A Colonial Pipeline elleni közelmúltbeli ransomware -támadás a hírek szerint az egyik legjelentősebb kibertámadás az energiaszektorban, mely világszerte meglepte a kiberbiztonsági szakértőket.
2021. április 29 -én a DarkSide bűnszervezet hackerei megtámadták a Colonial Pipeline vállalatot, amely az Egyesült Államok legnagyobb üzemanyag -vezetékét üzemelteti, és a keleti parton felhasznált üzemanyag körülbelül 45% -át szállítja. Ennek eredményeként a vállalat ideiglenesen leállította teljes hálózatát, ami súlyos üzemanyaghiányhoz és a gázárak megugrásához vezetett. Bár a Colonial Pipeline a leállást követő két héten belül folytatta szolgáltatásait, a rosszindulatú szereplők továbbra is tönkretehetik a nemzet egyik legkritikusabb energiaforrását, több mint 50 millió lakost érintettek, miközben 4,4 millió dollár váltságdíjat kaptak cserébe (bár a váltságdíj egy része) azóta lefoglalták a hatóságok).
Az ehhez hasonló biztonsági incidensek rávilágítanak arra, hogy a kibertámadások és jogsértések nemcsak a szervezetek hírnevét érik, hanem potenciálisan megzavarhatják vagy akár meg is szakíthatják a nyilvánosság számára nyújtott szolgáltatásokat. Ezért itt az ideje, hogy a szervezetek, különösen azok, amelyek a köz érdekeit szolgálják és fontos szerepet játszanak a gazdaságban, szigorítsák kiberbiztonsági programjukat.
A háttér: Hogyan jutottak el a hackerek a vállalat hálózatához
Egy elhagyott, inaktív VPN -fiók rossz jelszavas gyakorlatokkal párosulva, majd a Colonial Pipeline egyik alkalmazottja hátsó ajtót állított be a ransomware -támadáshoz. Április 29 -én a hackerek beléptek a vállalati hálózatba egy VPN -fiókon keresztül, amely a támadás idején már nem volt aktív. A fiók jelszava elérhető volt a sötét weben a kiszivárgott jelszavak sorozatán belül, ami azt jelenti, hogy a Colonial alkalmazott ugyanazt a jelszót használhatta egy másik, korábban feltört fióknál. Ami a hackerek számára kedvezőbb volt, hogy a fiók szintén nem használt többtényezős hitelesítést (MFA). Az eset több mint egy hétig észrevétlen maradt, egészen május 7 -ig, amikor egy váltságdíj -feljegyzés jelent meg a számítógép képernyőjén, kriptovalutát követelve. Újabb egy hétbe telt, amíg a vállalat megerősítette, hogy a csővezeték működési egysége nem sérült meg, és a Colonial Pipeline május 12 -én folytatta szolgáltatásait.
Ez azt is alátámasztja, hogy amikor a legkritikusabb eszközöket kezelő rendszerekről van szó, a szervezetek továbbra sem figyelnek az alapvető biztonsági szabályok betartásának fontosságára, például az MFA elfogadására, az inaktív fiókok azonosítására és törlésére, valamint a robusztus hozzáférés -szabályozásra. . Ami egyszerűen megelőzhető lett volna az alapvető vezérlőkészlettel, kiberbiztonsági katasztrófává nőtte ki magát az ajánlott biztonsági legjobb gyakorlatok puszta figyelmen kívül hagyása miatt.
Ahol a Colonial Pipeline biztonsági rendszere meghibásodott
A távmunka növekvő népszerűsége a globális munkaerő körében a távoli hozzáférésen alapuló támadások számának jelentős megugrásához vezetett, és a kiberbűnözők mindig a bizonytalan VPN-ekre és a sérülékeny távoli hozzáférési utakra vadásznak, hogy feltörhessék a kritikus infrastruktúrát. Egy alkalmazott vagy szervezet hanyag lépése végül a potenciális, de gyakran elhanyagolt sebezhetőségek kiaknázását eredményezi.
A Colonial Pipeline feltörése katasztrofális volt, de nagy valószínűséggel megelőzhető is; a kritikus infrastruktúra védelmének puszta hanyagságából következett. Összefoglalva, íme a támadás katalizátorának legfontosabb szempontjai:
Ismétlődő jelszavak használata érzékeny fiókok esetén:
Ha a szervezet felhatalmazta volna egyedi jelszavak használatát a privilegizált fiókokhoz, akkor az alkalmazott nem választott volna korábban használt jelszót a vállalati fiókjához. Ennek legegyszerűbb módja egy jelszógenerátor használata, amely véletlenszerűen erős, összetett jelszavakat javasol.
Árva, elhagyott és inaktív privilegizált fiókok:
A Colonial Pipeline informatikai hálózatához való hozzáféréshez használt fiók nem volt aktív a támadás idején. Sok szervezet nem követi nyomon az inaktív felhasználókat, valamint azokat, amelyek a volt alkalmazottakhoz tartoznak. Érintetlenek maradnak mindaddig, amíg véglegesen törlésre nem kerülnek egy szabálysértés vagy biztonsági incidens után.
Nincs MFA privilegizált távoli hozzáférésű fiókokhoz:
Az erős hitelesítés hiánya lehetővé teszi a jogosulatlan, akadálytalan hozzáférést a kritikus rendszerekhez egyetlen hitelesítő adatokkal. A támadó még a jogos jogosultságok birtokában sem kapott volna hozzáférést a rendszerhez, ha ismét kihívták volna őket személyazonosságuk igazolására.
Ha nincs egységes hálózati hozzáférési megoldás:
A rossz hozzáférés -vezérlésű VPN -eket most biztonságosnak és távoli hozzáférés szempontjából megbízhatatlannak tekintik. Az olyan kritikus szervezeteknek, mint a Colonial Pipeline, szükségük van egy központi konzolra, amely egyesíti a vállalati hálózathoz való összes hozzáférést-helyszíni, valamint nyilvános és privát felhőkön keresztül-szigorú hozzáférés-szabályozással és munkamenet-figyeléssel.
A veszélyek megfelelő észlelésének és megelőzésének hiánya:
Még ha egy támadónak sikerül is bejutnia a vállalati hálózatba, az átfogó hálózatfigyelő eszközök birtokában időben riasztások és figyelmeztetések jelenhetnek meg az érintett felügyeleteknél, hogy azonnal fejezzék be a gyanús munkameneteket. A behatolásjelző rendszerek, a behatolásmegelőző rendszerek, az AI- és ML-alapú elemzőeszközök, valamint a SIEM-megoldások folyamatosan figyelhetik a hálózatot, rögzíthetnek minden információt a lehetséges fenyegetésekről és rosszindulatú programokról, és jelenthetik azokat a rendszergazdáknak a megelőző intézkedések érdekében. Itt az ideje, hogy a modern szervezetek fejlett technológiákat alkalmazzanak, hogy érdemi betekintést nyerjenek és megfékezzék a kibertámadásokat.
Képtelenség azonnal nyomon követni minden tevékenységet:
Több mint egy hétbe telt, amíg a nyomozók megvizsgálták a teljes hálózatot a további sebezhetőségek tekintetében. A támadás során lezajlott események átfogó ellenőrzési nyomvonala, valamint a manipulációbiztos ülésfelvételek felgyorsíthatták volna az ellenőrzési folyamatot.
Rossz hálózati szegmentáció:
A támadás a Colonial Pipeline informatikai rendszereit célozta meg, de mivel ezek kapcsolódtak az operatív egységhez, a vállalatnak azonnal le kellett állítania az egész vezetéket. A Colonial Pipeline kudarca volt abban, hogy szegmentálva tartsa hálózatát – hogy ne lehessen könnyen átlépni az egyik vállalati részlegről a másikra – kulcsfontosságú volt a támadás sikeréhez, kiemelve a megfelelő kiberhigiénia hiányát.
Hogyan építsünk ki egy holisztikus biztonsági rendszert a ransomware támadások kizárásához
A ransomware támadásokkal szembeni teljes védelem eléréséhez a szervezeteknek több védelmi rétegre van szükségük. Az érett, rugalmas kiberbiztonsági rendszer egyesíti az informatikai biztonsági megoldások széles skáláját, amelyek integráltan működnek a fenyegetések ellen. Íme néhány szakértői tipp, hogy fokozza a védelmet a ransomware ellen.
Védje meg e -mail platformját, és oktassa az alkalmazottakat az adathalászatról:
A legtöbb ransomware -támadás forrása az e -mail, amelyet a kiberbűnözők gyakran kihasználnak arra, hogy hitelesítő adatokat hamisítsanak a törvénytelen hálózati hozzáférésért, vagy közvetlenül terjesszék a rosszindulatú programokat. Adjon hozzá fejlett adathalász és kártevő -védelmi képességeket a levelezőszerverhez a bejövő e -mailek szkenneléséhez és elkülönítéséhez, a rendellenes mellékletek blokkolásához és a bejövő adathalász e -mailek elleni védelemhez.
Oktassa az alkalmazottakat az alapvető biztonsági intézkedések betartásának fontosságára, például ne tegye közzé személyes adatait e -mail, telefonhívás vagy szöveges üzenet megválaszolásakor; tudatában annak, hogy a csalárd e -mailek és mellékletek hogyan néznek ki; és felveszi a kapcsolatot az informatikai részleggel, miután gyanús hívásokat vagy e -maileket kapott.
Fektessen be víruskereső szoftverekbe és tűzfalakba:
Telepítsen víruskereső szoftvert minden eszközre, és rendszeresen frissítse azokat biztonsági javításokkal. Telepítsen egy tűzfalat is, és állítsa be úgy, hogy csak a szükséges portokra és IP -címekre korlátozza a hálózat forgalmát.
Rendszeresen javítsa rendszereit:
Fontos, hogy minden rendszert naprakészen tartsunk a javításokon, hogy megvédjük a ransomware-től, mivel a támadók gyakran kihasználják a biztonsági réseket és hibákat a szoftverekben vagy az operációs rendszerekben a rosszindulatú programok terjesztése után.
Rendszeresen végezzen kockázatértékelést:
Időnként értékelje a biztonsági kockázatokat, hogy proaktív módon csökkentse a lehetséges kockázatokat azáltal, hogy azonosítja a biztonsági réseket és hiányosságokat a teljes vállalati hálózatban.
Rendszeresen készítsen biztonsági másolatot rendszereiről:
Ismerje meg az alapokat: A váltságdíjak elkerülésének kulcsa az, hogy megbízható biztonsági mentéseket készítsen. Rendszeresen készítsen biztonsági másolatot az adatokról – helyben és a felhőben – erős titkosítással és ellenőrzött hozzáféréssel, hogy a vállalati adatok biztonságban legyenek. A biztonsági szakértők azt javasolják, hogy a vállalat adatainak legalább három példányát őrizze meg különböző eszközökön vagy adathordozón, és az egyiket tartsa teljesen offline állapotban, fizikailag is elhatárolva.
Fektessen be egy erős hozzáférés -kezelési megoldásba:
Bár igaz, hogy a támadók manapság kifinomult módszereket és eszközöket alkalmaznak, gyakrabban a nyílt adminisztrátori jogosultságok és a sérült hitelesítő adatok teszik lehetővé számukra a kezdeti hozzáférést a kritikus infrastruktúrához. Még a közelmúltbeli floridai víztisztító telep elleni támadáshoz is csupán egy védtelen jelszóra volt szükség ahhoz, hogy az azonosítatlan elkövető távolról elérhesse és kezelhesse a vezérlőrendszereket. Ennek ellenére kulcsfontosságú, hogy a szervezetek biztosítsák a teljes privilegizált fiókkezelést, kezeljék a kritikus rendszerekhez való hozzáférést, és valós időben figyeljék a privilegizált távoli munkameneteket, átfogó ellenőrzéssel és jelentésekkel. Röviden, egy robusztus hozzáférés -kezelés (PAM) megoldás bizonyulhat az ideális első védelmi vonalnak a vállalkozások számára.
A ManageEngine PAM360 egy vállalati szintű PAM megoldás, amely hatékony privilegizált hozzáférés-irányítással, zökkenőmentes munkafolyamat-automatizálással és fejlett elemzésekkel védi a vállalatokat a számítógépes bűnözésektől. A PAM360 könnyen integrálható különféle informatikai biztonsági eszközökkel, mint például a SIEM, AI- és ML-alapú fenyegetésanalitika, valamint a sebezhetőségi szkennerek, amelyek lehetővé teszik a rendszergazdák számára, hogy teljes körű ellenőrzést érjenek el a vállalati hálózat minden kiváltságos tevékenysége felett.
