A közelmúltban a kínai Salt Typhoon csoport által állítólagos támadások, amelyeket távközlési társaságok és országok – köztük Brazília – éberségre hagytak. A hírek az inváziók kifinomultságáról beszélnek, és ami még riasztóbb – elméletileg továbbra is a bűnözők e cégek hálózatán belül lennének.
Az első információ erről a csoportról 2021-ben született, amikor a Microsoft Threat Intelligence csapata információkat adott ki arról, hogy Kína sikeresen beszivárgott volna több internetszolgáltatóba, hogy figyelemmel kísérje a vállalatokat – és adatokat rögzítsen. A csoport által végrehajtott első támadások egyike a Cisco útválasztók megsértése miatt történt, amely átjáróként szolgált az ezeken az eszközökön keresztül zajló internetes tevékenységek figyelésére. A hozzáférés megszerzése után a hackerek további hálózatokra is kiterjeszthették hatókörüket. 2021 októberében Kaspersky megerősítette, hogy a kiberbűnözők már kiterjesztették a támadásokat más országok ellen, például Vietnam, Indonézia, Thaiföld, Malajzia Egyiptom, Etiópia és Afganisztán ellen.
Ha az első sebezhetőségek már 2021 óta ismertek voltak – miért támadtak meg minket még mindig? A válasz pontosan abban rejlik, hogyan kezeljük ezeket a sebezhetőségeket a mindennapi életben.
szabálysértés módja
Most, az elmúlt napokban az Egyesült Államok kormányától származó információk egy sor támadást erősítettek meg “cégek és országok” ellen – amelyek a VPN-alkalmazások ismert sebezhetőségeiből fakadtak volna, a gyártó Ivantitól, a Fortinet FortiClient EMS-ben, amelyet szerverek, Sophos tűzfalak és Microsoft Exchange szerverek figyelésére használnak.
A Microsoft sebezhetőségét 2021-ben hozták nyilvánosságra, amikor a cég ezt követően közzétette a javításokat. A Sophos tűzfalak meghibásodását 2022-ben tették közzé – és 2023 szeptemberében javították ki. A FortiClientben felmerült problémák 2023-ban váltak nyilvánosságra, és 2024 márciusában – valamint Ivanti – 2023-ban bejegyzett közös sebezhetőségük és kitettségükkel – ivanti problémái – kerültek kijavításra. A cég azonban csak tavaly októberben javította ki a sebezhetőséget.
Mindezek a sebezhetőségek lehetővé tették a bűnözők számára, hogy könnyen beszivárogjanak a megtámadott hálózatokba, hitelesítő adatok és legitim szoftverek segítségével, ami szinte lehetetlenné teszi ezen inváziók észlelését. Innentől a bűnözők oldalra mozogtak ezeken a hálózatokon belül, rosszindulatú programokat telepítve, ami segített a hosszú távú kémkedésben.
A legutóbbi támadásokban az a riasztó, hogy a Salt Typhoon Group hackerei által alkalmazott módszerek összhangban vannak a korábbi kampányokban megfigyelt, kínai állami ügynököknek tulajdonított hosszú távú taktikákkal. Ezek a módszerek magukban foglalják a törvényes hitelesítő adatok használatát a rosszindulatú tevékenységek, például a rutinműveletek elfedésére, ami megnehezíti a hagyományos biztonsági rendszerek általi azonosítást. A széles körben használt szoftverekre, például a VPN-ekre és a tűzfalakra való összpontosítás a vállalati és kormányzati környezetek sebezhetőségeinek mélyreható ismeretét mutatja.
a sebezhetőségi probléma
A kihasznált sebezhetőségek egy aggasztó mintát is mutatnak: késések a javítások és frissítések alkalmazásában. A gyártók által elérhető korrekciók ellenére számos vállalat működési valósága megnehezíti a megoldások azonnali megvalósítását. A kompatibilitási tesztek, a kritikus rendszerek megszakításának elkerülésének szükségessége, és bizonyos esetekben a hibák súlyosságának tudattalanságának hiánya hozzájárul az expozíciós ablak növekedéséhez.
Ez a kérdés nemcsak technikai, hanem szervezeti és stratégiai, folyamatokat, prioritásokat és gyakran vállalati kultúrát is magában foglal.
Kritikus szempont, hogy sok vállalat a javítások alkalmazását “másodlagos” feladatként kezeli a működési folytonossághoz képest. Ez létrehozza az úgynevezett leállási dilemmát, ahol a vezetőknek dönteniük kell a rendszerek frissítésének pillanatnyi megszakítása és a jövőbeni kiaknázás lehetséges kockázata között. A legutóbbi támadások azonban azt mutatják, hogy ezeknek a frissítéseknek a késleltetése sokkal drágább lehet, mind pénzügyi, mind hírnévi szempontból.
Ezenkívül a kompatibilitási tesztek gyakori szűk keresztmetszetet jelentenek. Számos vállalati környezet, különösen az olyan ágazatokban, mint a távközlés, a régi és a modern technológiák összetett kombinációjával működik. Emiatt minden frissítés jelentős erőfeszítést igényel annak biztosítására, hogy a javítás ne okozzon problémákat a függő rendszerekben. Ez a fajta ellátás érthető, de mérsékelhető olyan gyakorlatok elfogadásával, mint a robusztusabb tesztkörnyezetek és az automatizált érvényesítési folyamatok.
Egy másik szempont, amely hozzájárul a javítások felvitelének késedelméhez, a hibák súlyosságának tudatában. Az IT-csapatok gyakran alábecsülik egy adott CVE fontosságát, különösen akkor, ha azt eddig nem vizsgálták széles körben. A probléma az, hogy a támadók előtt álló lehetőség megnyílhat, mielőtt a szervezetek rájönnének a probléma súlyosságára. Ez egy olyan terület, ahol a fenyegetés-intelligencia és a technológiai szolgáltatók és a vállalatok közötti egyértelmű kommunikáció mindent megváltoztathat.
Végül a vállalatoknak proaktívabb és prioritást élvező megközelítést kell alkalmazniuk a sebezhetőség-kezelésben, amely magában foglalja a javítási folyamatok automatizálását, a hálózatok szegmentálását, a lehetséges inváziók hatásának korlátozását, a lehetséges támadások rendszeres szimulálásának rutinját, ami segít megtalálni a lehetséges “gyenge pontokat”.
A javítási és frissítési késések kérdése nemcsak technikai kihívás, hanem a szervezetek számára is lehetőséget ad arra, hogy átalakítsák biztonsági megközelítésüket, agilisabbá, alkalmazkodóbbá és rugalmasabbá téve azt. Ez a működési mód mindenekelőtt nem új, és több száz egyéb támadást hajtanak végre ugyanazzal modus operandi, az átjáróként használt sebezhetőségektől. Ennek a leckének a kihasználása lehet a különbség aközött, hogy áldozat vagy a következő támadásra.
