Недавние атаки, предположительно совершенные китайской группировкой Salt Typhoon на телекоммуникационные компании и страны среди них, были бы Бразилия. "SA оставило весь мир в боевой готовности. Новости говорят об уровне сложности вторжений и, что еще более тревожно, "преступники теоретически все равно будут находиться в сетях этих компаний".
Первая информация об этой группе появилась в 2021 году, когда команда Microsoft Threat Intelligence опубликовала информацию о том, как Китай успешно проник в несколько интернет-провайдеров для слежки за компаниями и сбора данных. Одна из первых атак, проведенных группой, была связана с взломом маршрутизаторов Cisco, которые служили шлюзом для мониторинга интернет-активности, происходящей через эти устройства. Как только доступ был получен, хакеры смогли расширить свое влияние на дополнительные сети. В октябре 2021 года Касперский подтвердил, что киберпреступники уже расширили атаки на другие страны, такие как Вьетнам, Таиланд и Индонезия.
Если первые уязвимости были известны уже с 2021 года, ТО ПОЧЕМУ мы все еще подверглись атаке? Ответ заключается именно в том, как мы ежедневно справляемся с этими уязвимостями.
Метод нарушения
Теперь же в последние дни правительственная информация подтвердила серию атак на компании и страны“ - случившуюся из известных уязвимостей в VPN-приложении, производителе Ivanti, Fortinet Forticlient EMS, используемом для мониторинга серверов, брандмауэров Sophos и также серверов Microsoft Exchange.
Уязвимость Microsoft была раскрыта в 2021 году, когда вскоре после этого компания опубликовала исправления. Недостаток брандмауэров Sophos был опубликован в 2022 году и исправлен в сентябре 2023 года. Проблемы, обнаруженные в Forticlient, стали достоянием общественности в 2023 году и исправлены в марте 2024 года, а также проблемы Ivanti, у которой также были зарегистрированы CVE (общие уязвимости и воздействия) в 2023 году. Однако компания исправила уязвимость только в октябре прошлого года.
Все эти уязвимости позволили преступникам легко проникнуть в атакованные сети, используя законные учетные данные и программное обеспечение, что делает обнаружение этих вторжений практически невозможным. Оттуда преступники перемещались в этих сетях вбок, развертывая вредоносное ПО, что помогло в длительной шпионской работе.
Что вызывает тревогу в недавних атаках, так это то, что методы, используемые хакерами группы Salt Typhoon, соответствуют долгосрочной тактике, наблюдавшейся в предыдущих кампаниях, приписываемых китайским государственным агентам. Эти методы включают использование законных учетных данных для маскировки вредоносных действий в качестве рутинных операций, что затрудняет их идентификацию с помощью обычных систем безопасности. Фокус на широко используемом программном обеспечении, таком как VPN и брандмауэры, демонстрирует глубокое знание уязвимостей в корпоративной и государственной среде.
Проблема уязвимости
Используемые уязвимости также обнаруживают тревожную закономерность: задержки в применении исправлений и обновлений Несмотря на исправления, доступные производителям, операционная реальность многих компаний затрудняет немедленное внедрение этих решений. Тестирование совместимости, необходимость избегать сбоев в критически важных системах, а в некоторых случаях недостаточная осведомленность о серьезности сбоев способствует увеличению окна воздействия.
Этот вопрос не только технический, но и организационный и стратегический, затрагивающий процессы, приоритеты и, зачастую, корпоративную культуру.
Критический аспект заключается в том, что многие компании рассматривают правоприменение патчей как задачу “secondary” по сравнению с операционным continuity.This создает так называемую дилемму простоя, когда лидерам необходимо решить между кратковременным сбоем обслуживания для обновления систем и потенциальным риском будущей эксплуатации. Однако недавние атаки показывают, что задержка этих обновлений может быть намного дороже, как в финансовом, так и в репутационном плане.
Кроме того, тестирование совместимости является общим узким местом.Многие корпоративные среды, особенно в таких отраслях, как телекоммуникации, работают со сложной комбинацией устаревших и современных технологий. Это делает каждое обновление требующим значительных усилий, чтобы гарантировать, что патч не вызывает проблем в зависимых systems.This тип ухода понятен, но может быть смягчен путем принятия таких практик, как более надежные тестовые среды и автоматизированные процессы проверки.
Еще один момент, который способствует задержке в применении патчей, - это недостаточная осведомленность о серьезности сбоев. часто ИТ-команды недооценивают важность конкретного CVE, особенно когда он не был широко изучен до сих пор. Проблема в том, что окно возможностей для злоумышленников может открыться до того, как организации осознают серьезность проблемы. Это область, где анализ угроз и четкая связь между поставщиками технологий и компаниями могут иметь решающее значение.
Наконец, компаниям необходимо принять более активный и приоритетный подход к управлению уязвимостями, который включает в себя автоматизацию процессов исправления, сегментацию сетей, ограничение воздействия возможных вторжений, процедуру регулярного моделирования возможных атак, что помогает найти потенциальные “weak points”.
Проблема задержек исправлений и обновлений - это не только техническая задача, но и возможность для организаций трансформировать свой подход к безопасности, сделав его более гибким, адаптируемым и устойчивым.Прежде всего, этот режим работы не нов, и с его помощью проводятся сотни других атак образ действий, из уязвимостей, которые используются в качестве шлюза. использование этого урока может быть дифференциалом между быть жертвой или быть готовым к следующей атаке.
