Die onlangse aanvalle wat vermoedelik deur die Chinese groep Salt Typhoon op telekommunikasiemaatskappye en lande uitgevoer is – waaronder Brasilië – het die hele wêreld in alarm geplaas. Nuus praat oor die vlak van gevorderdheid van die indringings en, wat meer alarmant is – die misdadigers is volgens teorie nog steeds binne die netwerke van hierdie maatskappye.
Die eerste inligting oor hierdie groep het in 2021 verskyn, toe die Threat Intelligence-span van Microsoft inligting bekend gemaak het oor hoe China suksesvol ingryp by verskeie internetdiensverskaffers om maatskappye te moniter en data vas te lê. Een van die eerste aanvalle deur die groep was gebaseer op 'n oortreding in Cisco-routers, wat as 'n poort gebruik is om internetaktiwiteite wat deur hierdie toestelle plaasvind, te monitor. Sodra toegang verkry is, kon hackers hul bereik na bykomende netwerke uitbrei. In Oktober 2021 het Kaspersky bevestig dat die kuberkriminele reeds die aanvalle na ander lande soos Viëtnam, Indonesië, Thailand, Maleisië, Egipte, Etiopië en Afghanistan uitgebrei het.
As vulnerabilidades iniciais já eram coñecidas desde 2021 – waarom is ons nog steeds aangeval? Die antwoord lê, presies, in hoe ons daagliks met hierdie kwesbaarhede omgaan.
Verkragting metode
Nou, in die afgelope dae, het inligting van die Noord-Amerikaanse regering 'n reeks aanvalle op "maatskappye en lande" bevestig - wat plaasgevind het as gevolg van bekende kwesbaarhede in 'n VPN-toepassing van die vervaardiger Ivanti, in die Fortinet Forticlient EMS, gebruik vir die monitering van bedieners, in Sophos-firewalls en ook in Microsoft Exchange-bedieners.
Die kwesbaarheid van Microsoft is in 2021 bekend gemaak toe die maatskappy dadelik daarna die regstellings gepubliseer het. Die fout in die Sophos-firewalls is in 2022 gepubliseer en in September 2023 reggestel. Die probleme wat in die Forticlient gevind is, het in 2023 publiek geword en is in Maart 2024 reggestel, sowel as die Ivanti-probleme, wat ook hul CVE's (Gemeenskaplike Kwessies en Blootstellings) in 2023 gehad het. Die maatskappy het die kwesbaarheid egter eers verlede maand reggestel.
Al hierdie kwesbaarhede het die misdadigers maklik toegelaat om in die aangevalle netwerke in te infiltreer deur wettige geloofsbriewe en sagteware te gebruik, wat dit byna onmoontlik maak om hierdie inbrake op te spoor. Vanaf daar het misdadigers lateraal binne hierdie netwerke beweeg, malware geïmplementeer, wat gehelp het met langtermyn spioagedienste.
Wat is verontrustend aan die onlangse aanvalle is dat die metodes wat deur die hackers van die Salt Typhoon-groep gebruik word, konsekwent is met die langtermyn-taktieke wat in vorige veldtogte waargeneem is en aan Chinese staatsagente toegeskryf word. Metodes hierdie sluit in die gebruik van wettige geloofsbriewe om kwaadwillige aktiwiteite te masker as roetine-operasies, wat die identifisering deur tradisionele sekuriteitstelsels bemoeilik. Die fokus op wyd gebruikte sagteware, soos VPN's en vuurpyltakke, toon 'n diepgaande kennis van kwesbaarhede in korporatiewe en regeringsomgewings.
Die probleem van kwesbaarhede
Die kwesbaarhede wat uitgebuit word, openbaar ook 'n kommerwekkende patroon: vertraging in die toepassing van patches en opdaterings. Ten spyte van die korreksies wat deur die vervaardigers beskikbaar gestel word, maak die operasionele realiteit van baie maatskappye dit moeilik om hierdie oplossings onmiddellik te implementeer. Toetse van versoenbaarheid, die behoefte om onderbrekings in kritieke stelsels te vermy, en in sommige gevalle, die gebrek aan bewuswording oor die erns van foute, dra by tot die toename in die blootstellingsvenster.
Hierdie kwessie is nie net tegnies nie, maar ook organisatories en strategies, wat prosesse, prioriteite en dikwels korporatiewe kultuur behels.
'n aspek krities is dat baie maatskappye die toepassing van patches as 'n "sekondêre" taak behandel in vergelyking met bedryfskoninklikheid. Dit skep die sogenaamde downtime-kwessie, waar leiers moet besluit tussen die tydelike onderbreking van dienste om stelsels op te dateer en die potensiële risiko van toekomstige uitbuiting. Tog egter wys die onlangse aanvalle dat uitstel van hierdie opdaterings baie duurder kan wees, both finansieel en reputasioneel.
Boonop is die algemene knelpunt die toetsing van versoenbaarheid. Veel korporatiewe omgewings, veral in sektore soos telekommunikasie, werk met 'n komplekse kombinasie van verouderde en moderne tegnologieë. Dit maak dat elke opdatering 'n aansienlike poging verg, om te verseker dat die patch nie probleme in afhanklike stelsels veroorsaak nie. Soortgelyke sorg is verstaanbaar, maar kan verminder word deur die aanvaarding van praktyke soos meer robuuste toetsomgewings en geoutomatiseerde valideringsprosesse.
Nog 'n ander punt wat bydra tot die vertraging in die toepassing van patches, is die gebrek aan bewussyn oor die erns van die foute. Baie keer onderskat IT-spanne die belangrikheid van 'n spesifieke CVE, veral wanneer dit nog nie wyd geëksploiteer is nie. Die probleem is dat die geleentheidvenster vir die aanvallers dalk oopmaak voordat organisasies die erns van die probleem besef. Dit is 'n veld waar bedreigingsintelligensie en duidelike kommunikasie tussen tegnologieleveransiers en maatskappye 'n groot verskil kan maak.
Uiteindelik moet maatskappye 'n meer proaktiewe en prioritisere benadering tot kwesbaarheidsbestuur aanneem, wat die outomatisering van patching-prosesse insluit, die segmentasie van netwerke om die impak van moontlike inbraak te beperk, 'n roetine om gereeld moontlike aanvalle te simuleer, wat help om potensiële "sakepunte" te identifiseer.
Die vraagstuk van vertraging in patches en opdaterings is nie net 'n tegniese uitdaging nie, maar ook 'n geleentheid vir organisasies om hul veiligheidsbenadering te transformeer, en dit meer vinnig, aanpasbaar en veerkragtig te maak. Bove alles, hierdie bedryfswyse is nie nuut nie, en honderde ander aanvalle word op dieselfde wyse uitgevoermetode van werking,vanuit kwesies wat as ingangspoort gebruik word. Die hierdie les kan die verskil wees tussen slagoffer wees of voorbereid wees op die volgende aanval.
