การโจมตีล่าสุดที่อ้างว่าดําเนินการโดยกลุ่ม Salt Typhoon ของจีนต่อบริษัทโทรคมนาคมและประเทศ – ในพวกเขาจะอยู่ประเทศบราซิล – left the whole world on alert (ทําให้โลกทุกคนในเตือน. ข่าวสารพูดคุยถึงระดับความซับซ้อนของการบุกและ, สิ่งที่เป็นที่น่าตื่นตระหนกมากกว่า – ผู้กระทําผิด, ทางทฤษฎี, ยังคงจะอยู่ภายในเครือข่ายของบริษัทเหล่านี้
ข้อมูลแรกเกี่ยวกับกลุ่มนี้ปรากฏขึ้นใน 2021, เมื่อทีมของ Threat Intelligence ของ Microsoft ได้เผยแพร่ข้อมูลเกี่ยวกับวิธีการที่จีนกล่าวได้ลักลอบอย่างประสบความสําเร็จในหลายผู้ให้บริการบริการอินเทอร์เน็ต, เพื่อเฝ้าระวังบริษัท – และจับกุมข้อมูล. หนึ่งในการโจมตีแรกดําเนินการโดยกลุ่มคือจากการละเมิดใน router Cisco, ที่ทําหน้าที่เป็น gateway เพื่อติดตามกิจกรรมอินเทอร์เน็ตที่เกิดขึ้นผ่านทางอุปกรณ์เหล่านั้น. เมื่อใดที่การเข้าถึงถูกได้รับ, พวกแฮกเกอร์สามารถขยายการเข้าถึงของพวกเขาไปยังเครือข่ายเพิ่มเติม. ใน ตุลาคม ปี 2021, Kaspersky ยืนยันว่าผู้ก่ออาชญากรรมไซเบอร์ได้ขยายการโจมตีไปยังประเทศอื่น ๆ เช่น เวียดนาม, อินโดนีเซีย, ไทยแลนด์, มาเลเซีย อียิปต์, เอธิโอเปียและอัฟกานิสถาน.
ถ้าความอ่อนแอแรกถูกรู้อยู่แล้วตั้งแต่ 2021 – ทําไมเรายังถูกโจมตี? คําตอบอยู่, อย่างแม่นยำ, ในวิธีการที่เราจัดการกับความเปราะบางเหล่านี้ในวันต่อวัน
วิธีการของการละเมิด
ตอนนี้, ในช่วงวันล่าสุด, ข้อมูลจากรัฐบาลสหรัฐฯได้ยืนยันการโจมตีต่อเนื่องต่อ ⁇ บริษัทและประเทศ ⁇ – ที่จะมีเกิดขึ้นจากความอ่อนแอที่รู้จักกันในแอพของ VPN, จากผู้ผลิต Ivanti, ใน Fortinet Forticlient EMS, ใช้เพื่อทําการติดตามในเซอร์เวอร์, ใน firewalls Sophos และยังในเซิร์ฟ Microsoft Exchange.
ความเปราะบางของ Microsoft ถูกเปิดเผยในปี 2021 เมื่อ, ทันใน sequence, บริษัทได้ตีพิมพ์การแก้ไข. ความบกพร่องใน firewalls Sophos ได้รับการตีพิมพ์ในปี 2022 – และแก้ไขใน กันยายน ปี 2023. ปัญหาที่พบใน Forticlient ได้กลายเป็นสาธารณะในปี 2023, และแก้ไขในเดือนมีนาคม ปี 2024 – เช่นเดียวกับของ Ivanti, ที่ยังมี CVEs (Common Vulnerabilities and Exposures) ของพวกเขาบันทึกในปี 2023. บริษัท, ในระหว่างนี้, เพียงแก้ไขความเปราะบางในเดือน ตุลาคมที่แล้ว.
ทั้งหมดความเปราะบางเหล่านี้ทําให้อนุญาตให้ผู้ร้ายสามารถ infiltrate ได้อย่างง่ายในเครือข่ายที่ถูกโจมตี, โดยใช้เอกสารสําคัญและซอฟต์แวร์ถูกกฎหมาย, สิ่งที่ทําให้การตรวจจับการบุกเหล่านี้เกือบไม่สามารถ. จากนั้น, ผู้กระทําผิดได้เคลื่อนไปด้านข้างภายในเครือข่ายเหล่านี้, การปลูก malwares, ที่ช่วยได้ในการทํางานการสอดแนมระยะยาว.
สิ่งที่เป็นที่น่าตื่นตระหนกในการโจมตีล่าสุดคือว่าวิธีการที่ใช้โดยแฮกเกอร์ของกลุ่ม Salt Typhoon เป็นสอดคล้องกับกลยุทธ์ระยะยาวที่สังเกตเห็นในแคมเปญก่อนหน้านี้ถูกตีให้กับเจ้าหน้าที่รัฐจีน. วิธีเหล่านี้รวมถึงการใช้ credentials ที่ถูกกฎหมายเพื่อปกปิดกิจกรรมอันตรายเช่นการดําเนินงานประจําวัน, ทําให้ยากในการระบุตัวโดยระบบความปลอดภัยธรรมดา. การโฟกัสในซอฟต์แวร์ที่ใช้อย่างแพร่หลาย, เช่น VPNs และ firewalls, แสดงความรู้อย่างลึกซึ้งเกี่ยวกับความเปราะบางในสภาพองค์กรและรัฐบาล
ปัญหาแห่งความเปราะบาง
ความเปราะบางที่ถูกข่มขืนยังเปิดเผยรูปแบบที่น่ากังวล: ความล่าช้าในการดําเนินการของ patch และอัพเดท. แม้ว่าการแก้ไขที่ให้บริการโดยผู้ผลิต, ความเป็นจริงทางการดําเนินงานของหลายบริษัททําให้ยากในการดําเนินการทันทีของคําตอบเหล่านี้. การทดสอบความเข้ากัน, ความจําเป็นในการหลีกเลี่ยงความขัดขวางในระบบความสําคัญภารกิจ และ, ในบางกรณี, การขาดความตระหนักใจเกี่ยวกับความรุนแรงของความผิดพลาดมีส่วนร่วมต่อการเพิ่มหน้าต่างการสัมผัส
ประเด็นนี้ไม่เพียงแค่เทคนิค, แต่ยังเป็นองค์กรและกลยุทธ์, โดยเกี่ยวข้องกับกระบวนการ, ความสําคัญและ, บ่อยครั้ง, วัฒนธรรมองค์กร
ด้าน critical หนึ่งคือว่าบริษัทหลายบริษัทรักษาการดําเนินการของ patch เป็นงาน
นอกจากนี้, การทดสอบความสอดคล้องเป็นจุด bottleneck ทั่วไป. หลายสภาพบริษัทฯ, โดยเฉพาะในภาคธุรกิจเช่นโทรคมนาคม, ดําเนินการด้วยการผสมผสานที่ซับซ้อนของเทคโนโลยีมรดกและสมัยใหม่. นี่ทําให้ว่าแต่ละการอัพเดทต้องการความพยายามที่น่าสนใจเพื่อรับรองว่าแพทช์จะไม่ทําให้ปัญหาในระบบที่ขึ้นอยู่กับ. ความระมัดระวังชนิดนี้คือเข้าใจได้, แต่สามารถถูกบรรเทาด้วยการยอมรับการปฏิบัติเช่นสภาพแวดล้อมการทดสอบที่แข็งแกร่งกว่าและกระบวนการอัตโนมัติของการรับรอง
อีกจุดหนึ่งที่ช่วยให้ความล่าช้าในการดําเนินการของ patch คือการขาดความตระหนักใจเกี่ยวกับความรุนแรงของความผิดพลาด. บ่อยครั้ง, ทีมงานไอทีประเมินน้อยความสําคัญของ CVE ที่เฉพาะ, โดยเฉพาะเมื่อมันไม่ได้ถูกสํารวจอย่างแพร่หลายจนถึงเวลานี้. ปัญหาคือว่าหน้าต่างของโอกาสสําหรับผู้โจมตีอาจจะเปิดก่อนที่องค์กรจะตระหนักถึงความรุนแรงของปัญหา. นี้เป็นสนามหนึ่งที่ปัญญาของภัยคุกคามและการสื่อสารที่ชัดเจนระหว่างผู้ให้บริการเทคโนโลยีและบริษัทสามารถทําให้ทุกความแตกต่าง
สุดท้าย, บริษัทต่าง ๆ ต้องใช้วิธีการที่เชิงปฏิกิริยาและจัดลําดับความสําคัญมากขึ้นสําหรับการจัดการความเปราะบาง, ซึ่งรวมถึงการอัตโนมัติของกระบวนการ patching, การแบ่งแยกของเครือข่าย, จํากัดผลกระทบของอาจการบุกรุก, การประจําการประจําการจําลองอาจเกิดการโจมตี, สิ่งที่ช่วยหาจุดที่เป็นไปได้ ⁇ จุดอ่อน ⁇.
ประเด็นของความล่าช้าในการแพทช์และอัปเดตไม่เพียงเป็นความท้าทายทางเทคนิค, แต่ยังเป็นโอกาสสําหรับองค์กรให้เปลี่ยนวิธีการของความปลอดภัย, ทําให้มันคล่องตัวขึ้น, ปรับตัวและยืดแข็ง. เหนือสิ่งอื่นใด, วิธีการดําเนินการนี้ไม่ได้เป็นใหม่, และร้อยของการโจมตีอื่น ๆ ถูกดําเนินการด้วยอันเดียวกันวิธีการทำงาน, จากจากจุดอ่อนที่ถูกใช้เป็นประตูทางเข้า. การยึดบทเรียนนี้อาจเป็นความแตกต่างระหว่างเป็นเหยื่อหรือจะเป็นเตรียมสําหรับการโจมตีครั้งต่อไป
