Bu hafta başlarında Ukrayna’yı işgali nedeniyle Rusya’ya yönelik ABD öncülüğündeki yaptırımlar, bölgeden ABD kuruluşlarına ve diğer müttefik ülkelerdekilere yönelik misilleme ve yayılma amaçlı siber saldırılar konusunda önemli endişelere yol açtı.
Birçoğu, saldırıların disk silecekleri ve fidye yazılımlarının kullanımını içeren yıkıcı kampanyalardan, dağıtılmış hizmet reddi saldırılarına, kimlik avına, dezenformasyona, yanlış bilgilendirmeye ve etkileme kampanyalarına kadar geniş bir yelpazeyi çalıştırmasını bekliyor. Güvenlik uzmanları, bazı saldırıların devlet destekli Rus tehditleri tarafından hedef alınacağını ve gerçekleştirileceğini tahmin ediyor. Diğerleri muhtemelen Rus çıkarlarına sempati duyan aktörler tarafından başlatılacak ve diğerleri muhtemelen Ukrayna’dan yayılacak ve NotPetya kötü amaçlı yazılımının birkaç yıl önce yaptığı gibi ikincil hasara neden olacak.
İşte güvenlik uzmanlarının, kuruluşların bu saldırılara hazırlıklı olmak için hemen şimdi alması gerektiğini söylediği yedi önlem. Tavsiyelerin çoğu, kuruluşların halihazırda almış olması gereken önlemleri içerir. Ancak yapmazlarsa, şimdi bunları uygulamak için iyi bir zaman, diyor uzmanlar.
1. Maruziyetinizi Değerlendirin: Herkes Aynı Risklerle Karşı Karşıya Değil
Sophos’un baş araştırmacı bilim adamı Chester Wisniewski, kuruluşların Rus siber saldırılarına maruz kalma durumunun önemli ölçüde değiştiğini söylüyor.
Ukrayna’da iş yapan veya yapmakta olan şirketler en kötüsünü beklemeli ve tüm güvenlik kontrollerinin mümkün olduğunca güncel olduğundan emin olmalıdır. Kimlik bilgilerinin kötüye kullanılmasının izlenmesi özellikle önemlidir. Wisniewski, “Çatışma sırasında çalışmaya devam etmeyi düşünüyorsanız, iletişimin güvenilmez olmasını ve başka yollarla nasıl iletişim kuracağınıza dair yedek planlarınızın olmasını beklemelisiniz” diyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Ukraynalı meslektaşları ile çalışan kuruluşların “trafikleri bu kuruluşlardan izleme, denetleme ve izole etme” ve bu trafik için erişim kontrollerini gözden geçirme konusunda özel dikkat göstermelerini tavsiye etti. Tavsiye, CISA’nın bir belgede bir araya getirdiği uzun bir ipucu listesinden biridir. Kalkanlar Yukarı.
Bölgede iş yapan, ancak Polonya, Romanya, Estonya, Letonya, Litvanya veya Moldova gibi özel olarak Ukrayna’da olmayan kuruluşların Ukrayna’yı etkilemek için tasarlanmış saldırıların ikincil zararlarının kurbanı olma olasılığı oldukça yüksektir. Wisniewski, Sophos’un Perşembe günü bir disk silme kötü amaçlı yazılım aracı olduğunu gözlemlediği göstergelere işaret ediyor. Hermetik Silecek Ukrayna kuruluşlarını hedef almasına rağmen Letonya ve Litvanya’daki bazı yüklenici yerlerini etkiliyor.
Wisniewski, “Rusya’nın doğrudan NATO üyelerini hedef almasını beklemiyorum, ancak daha çok Ukrayna’yı etkilemeyi amaçlayan NotPetya saldırılarından benzer bir yansıma gördük” dedi.
Bölgeyle hiçbir bağlantısı olmayan örgütler, batıya zarar vermek isteyen bağımsız Rusya merkezli tehdit aktörlerinin ve Rus devletinin düşmanları olarak algılananların kurbanı olma riskiyle karşı karşıya. Wisniewski, “Çatışma başlamadan önce bu sonuç hakkında endişeliydik ve Conti fidye yazılımı grubunun ortaya çıktığını ve ‘Rus hükümetine tam desteklerini’ ilan ettiğini fark ettik” diyor.
2. Saldırı Yüzeyinizi Küçültün
Kuruluşlar, aşağıdaki gibi araçları kullanarak açık ağ sınırlarını/DMZ’yi arayarak güvenlik duruşlarını doğrulamalıdır. search.censys.io ve shodan.iodiyor Blumira’nın CTO’su ve kurucu ortağı Matthew Warner.
Warner, Sysmon’u çevreye yerleştirmenin de iyi bir fikir olduğunu söylüyor. “Sysmon, ortamınız genelinde varsayılan Windows günlük kaydıyla elde edemeyeceğiniz geniş bir görünürlük sağlayabilir. Bu anlamda, esasen EDR’nin yapmaya çalıştığı şeyi taklit eder” diyor. Bununla birlikte, kuruluşlar genellikle Sysmon verilerine bakarak iyi bir aslına uygunluk ve tespitler elde edebilir. Warner, “Çoğu zaman Sysmon, davranışları bir uç nokta algılama ve yanıt (EDR) aracından önce bile algılar” diyor.
Ağdaki bir komut ve kontrol hedefine seslenen kötü amaçlı yazılım belirtileri için giden trafiği izleyin. Ulus devlet kötü amaçlı yazılımlarını tespit etmek son derece zor olsa da, çoğu durumda kötü amaçlı yazılımın bir şekilde iletişim kurması gerekir. İhlalRX dedim.
Rusya’nın Ukrayna’yı işgalinden bir hafta önce, Ulusal Güvenlik Ajansı, kuruluşların Cisco yönlendiricilerdeki cihaz yapılandırma dosyalarındaki kimlik bilgilerini korumak için güçlü parola türleri kullanma ihtiyacına ilişkin bir tavsiye yayınladı.
“Son yıllarda ağ altyapılarının tavizlerinin sayısındaki artış, ağ cihazlarına kimlik doğrulamanın önemli bir husus olduğunu hatırlatıyor.” NSA kaydettiRus saldırılarına veya Ukrayna’daki mevcut çatışmaya atıfta bulunmuyor.
3. Temelleri Yürütün
Warner, Rus APT’lerinin diğer son derece etkili gruplara benzer oyun kitaplarını takip ettiğini söylüyor. Teknikleri, taktikleri ve prosedürleri (TTP’ler) sır değildir, diye belirtiyor. HermeticWiper gibi diski temizleyen kötü amaçlı yazılımları içerenler gibi Ukrayna’da rapor edilen siber saldırıların çoğunun, saldırganların daha önce erişime sahip olduğu görünen sistemleri içermesi de önemlidir.
Bu nedenle, bu tehditlere hazırlanmak, her zaman olduğu gibi güvenlik temellerine dikkat etmeyi gerektirir. Wisniewski, “Ne yazık ki, tavsiye, çok faktörlü kimlik doğrulama vb. kullanarak, yamalama konusunda normalden farklı değil” diyor. “Son zamanlarda sileceklerden daha fazla etkinlik gördüğümüz göz önüne alındığında, yedeklemeler muhtemelen her zamankinden daha kritik, Conti gibi intikam almak için ödemezseniz ortamınızı silmeyi seçebilecek fidye yazılımı çeteleri tarafından bile.”
Warner, kuruluşların örneğin Microsoft 365, G Workplace, Okta ve diğer benzer ortamlarda MFA’yı etkinleştirerek Windows ortamlarına dikkat etmelerini önerir; eski kimlik doğrulamasını devre dışı bırakma; ve makroların Microsoft Office ortamlarında çalışmasını engelleme.
Yönlendiricilerinizin güncellendiğinden, güvenli bir parolaya sahip olduğundan ve yönetici arayüzünü dünyaya göstermediğinden emin olun, diyor Johannes UllrichSANS Teknoloji Enstitüsü dekanı.
Bugcrowd’un kurucusu ve CTO’su Casey Ellis, “Ayrıca, bir şekilde veya bir şekilde zaten ihlal edilmiş gibi davranmaları için hedef alınabileceklerine inanan kuruluşlar için de iyi bir zaman” diyor. Bu sadece bir masa üstü egzersizi olsa bile, yapın. Ellis, davetsiz misafir algılama ve olay müdahale planlarının güncel olduğundan emin olun, diyor.
CISA, kuruluşların bir siber güvenlik olayı veya şüpheli olay durumunda ana temas noktaları olan bir kriz müdahale ekibi belirlemelerini tavsiye etti.
4. Bu B2B VPN Bağlantılarını İzleyin
Kuruluşların karşı karşıya olduğu büyük bir risk, Ukrayna’daki siber saldırılardan kaynaklanan ikincil hasarların kurbanı olmaktır. Bir örnek, Ukrayna’yı hedef alan Rus saldırıları olarak başlayan ancak dünya çapında binlerce kuruluşu etkileyen 2017 NotPetya salgınıdır. SANS Enstitüsü’nde ortaya çıkan güvenlik trendleri direktörü John Pescatore, “Güvenlik duvarı kuralları gibi güvenlik kontrolleri tarafından filtrelenmemiş B2B VPN bağlantıları, bu tür yayılmanın en olası yollarıdır” diyor. kaynak merkezi kuruluşların Ukrayna ile ilgili potansiyel siber tehditleri yönetmesine yardımcı olmak için. SANS, kuruluşların ortamdaki tüm B2B VPN bağlantılarını hemen bulmasını ve saldırganlar için ilk giriş noktası olmalarını önlemek için önlemler almasını tavsiye ediyor.
SANS’ın B2B VPN’ler için tavsiyesi, tümünde yüksek riskli protokolleri engellemeyi veya iş gereksinimleri B2B VPN’lerde herhangi bir protokol engellemeye izin vermiyorsa yüksek riskli protokoller için trafik hedeflerini sınırlamayı içerir. Ayrıca tüm B2B VPN çıkış noktalarında ağ akışının izlenmesini ve bir şey olursa bu noktaların bağlantısını acilen kesmeyi planlamasını önerir.
Pescatore, “En azından bilinen tehlikeli protokollerin engellendiğinden ve ideal olarak yalnızca gerekli minimum bağlantı noktalarına, protokollere ve uygulamalara izin verildiğinden emin olun” diyor.
5. iletişim kurun
Güvenlik kontrollerini uygulayarak, Ukrayna ile ilgili olası siber saldırılara hazırlanmak için halihazırda sahip olmadıkları çok fazla kuruluş yapabilecek. Bu nedenle, çalışanları gelişmiş kimlik avı saldırıları, yanlış bilgilendirme kampanyaları ve Rus siber saldırganlarının kurumsal sistemleri tehlikeye atma girişimleri konusunda uyarmak, bu vektörlere maruz kalmayı azaltmanın anahtarıdır. Warner, “Tüm çalışanları daha bilinçli ve dikkatli olmaları ve ilgili e-postaları veya dosyaları en kısa sürede bildirmeleri konusunda bilgilendirin” diyor.
“İnsanların en olası saldırı vektörü olduğu konusunda tüm şirketinize bir hatırlatma gönderin” BrightRX kuruluşların olası saldırılara nasıl hazırlanmaları gerektiğine dair bir blogda söyledi. “Örneğin, onlara kimlik avı saldırılarını hatırlatın ve olağandışı etkinlikleri bildirmelerini söyleyin.”
Güvenlik ekipleri, Rusya’yı eleştiren sosyal medya gönderileri gibi siyasi açıdan hassas konularla ilgili yönetici bağlantılarını veya iletişimleri kontrol etmelidir. BrightRX, “İşiniz nedeniyle değil, bu görüşler nedeniyle bir hedef olabilirsiniz” dedi. Olay müdahale ve hazırlık firması, kötü niyetli içeriden gelen olası güvenlik sorunlarını ele almak için içeriden öğrenenlerin bir taktik kitabı koymayı da düşünün.
6. Değişiklikleri En Aza İndirin
Pescatore, BT’nin değişiklikleri en aza indirmesi ve tüm yeni yazılımları/yürütülebilir dosyaları, oluşturulan yeni hesapları ve ortamdaki yüksek ayrıcalıklara sahip hesapları araştırması gerektiğini söylüyor. Ayrıca, özellikle ayrıcalıklı hesaplarda güçlü kimlik doğrulama kullanımının artırılmasını ve değişiklik denetimi ile değişiklik izlemenin artırılmasını tavsiye ediyor.
Pescatore, “Bu çatışma yönetimin dikkatini size veriyorsa, geçici de olsa temel güvenlik hijyeninde kazanç sağlayın” diyor.
7. Yüksek Riskli Kuruluşlar ISAC Üyeliğini Düşünmeli
ABS Grubu bu hafta yaptığı açıklamada, petrol, doğal gaz ve elektrik sektörlerindeki kuruluşların petrol, gaz ve güvenilir elektrik akışını bozmaya odaklanan saldırılar için yüksek risk altında olduğunu söyledi. Bu sektörlerdeki iş ve teknoloji liderleri, uygun endüstri bilgi paylaşım ve analiz merkezlerine (ISAC) üyelik sağlamak için bilgi teknolojisi (BT) ve operasyonel teknoloji (OT) ekipleriyle bağlantı kurmalıdır. ABS Grubu dedim. ISAC’ler, kritik altyapı operatörlerinin sektöre özgü siber tehditlere ve bunlara nasıl hazırlanılacağına, bunlara karşı nasıl savunulacağına ve hafifletileceğine dair bilgi sahibi olmalarına yardımcı olmak için tasarlanmıştır.
ABS Group ayrıca, bu sektörlerdeki kuruluşların müdahale prosedürleri uygulamasını ve teşebbüs edilen veya teyit edilen tüm siber izinsiz girişleri ilgili ISAC’larına, kuruluşun güvenlik şefine ve Enerji Bakanlığı’na (DOE) veya Federal Soruşturma Bürosu’na (FBI) derhal bildirmelerini tavsiye etti.
Pek çok kuruluş muhtemelen kendilerini Rus siber saldırılarından düşük risk altında olarak algılıyor. Ancak belirli hedefler olmadıkları doğru olsa da, diğerleri kadar Rusya’ya sempati duyan tehdit aktörlerinin fırsatçı saldırılarına kapılmaları veya NotPetya’da olduğu gibi ikincil zararların kurbanı olmaları muhtemeldir.
Güvenlik uzmanları, bu nedenle tüm kuruluşların güvenlik duruşlarını gözden geçirmesinin ve sıkılaştırmasının iyi bir fikir olduğunu söyledi.