YORUM

Ekim 2023, Britanya Kütüphanesi felç edici bir siber saldırıya uğradı web sitesini, kart geçişleri, okuyucu kayıtları ve bilet satışları dahil olmak üzere çevrimiçi hizmetlerinin çoğunu ve dijital kütüphane kataloğuna erişimi kapattı. Saldırının kütüphaneye maliyeti 7 milyon £ (8,9 milyon ABD Doları) kurtarma maliyetlerinde veya rezerv bütçesinin yaklaşık %40’ında. Her ne kadar çevrimiçi katalog Ocak ayında yenilenmiş olsa da, yıl sonundan önce tam bir iyileşme beklenmiyor.

Britanya Kütüphanesi’nin ilk tepkisi analiz edildiğinde, dikkatlice planlanmış bir müdahale stratejisinin etkili bir şekilde yürütüldüğü ortaya çıkıyor. Büyük Britanya ulusal kütüphanesi, 170 milyon öğeden oluşan geniş deposuyla, hazır ve hazır bir güvenlik ekibinin bulunmaması konusundaki kritik bir gözetimi kabul etti; bu, çevreye aşina olmayan harici bir ekibe aşırı güvenilmesine ve on birinci saatte karıştırmaya neden oldu.

Şeffaflığı memnuniyetle karşılayan, kurum raporunu yayınladı Saldırının ayrıntılarının ana hatlarıyla belirtilmesi ve siber hazırlık ve saldırı azaltma çabalarında diğer kuruluşlara fayda sağlayacak değerli derslerin paylaşılması.

Saldırganlar İngiliz Kütüphanesine Nasıl Girdi?

Saldırganların neden olduğu büyük hasar nedeniyle kesin giriş yöntemi bilinmemekle birlikte, araştırmacılar, harici ortaklar ve dahili BT için uzaktan erişimi kolaylaştırmak amacıyla 2020’de (COVID dönemi) kurulan Terminal Hizmetleri sunucusuna yetkisiz erişimin izini sürmeyi başardılar. yöneticiler.

Bu dış tarafların çoğunun belirli sunuculara ve yazılımlara ayrıcalıklı erişimi vardı. Saldırının ardındaki temel nedenin, muhtemelen kimlik avı, hedef odaklı kimlik avı veya kaba kuvvet kimlik bilgileri yoluyla ayrıcalıklı hesap kimlik bilgilerinin ele geçirilmesi olabileceğine inanılıyor. Kütüphane, olayın ciddiyetine yol açan bir dizi eski araç ve altyapıdan oluşan alışılmadık derecede çeşitli ve karmaşık bir teknoloji varlığına sahip olduğunu itiraf etti. Terminal Hizmetleri sunucusu bir güvenlik duvarı ve antivirüs yazılımı tarafından korunmasına rağmen standart çok faktörlü kimlik doğrulama (MFA) korumasından yoksundu; bu büyük bir gözetimdi.

Hackerlar Ne Çaldı?

Çoğu fidye yazılımı saldırısında olduğu gibi, bu saldırganlar da yer altı pazaryerlerinde paraya dönüştürülebilecek veya fidye ödemesi talep etmek için kullanılabilecek hassas verileri çaldı. Tehdit aktörlerinin 600 GB’lık dosyayı kopyaladığı söyleniyor. Saldırganlar hassas verileri tanımlamak için üç yöntem kullandı:

  • Ağ sürücüleri finans, teknoloji ve İK departmanları.

  • Ağda “pasaport” ve “gizli” gibi hassas kelimelerin taranması amacıyla anahtar kelime saldırıları başlatıldı. Dosyalar ayrıca personelin kişisel disklerinden de kopyalandı.

  • Ağları yönetmek için kullanılan yerel yardımcı programlar ele geçirildi ve daha sonra harici kullanıcılar ve müşterilerin iletişim bilgileri de dahil olmak üzere 22 veritabanının yedek kopyalarını oluşturmak için kullanıldı.

Saldırganlar Hakkında Başka Neler Biliniyor?

Rezil Hizmet olarak fidye yazılımı sağlayıcısı Rhysida sorumluluğu üstlendi saldırı için. Bu suç grubu aynı zamanda Şili ordusuna saldırılarsaldırıların yanı sıra okullar, enerji santralleri, üniversitelerVe devlet kurumları Avrupa genelinde. Rhysida ve bağlı kuruluşları, genellikle savunmadan kaçmayı, fidye için verilerin sızmasını ve sistem kurtarmayı engellemek için sunucuların yok edilmesini içeren bir saldırı metodolojisine sahiptir. Günlük dosyalarını silerek izlerini kapatan ve faaliyetlerinin izlenmesini zorlaştıran bir dizi adli tıp karşıtı taktik kullanıyor. Rhysida yaklaşık 20 Bitcoin talep etti Britanya Kütüphanesi’nden. Birleşik Krallık hükümeti politikası fidye ödenmesini yasaklıyor; bu nedenle kütüphane gaspçılarla işbirliği yapmayı reddettiğinde çete, çalışanların pasaportlarının resimlerini yayınladı ve malzemenin çoğunu Dark Web’e sızdırdı.

Kütüphane Saldırısından Öğrenilen Dersler

  • Teknik borcunuzu değerlendirin: Donanım ve yazılımın desteklenebilir veya faydalı ömürlerinin ötesinde kullanılmasına karar verildiğinde, bu durum güvenlik duruşunda büyük boşluklar bırakabilir. Kuruluşların bu teknik borcu siber açıdan bilmesi ve değerlendirmesi önemlidir. İyileşme sürelerinin ve maliyetlerinin, sıfırdan yeni bir şey inşa etmekten çok daha fazla olduğunu unutmayın.

  • Siber riske ilişkin bütünsel bir bakış açısına sahip olun: Kabul etme, hafifletme veya aktarma konusunda karar vermekle görevli temel iş paydaşlarının siber riskler Bu riskler hakkında kapsamlı bir anlayışa sahip olun. Bu tür bir anlayış, kaynakların etkili bir şekilde tahsis edilmesi, gerekli eylemlerin önceliklendirilmesi ve bunların gerçekleştirilmesi gereken sıranın belirlenmesi için çok önemlidir.

  • İyi bilgi yönetimi uygulayın: Çağdaş tehdit aktörleri genellikle ele geçirmek için belirli varlıkları hedef alıyor. Bilgi yönetiminizin sağlam bir şekilde kavranamaması, en kritik varlıklarınızın konumu ve önemi konusunda belirsizliğe yol açarak uzun süren, zorlu ve maliyetli bir kurtarma sürecine yol açabilir. Bu nedenle, zayıflıkların nerede bulunduğunu anlamak için simülasyon alıştırmalarının sık sık yapılması tavsiye edilir. Kuruluşlar, ihtiyaç duyulan kaynakları ilk saat içinde acilen harekete geçirerek patlama yarıçapını önemli ölçüde sınırlayabilir.

  • Derinlemesine savunma yaklaşımını benimseyin: Derinlemesine savunma güvenlik yaklaşımı bir düşman ortamınıza sızdığında bile patlama yarıçapını kısaltmaya ve hasarı sınırlamaya yardımcı olabilecek bir tür katmanlı güvenliktir. Örneğin, Britanya Kütüphanesi sunucularında MFA’yı etkinleştirmiş olsaydı veya ağını birden fazla segmente ayırmış olsaydı, saldırganın varlığını erken tespit etme, yanal hareket yapma ilerlemesini sınırlama ve veri sızmasını önleme konusunda üstün bir konumda olacaktı. .

Britanya Kütüphanesi saldırısı herkes için bir uyandırma çağrısıdır bilgi kurumları, kütüphanelerve eski altyapı, sınırlı kaynaklar ve fikri mülkiyetlerinin ve araştırmalarının önemli bir kısmının dijital formatta mevcut olması açısından benzer risklere sahip, devlet tarafından finanse edilen kuruluşlar. Bu tür kuruluşlar, kendilerini karmaşık ve yıkıcı siber saldırılardan korumaya yardımcı olmak için yukarıdaki en iyi uygulamaları izlemelidir.



siber-1