Какие уроки могут извлечь ИТ-директора из взлома Colonial Pipeline?
Рассказы о последствиях взлома Colonial Pipeline продолжают множиться. Это история, которая служит для того, чтобы подчеркнуть, что нарушение приводящее к остановке базы данных или веб-сайта, — это одно, а сбой ключевой инфраструктуры - совсем другое, считает Дрю Робб (Drew Robb), автор блога на известном ресурсе для ИТ и ИБ-директоров https://www.cioinsight.com/
Никакая атака программ-вымогателей не захватила воображение публики так, как фиаско Colonial Pipeline. Миллионы, заплаченные в виде выкупа, длинные очереди на заправочных станциях, стремительно растущие цены, медлительность федерального правительства, даже публичное объяснение генерального директора Джозефа Блаунта относительно того, почему компания заплатила выкуп - у всего этого есть много возможностей для изучения.
Сейчас следователи выясняют точные причины. Но какими бы ни были особенности взлома Colonial Pipeline, сопутствующие факторы вряд ли выйдут за рамки этих знакомых уязвимостей, на которые ИТ-директорам необходимо обратить пристальное внимание.
Фишинг
Проблема: достаточно одного доверчивого сотрудника, щелкнувшего вредоносную ссылку или вложение в электронном письме, и злоумышленники оказались внутри. И хотя многие знают, что нельзя открывать электронное письмо от иностранного банкира, которому нужна ваша помощь в возвращении миллионов золотых африканских денег, фишинг на уровне предприятия по-прежнему работает .
Решение: вложить значительные средства в обучение вопросам безопасности, чтобы научить сотрудников, как избежать обмана с помощью уловок социальной инженерии. Все технологии безопасности в мире и лучшая ИТ-команда во вселенной могут быть полностью побеждены одним невнимательным сотрудником.
Резервные копии
Проблема: в случае атаки программы-вымогателя жизненно важно иметь чистую резервную копию, чтобы вы могли быстро восстановить работоспособность пораженных систем.
Решение: помимо хорошего программного обеспечения для резервного копирования убедитесь, что у вас есть возможность регулярно тестировать резервные копии и сканировать их, чтобы убедиться, что ваши резервные копии не содержат программ-вымогателей.
Air Gap (физическая изоляция)
Проблема: Любая система, работающая в режиме онлайн, например, резервное копирование на основе диска, подвержена атакам. Если туда проникнут злоумышленники, они могут заблокировать вас и потребовать выкуп. Для предотвращения таких атак можно и нужно использовать все обычные меры безопасности.
Решение: Единственный надежный способ — это т.н. «воздушный зазор», представляющий собой физический барьер, который не имеет доступа к сети, и находится между интернетом и данными. Этого можно достичь с помощью современных систем архивирования и резервного копирования на ленту, которые хранят ленты в автономном режиме, но при необходимости остаются доступными в течение нескольких минут благодаря своей автоматизированной природе.
Не платите выкуп
Проблема: директивы ФБР ясно дают понять, что выкуп не следует платить, так как это побуждает преступников продолжать атаковать. Кроме того, у тех, кто платит, нет гарантии, что они восстановят доступ или что злоумышленники сохранили какой-то бэкдор или вредоносный код, который может позволить им снова атаковать.
Решение: не платите, если только финансовые затраты на отказ в доступе не сделают требования выкупа похожими на кормушку. Но вы сможете находиться в лучшем положении, если успели реализовать пункты 2 и 3 выше, потому что у вас сохранится все или большая часть данных для относительно быстрого восстановления.
Сегментация
Проблема: «Одна сеть, которая будет управлять всем» - плохая идея. Один из способов предотвратить захват корпоративных ресурсов программами-вымогателями – внутреннее сегментирование сети. Если вы это сделаете, вредоносные программы не могут свободно перемещаться с одной зараженной машины на другую.
Решение: спросите свой ИТ-отдел, что они делают с микросегментацией. Настаивайте, чтобы они внедрили некоторую форму детальной сегментации в ИТ-инфраструктуре, чтобы ограничить видимую поверхность атаки. Да, один сегмент может оказаться скомпрометированным и стать жертвой программ-вымогателей. Но другие останутся в безопасности, поскольку они будут отгорожены.
Безопасность с нулевым доверием
Проблема: отчасти проблема заключается в том, что одной взломанной учетной записи может хватить злоумышленникам для входа в сеть. А если они получат права администратора – на этом все может закончиться.
Решение. Внедрение структур и технологий безопасности с нулевым доверием, поскольку они обеспечивают надлежащую авторизацию и проверку, а также ограничивают доступ к приложениям, данным и сетям. В рамках этого подхода все ресурсы микросегментированы, чтобы обеспечить только необходимый объем прав доступа. Многие из последних межсетевых экранов имеют функции микросегментации и нулевого доверия.
Цифровая трансформация
Проблема: большинство компаний поддались соблазну цифровой трансформации. Цифровая трансформация обновляет все системы, чтобы они могли полностью интегрироваться, избавляет от старых аналоговых и устаревших систем и переносит мир операционных технологий в мир ИТ. Обратной стороной является то, что когда все подключено, плохие парни могут закрыть что угодно - например, трубопровод или больницу.
Решение: принудительное использование многофакторной аутентификации и шифрования данных при хранении и передаче, а также реализация безопасности с нулевым доверием, улучшенная защита конечных точек и более быстрое реагирование на инциденты. И используйте осторожный подход к цифровой трансформации, чтобы ваши инициативы по оцифровке не опережали необходимость их защиты.
Патчи
Проблема: помимо фишинга, неустановленные исправления представляют собой следующую самую большую дыру в безопасности на предприятии. Шокирует тот факт, что срочные исправления безопасности, сделанные несколько месяцев назад, все еще используются на многих предприятиях.
Решение. Снизьте нагрузку на ИТ, внедрив автоматическое и централизованное управление исправлениями и, в идеале, передав всю функцию доверенному поставщику. Печальная правда заключается в том, что этой функцией часто пренебрегают, поскольку у ИТ есть другие неотложные задачи и приоритеты.
***
С такими нарушениями, как взлом Colonial Pipeline, которые регулярно появляются в заголовках, ИТ-директора никогда не были в потенциально более сильной позиции для достижения целей своих компаний в области безопасности и укрепления инфраструктуры. Доступ к сети с нулевым доверием и сегментация могут не закрыть все бреши в безопасности. Но это необходимые шаги.
Опубликовано 31.05.2021