadczenie usług dla społeczeństwa. Dlatego firmy muszą zaostrzyć swoje programy dotyczące cyberbezpieczeństwa, zwłaszcza te, które służą interesom publicznym i odgrywają ważną rolę w gospodarce.
Jak hakerzy uzyskali dostęp do sieci firmy?
Nieczynne konto VPN po jednym z pracowników oraz złe praktyki dotyczące haseł utworzyły idealne tylne drzwi dla ataku ransomware. 29 kwietnia hakerzy uzyskali dostęp do sieci firmowej za pośrednictwem nieaktywnego konta VPN. Hasło było dostępne w sieci w serii ujawnionych dostępów, co oznacza, że pracownik Colonial mógł użyć tego samego hasła na innym koncie, które zostało wcześniej zhakowane. Dodatkowym ułatwieniem dla hakerów był brak uwierzytelniania wieloskładnikowego (MFA). Incydent pozostał niezauważony przez ponad tydzień, aż do 7 maja, kiedy na ekranie pojawiła się notatka z żądaniem kryptowaluty. Kolejny tydzień zajęło firmie potwierdzenie, że jednostka operacyjna rurociągu nie została uszkodzona.
To niepokojący przykład na to, jak ignorowane są podstawowe zasady cyberbezpieczeństwa nawet w przypadku systemów zarządzających najważniejszymi zasobami. Zabrakło tutaj usługi MFA, zasad identyfikowania i usuwania nieaktywnych kont uprzywilejowanych oraz stosowania solidnych kontroli dostępu. To, czemu można było łatwo zapobiec – stosując tylko podstawowy zestaw kontrolny – przerodziło się w katastrofę cyberbezpieczeństwa.
Gdzie zawiódł system bezpieczeństwa Colonial Pipeline?
Rosnąca popularność pracy zdalnej doprowadziła do znacznego wzrostu liczby ataków opartych na dostępie zdalnym. Cyberprzestępcy zawsze polują na niezabezpieczone sieci VPN i wrażliwe ścieżki dostępu zdalnego, aby włamać się do infrastruktury krytycznej. Jeden niedbały krok pracownika lub organizacji ostatecznie skutkuje wykorzystaniem potencjalnych, a często pomijanych luk w zabezpieczeniach. Oto kluczowe aspekty, które przyczyniły się do ataku:
1. Używanie zduplikowanych haseł do kont wrażliwych
Gdyby organizacja zabroniła używania nieunikalnych haseł do kont uprzywilejowanych, pracownik nie wybrałby wcześniej używanego hasła do konta firmowego. Najłatwiej to zrobić za pomocą generatora haseł, który w losowy sposób sugeruje silne, złożone hasła.
2. Porzucone i nieaktywne konta uprzywilejowane
Konto użyte do uzyskania dostępu do sieci informatycznej Colonial Pipeline nie było aktywne w momencie ataku. Wiele organizacji nie śledzi kont nieaktywnych ani kont należących do byłych pracowników. Pozostają nienaruszone dopóki nie zostaną trwale usunięte po naruszeniu lub incydencie dotyczącym bezpieczeństwa.
3. Brak usługi MFA dla uprzywilejowanych kont dostępu zdalnego
Brak silnego uwierzytelniania może umożliwić nieautoryzowany i nieograniczony dostęp do krytycznych systemów. Nawet mając legalne dane uwierzytelniające, osoba atakująca nie uzyskałaby dostępu do systemu, gdyby została ponownie poproszona o udowodnienie swojej tożsamości.
4. Brak ujednoliconego rozwiązania dostępu do sieci
Sieci VPN ze słabą kontrolą dostępu są obecnie uważane za niepewne i zawodne w przypadku zdalnego dostępu. To, czego potrzebują organizacje o znaczeniu krytycznym, takie jak Colonial Pipeline, to centralna konsola. Takie rozwiązanie ujednolica cały dostęp do sieci firmowej – lokalnie, a także za pośrednictwem chmur publicznych i prywatnych – z rygorystyczną kontrolą dostępu i monitorowaniem sesji.
5. Brak odpowiednich mechanizmów wykrywania i zapobiegania zagrożeniom
Nawet jeśli atakującemu uda się dostać do sieci firmowej, posiadanie kompleksowych narzędzi do monitorowania sieci może wywołać alarmy i ostrzeżenia. Systemy wykrywania i zapobiegania włamaniom, narzędzia analityczne oparte na AI i ML oraz rozwiązania SIEM mogą stale monitorować sieć. Przechwytują wszelkie informacje o możliwych zagrożeniach i złośliwym oprogramowaniu oraz zgłaszają je administratorom w celu podjęcia działań zapobiegawczych.
6. Brak możliwości szybkiego prześledzenia czynności wykonywanych podczas sesji
Sprawdzenie całej sieci rurociągów pod kątem dalszych luk zajęło śledczym ponad tydzień. Kompleksowa ścieżka audytu zdarzeń przeprowadzonych podczas sesji wraz z odpornymi na manipulacje nagraniami sesji mogłyby zdecydowanie przyspieszyć proces kontroli.
Jak zabezpieczyć firmę przed atakiem ransomware?
Pełna ochrona przed atakami ransomware wymaga od organizacji wielu warstw ochrony. Dojrzała i odporna postawa w zakresie cyberbezpieczeństwa łączy szereg rozwiązań bezpieczeństwa IT, które działają w sposób zintegrowany w celu ochrony przed zagrożeniami. Poniżej prezentujemy kilka porad ekspertów, które podpowiadają, jak zabezpieczyć się przed ransomware.
1. Zabezpiecz swoją platformę e-mail i edukuj pracowników w zakresie phishingu
Poczta e-mail jest źródłem większości ataków ransomware. Jest wykorzystywana przez cyberprzestępców do fałszowania danych uwierzytelniających w celu dostępu do sieci lub bezpośredniego rozpowszechniania złośliwego oprogramowania. Wprowadź zaawansowane funkcje ochrony przed phishingiem i złośliwym oprogramowaniem do serwera poczty, aby skanować i segregować przychodzące wiadomości e-mail, blokować nietypowe załączniki i chronić przed przychodzącymi wiadomościami phishingowymi.
Pamiętaj także o pracownikach. Edukuj ich, jak ważne jest przestrzeganie podstawowych zasad bezpieczeństwa i nieujawnianie danych osobowych podczas odbierania wiadomości e-mail, połączeń telefonicznych lub wiadomości tekstowych. Zwiększ świadomość tego, jak wyglądają fałszywe wiadomości e-mail i załączniki oraz wprowadź zwyczaj informowania działu IT o otrzymaniu podejrzanych telefonów lub wiadomości e-mail.
2. Zainwestuj w oprogramowanie antywirusowe i zapory sieciowe
Zainstaluj oprogramowanie antywirusowe na wszystkich urządzeniach i regularnie aktualizuj je za pomocą łatek bezpieczeństwa. Zainstaluj również zaporę i skonfiguruj ją tak, aby ograniczała ruch w sieci tylko do niezbędnych portów i adresów IP.
3. Regularnie aktualizuj swoje systemy
Aktualizowanie każdego systemu za pomocą poprawek jest ważne, aby chronić się przed oprogramowaniem ransomware. Osoby atakujące często wykorzystują luki w zabezpieczeniach i błędy w oprogramowaniu lub systemach operacyjnych, aby rozprzestrzeniać złośliwe oprogramowanie po uzyskaniu dostępu.
Rozwiązaniem tego problemu może okazać się Desktop Central i moduł Patch Management. To rozwiązanie pozwala chociażby na aktualizacje aplikacji czy systemu operacyjnego dzięki czemu będziemy mogli w szybki sposób chronić się przed lukami w zabezpieczeniach.
4. Przeprowadzaj regularne oceny ryzyka
Okresowo oceniaj zagrożenia bezpieczeństwa, aby proaktywnie łagodzić potencjalne zagrożenia, identyfikować luki w zabezpieczeniach i niedociągnięcia w całej sieci firmowej.
Za pomocą narzędzi EventLog Analyzer oraz ADAudit możemy w łatwy sposób w czasie rzeczywistym weryfikować zagrożenia, które występują w naszej domenie oraz dostawać natychmiastowe powiadomienia. Dzięki temu będziemy mogli w szybki sposób reagować na wszelkiego rodzaju działania użytkowników, które nie powinny występować w naszym środowisku.
5. Okresowo twórz kopie zapasowe systemów
Popraw podstawy: kluczem do uniknięcia zapłaty okupu jest posiadanie solidnych kopii zapasowych. Regularnie twórz kopie zapasowe danych – lokalnie i w chmurze – z silnym szyfrowaniem i kontrolowanym dostępem. Eksperci ds. bezpieczeństwa zalecają przechowywanie co najmniej trzech kopii danych firmy na różnych urządzeniach lub nośnikach pamięci. Jedna z nich powinna być całkowicie offline i dostępna tylko fizycznie.
Recovery Manager Plus to narzędzie, które w łatwy sposób pozwoli utworzyć lub zaplanować utworzenie kopii zapasowej całego środowiska. Dzięki temu rozwiązaniu w razie awarii będziemy mogli przywrócić wszystko do stanu, kiedy nasze środowisko działało prawidłowo.
6. Zainwestuj w silne rozwiązanie do zarządzania dostępem uprzywilejowanym
Chociaż prawdą jest, że napastnicy stosują dziś wyrafinowane metody i narzędzia, to częściej otwierają uprawnienia administracyjne i złamane poświadczenia, które dają im wstępny dostęp do infrastruktury krytycznej. Nawet w przypadku niedawnego ataku na stację uzdatniania wody na Florydzie wystarczyło jedno niechronione hasło, aby niezidentyfikowany sprawca mógł uzyskać dostęp do systemów sterowania i zarządzać nimi zdalnie. Kluczowe znaczenie dla organizacji ma zapewnienie pełnego zarządzania kontami uprzywilejowanymi, zarządzanie dostępem do krytycznych systemów i monitorowanie zdalnych uprzywilejowanych sesji w czasie rzeczywistym dzięki kompleksowemu audytowi i raportowaniu. Krótko mówiąc, niezawodne rozwiązanie do zarządzania dostępem uprzywilejowanym (PAM) może okazać się idealną pierwszą linią obrony dla przedsiębiorstw.
ManageEngine PAM360 to rozwiązanie PAM klasy korporacyjnej, które chroni przedsiębiorstwa przed cyberprzestępczością. Wykorzystuje zaawansowane zarządzanie uprzywilejowanym dostępem, płynną automatyzację przepływu pracy i zaawansowaną analitykę. PAM360 łatwo integruje się z różnymi narzędziami bezpieczeństwa IT, takimi jak analiza zagrożeń SIEM, AI i ML oraz skanery podatności. Umożliwia to administratorom uzyskanie pełnej kontroli nad wszystkimi uprzywilejowanymi działaniami w sieci korporacyjnej.
