Nedavni napadi navodno izvedeni kineskom grupom Salt Typhoon na tvrtke telekomunikacija i zemlje – među njima bi bio Brazil – ostavio cijeli svijet u pripravnosti. vijesti pričaju o razini sofistikiranosti upada i, što je više alarmantno – oni kriminalci, teoretski, još bi bili unutar mreža tih tvrtki
Prve informacije o toj grupi pojavile su se u 2021., kada je tim Threat Intelligence-a Microsoft-a objavio informacije o tome kako je Kina navodno uspješno se infiltrirala u nekoliko pružatelja internetskih usluga, za nadgledati tvrtke – i uhvatiti podatke. Jedan od prvih napada provedenih od strane grupe bio je od od povrede u routerima Cisco, koja su služila kao gateway za praćenje aktivnosti interneta događajući se putem tih uređaja. Jednom što je pristup bio dobiven, hakeri su uspijevali proširiti svoj domet na dodatne mreže. U listopadu 2021., Kaspersky je potvrdio da su kibernetički kriminalci već proširili napade na druge zemlje kao Vijetnam, Indonezija, Tajland, Malezija Egipat, Etiopija i Avganistan.
Ako su prve ranjivosti već bile poznate od 2021. – zašto što smo još bili napadnuti? Odgovor je, upravo, u kako se bavimo s tim ranjivostima na dan-na-dan
Metoda prekršaja
Sada, u posljednjih nekoliko dana, informacije američke vlade potvrdile su niz napada na ⁇ kompanije i zemlje ⁇ – koji bi se dogodili iz poznatih ranjivosti u aplikaciji VPN-a, od proizvođača Ivanti, na Fortinet Forticlient EMS, korišten za činjenje monitoringa na serverima, u firewalls Sophos i također na serverima Microsoft Exchange.
Ranjivost Microsofta je objavljena u 2021. kada, odmah u sekvenci, tvrtka je objavila ispravke. Kriza u firewalls Sophos je objavljena u 2022. – i korigirana u rujnu 2023.. Problemi pronađeni u Forticlient postali su javni u 2023., i korigirani u ožujku 2024. – kao i oni od Ivanti, koja su također imali svoje CVEs (Common Vulnerabilities and Exposures) zabilježene 2023. godine. Tvrtka, međutim, samo ispravio ranjivost u prošlom listopadu.
Sve te ranjivosti omogućile su da se kriminalci lako infiltriraju u napadnute mreže, koristeći akreditive i softvere legitimne, što što čini detekciju tih invazija gotovo nemogućom. Od tada, kriminalci su se kretali bočno unutar tih mreža, implantirajući malwares, koji su pomogli u poslu špijunaže dugoročnog.
Ono što je alarmantno u nedavnim napadima je da su metode korištene od strane hakera grupe Salt Typhoon konzistentne s taktikama dugoročnog promatranja u prethodnim kampanjama pripisane kineskim državnim agentima. Ti metodi uključuju korištenje legitimnih vjerodajnica za maskiranje zlonamjernih aktivnosti kao rutinskih operacija, otežavajući identifikaciju konvencionalnim sigurnosnim sustavima. Fokus na softverima široko korištenim, kao VPN-ovi i firewalls, pokazuje temeljito znanje o ranjivostima u korporativnim i vladinim okruženjima
Problem ranjivostima
Iskorištene ranjivosti također otkrivaju zabrinjavajući obrazac: kašnjenja u primjeni patchova i ažuriranja. Unatoč ispravkama dostupnim od proizvođača, operativna stvarnost mnogih tvrtki otežava neposrednu implementaciju tih rješenja. Testovi kompatibilnosti, potrebu da se izbjegnu prekidi u sustavima kritičnog misije; i, u nekim slučajevima, nedostatak osviještenosti o ozbiljnosti kvarova doprinose za povećanje prozora izloženosti
To pitanje nije samo tehničko, ali također organizacijska i strateška, uključujući procese, prioriteti i, mnoge puta, korporativna kultura
Kritičan aspekt je da mnoge tvrtke tretiraju primjenu patcha kao jednu ⁇ sekundarnu ⁇ zadaću u odnosu na operativnu kontinuitetu. To stvara tzv. dilemu od downtime, gdje lideri moraju odlučiti između trenutačnog prekida usluga za ažurirati sustave i potencijalnog rizika budućeg eksploatacije. Međutim, nedavni napadi pokazuju da odlaganje tih nadogradnji može izaći mnogo skuplje, kako u financijskim uvjetima tako i reputacijskim
Osim toga, testovi kompatibilnosti su uobičajena gužva. Mnoga korporativna okruženja, posebno u sektorima kao telekomunikacije, djeluju sa kompleksnom kombinacijom legiranih i modernih tehnologija. To čini da svako ažuriranje zahtijeva značajan napor kako bi osiguralo da patch ne uzrokuje probleme u ovisnim sustavima. Ta vrsta brige je razumljiva, ali se može ublažiti uz usvajanje praksi kao što okruženja testiranja robusnija i automatizirani procesi validacije
Još jedna tačka koja doprinosi za kašnjenje u primjeni patcha je nedostatak osviještenosti o ozbiljnosti kvarova. Često, ekipe IT-a podcjenjuju važnost određenog CVE, posebno kada on nije bio široko iskorišten do trenutka. Problem je što se prozor prilike za napadače može otvoriti prije nego što organizacije shvate ozbiljnost problema. Ovo je polje gdje inteligencija od prijetnji i jasna komunikacija između dobavljača tehnologije i tvrtki mogu napraviti svu razliku
Na kraju, tvrtke moraju usvojiti proaktivniji i prioritizirani pristup za upravljanje ranjivostima, što uključuje automatizaciju procesa patchinganja, segmentaciju mreža, ograničavajući utjecaj mogućih invazija, rutinu od simuliranja redovito mogućih napada, što što pomaže naći potencijalne ⁇ slabe točke ⁇.
Pitanje kašnjenja u patchima i ažuriranjima nije samo tehnički izazov, ali također prilika za organizacije da transformiraju svoj pristup sigurnosti, čineći je agilnijom, adaptivna i otporna. Iznad svega, taj način rada nije novi je, i stotine drugih napada su izvedeni s istimmodus operandi, iz ranjivosti koje su korištene kao vrata ulaza. Iskoristiti tu lekciju može biti razlika između biti žrtva ili biti spreman za sljedeći napad
