Die onlangse aanvalle wat na bewering deur die Chinese groep Salt Typhoon op telekommunikasie maatskappye en lande uitgevoer is – onder hulle sou Brasilië wees – het die hele wêreld in alarm gestel. Nuus praat van die vlak van sofistikasie van die indringings en, wat is meer alarmend – die misdadigers, teoreties, sou nog steeds binne die netwerke van hierdie maatskappye
Die eerste inligting oor hierdie groep het in 2021 verskyn, toe die Microsoft se Threat Intelligence-span inligting bekendgemaak het oor hoe China suksesvol in verskeie internetdiensverskaffers ingedring het, om die maatskappye te monitor – en data te vangene. Een van die eerste aanvalle wat deur die groep uitgevoer is, was vanaf 'n oortreding in Cisco-roetes, wat as 'n gateway gedien het om internetaktiwiteite wat deur hierdie toestelle plaasvind, te monitor. Sodra toegang verkry is, die hackers kon kon hulle bereik na bykomende netwerke uitbrei. In Oktober 2021, Kaspersky het bevestig dat die kuberkriminele reeds die aanvalle na ander lande soos Viëtnam uitgebrei het, Indonesië, Thailand, Maleisië Egipte, Ethiopië en Afghanistan.
As die eerste kwesbaarhede was reeds vanaf 2021 bekend – hoekom is ons nog aangeval? Die antwoord is, presies, hoe ons met hierdie kwesbaarhede in die daaglikse lewe omgaan
Verkragting metode
Nou, in die laaste paar dae, inligting van die Amerikaanse regering het 'n reeks aanvalle op "maatskappye en lande" bevestig – wat sou gebeur as gevolg van bekende kwesbaarhede in 'n VPN-toepassing, van die vervaardiger Ivanti, geen Fortinet Forticlient EMS, gebruik om monitering op bedieners te doen, in Sophos firewalls and also in Microsoft Exchange servers.
Die kwesbaarheid van Microsoft is in 2021 bekend gemaak toe, netjies in die volgorde, die maatskappy het die regstellings gepubliseer. 'n fout in die Sophos-firewalls is in 2022 gepubliseer – en reggestel in September 2023. Die probleme wat in Forticlient gevind is, het in 2023 publiek geword, en reggestel in Maart 2024 – soos van Ivanti, wat ook hul CVE's (Algemene Kw vulnerabilities en Blootstellings) in 2023 geregistreer is. Die maatskappy, intussen, het het net die kwesbaarheid in Oktober verlede jaar reggestel.
Al hierdie kwesbaarhede het dit vir die misdadigers maklik gemaak om in die geteisterde netwerke in te dring, met die regte inligting en sagteware, wat maak die opsporing van hierdie indringings byna onmoontlik. Vanaf daar, die misdadigers het lateraal binne hierdie netwerke beweeg, implante van kwaadware, wat gehelp het in die langtermyn spioenasie werk.
Wat alarmierend is aan die onlangse aanvalle, is dat die metodes wat deur die hackers van die Salt Typhoon-groep gebruik word, ooreenstem met die langtermyn-taktieke wat waargeneem is in vorige veldtogte wat aan Chinese staatsagentskappe toegeskryf word. Hierdie metodes sluit die gebruik van wettige geloofsbriewe in om kwaadwillige aktiwiteite as roetinebedrywighede te verberg, moeiliker om identifikasie deur konvensionele sekuriteitstelsels. Die fokus op algemeen gebruikte sagteware, soos VPNs en firewalls, demonstrate 'n diepgaande kennis van kwesbaarhede in korporatiewe en regeringsomgewings
Die probleem van kwesbaarhede
Die ontplooide kwesbaarhede onthul ook 'n kommerwekkende patroon: vertragings in die toepassing van regstellings en opdaterings. Ten spyte van die regstellings wat deur die vervaardigers beskikbaar gestel is, die operasionele werklikheid van baie maatskappye bemoeilik die onmiddellike implementering van hierdie oplossings. Compatibiliteitstoetse, die behoefte om onderbrekings in kritieke missiestelsels te vermy en, in sommige gevalle, die gebrek aan bewusmaking oor die erns van die foute dra by tot die toename in die blootstellingsvenster
Hierdie vraag is nie net tegnies nie, maar ook organisatories en strategiese, betrokken by proses, prioriteite en, baie kere, korporatiewe kultuur
'n Kritieke aspek is dat baie maatskappye die toepassing van patches as 'n "sekondêre" taak beskou in vergelyking met operasionele voortsetting. Dit skep die sogenaamde stilstand-dilemma, waar leiers moet besluit neem tussen die tydelike onderbreking van dienste om stelsels op te dateer en die potensiële risiko van 'n toekomstige ontginning. Togtans, die onlangse aanvalle toon dat om hierdie opdaterings uit te stel baie duurder kan wees, sowel in finansiële as reputasionele terme
Boonop, die kompatibiliteitstoetse is 'n algemene knelpunt. Baie korporatiewe omgewings, veral in sektore soos telekommunikasie, hulle werk met 'n komplekse kombinasie van ou en moderne tegnologieë. Dit maak dat elke opdatering 'n aansienlike poging verg om te verseker dat die patch nie probleme in afhanklike stelsels veroorsaak nie. Hierdie tipe sorg is verstaanbaar, maar dit kan gemitigeer word deur die aanvaarding van praktyke soos robuuste toetsomgewings en geoutomatiseerde valideringsprosesse
'n Ander punt wat bydra tot die vertraging in die toepassing van patches is die gebrek aan bewustheid oor die erns van die foute. Baie keer, TI-spanne onderskat die belangrikheid van 'n spesifieke CVE, hoofsaaklik wanneer dit tot dusver nie breedweg ondersoek is nie. Die probleem is dat die geleentheid venster vir die aanvallers dalk oopgaan voordat die organisasies die erns van die probleem besef. Dit is 'n veld waar bedreigingsintelligensie en duidelike kommunikasie tussen tegnologieverskaffers en maatskappye 'n groot verskil kan maak
Laastens, maatskappye moet 'n meer proaktiewe en prioriteitsgerigte benadering tot kwesbaarheidsbestuur aanneem, wat die outomatisering van die patching prosesse insluit, die segmentering van netwerke, beperking van die impak van moontlike indringings, die roetine om gereeld moontlike aanvalle te simuleer, wat help om die potensiële "swakpunte" te vind.
Die kwessie van die vertragings in die patches en opdaterings is nie net 'n tegniese uitdaging nie, maar ook 'n geleentheid vir organisasies om hul veiligheidsbenadering te transformeer, ditiger ditiger, aanpasbaar en veerkragtig. Boven alles, hierdie werkswyse is nie nuut nie, en honderde ander aanvalle word met dieselfde uitgevoermetode van werking, uit kwetsbaarhede wat as 'n toegangspunt gebruik word. Om hierdie les te benut, kan die verskil wees tussen 'n slagoffer wees of voorbereid wees vir die volgende aanval
