Neseniai įvykdytos atakos, tariamai Kinijos grupės Salt Typhoon įvykdytos telekomunikacijų bendrovėms ir šalims tarp jų, būtų Brazilija 'SA paliko visą pasaulį budrus Naujienos kalba apie invazijų sudėtingumo lygį ir, kas labiau nerimą kelia 'nusikaltėliai, teoriškai, vis dar būtų šių įmonių tinkluose.
Pirmoji informacija apie šią grupę buvo gauta 2021 m., kai Microsoft Threat Intelligence komanda paskelbė informaciją apie tai, kaip Kinija sėkmingai įsiskverbė į kelis interneto paslaugų teikėjus, kad galėtų stebėti įmones ir fiksuoti duomenis. viena iš pirmųjų grupės įvykdytų atakų buvo dėl Cisco maršrutizatorių pažeidimo, kuris buvo vartai stebėti interneto veiklą, vykstančią per šiuos įrenginius. Kai buvo gauta prieiga, įsilaužėliai galėjo išplėsti savo pasiekiamumą į papildomus tinklus.2021 m. spalį Kaspersky patvirtino, kad kibernetiniai nusikaltėliai jau išplėtė atakas prieš kitas šalis, tokias kaip Vietnamas, Indonezija ir Indonezija.
Jei pirmieji pažeidžiamumai jau buvo žinomi nuo 2021 m. KODĖL mes vis dar buvome užpulti? Atsakymas slypi būtent tame, kaip kasdien susiduriame su šiais pažeidžiamumais.
Pažeidimo būdas
Dabar, pastarosiomis dienomis, vyriausybės informacija patvirtino daugybę išpuolių prieš įmones ir šalis“ - tai įvyko dėl žinomų VPN programos pažeidžiamumų, gamintojo Ivanti, Fortinet Forticlient EMS, naudojamo serveriams, ugniasienėms Sophos ir Microsoft Exchange stebėti. serveriai.
Microsoft pažeidžiamumas buvo atskleistas 2021 m., kai netrukus po to bendrovė paskelbė pataisymus. ugniasienių Sophos trūkumas buvo paskelbtas 2022 m. ir ištaisytas 2023 m. rugsėjį. Forticlient aptiktos problemos tapo viešos 2023 m., o ištaisytos 2024 m. kovo mėn., taip pat Ivanti, kurios CVE (bendrieji pažeidžiamumai ir ekspozicijos) taip pat buvo užregistruoti 2023 m. Tačiau bendrovė pažeidžiamumą ištaisė tik praėjusį spalį.
Visi šie pažeidžiamumai leido nusikaltėliams lengvai įsiskverbti į užpultus tinklus, naudojant teisėtus kredencialus ir programinę įrangą, todėl šių įsibrovimų aptikti beveik neįmanoma. Iš ten nusikaltėliai judėjo į šonus šiuose tinkluose, diegdami kenkėjiškas programas, kurios padėjo atlikti ilgalaikį šnipinėjimo darbą.
Pastarųjų atakų nerimą kelia tai, kad Salt Typhoon grupės įsilaužėlių naudojami metodai atitinka ilgalaikę taktiką, pastebėtą ankstesnėse kampanijose, priskirtose Kinijos valstybės agentams. Šie metodai apima teisėtų kredencialų naudojimą kenkėjiškai veiklai užmaskuoti kaip įprastas operacijas, todėl sunku atpažinti įprastomis apsaugos sistemomis Dėmesys plačiai naudojamai programinei įrangai, tokiai kaip VPN ir ugniasienės, rodo išsamias žinias apie įmonių ir vyriausybės aplinkos pažeidžiamumą.
Pažeidžiamumo problema
Išnaudotos pažeidžiamumo galimybės taip pat atskleidžia nerimą keliantį modelį: vėluojama taikyti pataisas ir atnaujinimus Nepaisant gamintojų pateiktų pataisymų, daugelio įmonių veiklos realybė apsunkina galimybę nedelsiant įgyvendinti šiuos sprendimus. Suderinamumo testavimas, būtinybė išvengti misijai svarbių sistemų trikdžių, o kai kuriais atvejais - nepakankamas supratimas apie gedimų sunkumą prisideda prie padidėjusio poveikio lango.
Šis klausimas yra ne tik techninis, bet ir organizacinis bei strateginis, apimantis procesus, prioritetus ir dažnai - įmonių kultūrą.
Svarbus aspektas yra tai, kad daugelis įmonių pleistrų vykdymą traktuoja kaip “antrinę” užduotį, palyginti su veiklos tęstinumu. Tai sukuria vadinamąją prastovos dilemą, kai lyderiai turi nuspręsti tarp momentinių paslaugų trikdžių, kad būtų galima atnaujinti sistemas, ir galimos išnaudojimo ateityje rizikos. Tačiau naujausios atakos rodo, kad šių atnaujinimų atidėjimas gali būti daug brangesnis tiek finansiniu, tiek reputacijos požiūriu.
Be to, suderinamumo testavimas yra dažna kliūtis. Daugelis įmonių aplinkų, ypač tokiose pramonės šakose kaip telekomunikacijos, veikia su sudėtingu senų ir modernių technologijų deriniu. Dėl to kiekvienas atnaujinimas reikalauja didelių pastangų, kad pataisymas nesukeltų problemų priklausomose sistemose. tokio tipo priežiūra yra suprantama, tačiau ją galima sušvelninti taikant tokias praktikas kaip patikimesnė testavimo aplinka ir automatizuoti patvirtinimo procesai.
Kitas punktas, kuris prisideda prie vėlavimo taikyti pataisas, yra nepakankamas informuotumas apie gedimų sunkumą Dažnai IT komandos neįvertina konkretaus CVE svarbos, ypač kai iki šiol jis nebuvo plačiai ištirtas. problema yra ta, kad užpuolikų galimybių langas gali atsidaryti prieš organizacijoms suvokiant problemos rimtumą. tai sritis, kurioje grėsmės žvalgyba ir aiškus technologijų pardavėjų ir įmonių bendravimas gali padaryti viską.
Galiausiai, įmonės turi taikyti aktyvesnį ir prioritetinį pažeidžiamumo valdymo metodą, kuris apima pataisymo procesų automatizavimą, tinklų segmentavimą, galimų įsibrovimų poveikio ribojimą, reguliarių galimų atakų modeliavimo rutiną, kuri padeda rasti galimus “silpnus taškus”.
Pataisos ir atnaujinimo vėlavimų klausimas yra ne tik techninis iššūkis, bet ir galimybė organizacijoms pakeisti savo saugumo metodą, todėl jis tampa judresnis, prisitaikantis ir atsparesnis. visų pirma, šis veikimo būdas nėra naujas, o su juo vykdoma šimtai kitų atakų modus operandi, iš pažeidžiamumų, kurie naudojami kaip vartai Šios pamokos panaudojimas gali būti skirtumas tarp buvimo auka ar pasiruošimo kitai atakai.
