Geçen hafta CDK Global’e yönelik ülke çapındaki bir siber saldırının ülke çapındaki etkisi, dikkatleri, kritik iş işlevleri için SaaS sağlayıcılarına büyük ölçüde güvenen kuruluşların sağlam acil durum planlarına sahip olma ihtiyacına yöneltti.
Saldırı operasyonları aksattı yaklaşık 15.000 otomotiv satıcısı ülke çapında pek çok kişiyi tekrar kullanmaya zorluyor kağıt formları ve günlük operasyonları için manuel süreçler. Menkul Kıymetler ve Borsa Komisyonu’na (SEC) sunulan formlarda, saldırıdan etkilenen bazı şirketler, CDK’nın kendilerini sistemlerini geri yüklemek için birkaç gün (ancak muhtemelen haftalar değil) gerektiği konusunda bilgilendirdiğini söyledi. SEC’e CDK ihlalinden etkilendiğini bildiren şirketler dahil Penske, Grup I OtomotivVe Lithia Motors.
Fidye Yazılımı Saldırısı mı?
Otomotiv perakende sektörü için bir bulut yazılım ve hizmet paketi sağlayan CDK, sistemlerini çökerten saldırının niteliğini henüz kamuya açıklamadı. Ancak bazı medya kuruluşları saldırıyı Doğu Avrupalı bir fidye yazılımı grubuna bağladı. Siyah takım elbise. Tehdit aktörünü şöyle tanımladılar: milyonlarca dolar fidye talep ediyor Şirketin sistemlerinin kilidini açmak için CDK’dan.
CDK, şirketin sistem geri yükleme çabalarının durumu ve saldırının BlackSuit fidye yazılımı grubuna atfedilip atfedilemeyeceği konusunda bir güncelleme isteyen Dark Reading talebine hemen yanıt vermedi.
Ulusal Siber Güvenlik İttifakı’nın bilgi güvenliği ve katılımı direktörü Cliff Steinhauer, bunun gibi saldırıların, kuruluşların siber güvenlik korumalarını tüm satıcı ve ortak ağlarını kapsayacak şekilde genişletmeleri yönündeki kritik ihtiyacın altını çizdiğini söylüyor. “Sınırlı sayıda yazılım satıcısına veya SaaS sağlayıcısına büyük ölçüde bağımlı olan sektörlerdeki kuruluşlar için, yazılım tedarik zinciri aracılığıyla maruz kalma riskini azaltmak ve aksaklıkları kontrol altına almak çok yönlü bir yaklaşım gerektirir” diyor. “Öncelikle, satıcı ilişkilerini mümkün olduğunca çeşitlendirmek riski dağıtabilir ve tek sağlayıcılara bağımlılığı azaltabilir.”
SaaS Uygulamaları için Acil Durum Planlaması
Steinhauer, SaaS hizmetlerini kullanan kuruluşların sıkı güvenlik değerlendirmeleri ve siber güvenlik standartlarına ilişkin sözleşme yükümlülüklerini içeren resmi risk yönetimi çerçevelerini uygulaması gerektiğini söylüyor. Kendisi, endüstri sektörlerindeki tehdit istihbaratını ve en iyi uygulamaları paylaşmaya yönelik işbirlikçi girişimlerin, gelişen siber tehditlere karşı kolektif savunmaların güçlendirilmesine de yardımcı olabileceğini belirtiyor.
Check Point Software mühendislik bölümü başkanı Mark Ostrowski, bu tür saldırılardan alınacak daha geniş çıkarımın, kuruluşların altyapılarının, kaynakların (uygulamalar, sunucular ve kullanıcılar) bulunduğu her yerde bir hedef olduğunu varsaymaları olduğunu söylüyor.
İşletmeniz için en önemli hizmet sağlayıcıları ve satıcıları belirlemek ve bunların bir saldırıya karşı korunmak ve gerekirse saldırıyı hafifletmek ve yanıt vermek için önlemlerinin neler olduğunu belirlemek iyi bir fikirdir.
Ostrowski, kuruluşların yıkıcı bir siber saldırının hemen ardından neler olup bittiğini takip etmelerini tavsiye ediyor. Örneğin CDK’ya yapılan saldırının ardından tehdit aktörleri müşterileri aramakGörünüşe göre kimlik avı girişimleri gibi görünen ihlalle ilgili bilgilerle.
Onarım Acelesi
CDK’nın görünen toparlanma mücadelesinden de dersler var. Şirket, geçen hafta kurtarma çalışmalarına başladıktan kısa bir süre sonra, kurtarma çalışmalarının tam ortasında ikinci bir saldırı yaşadı. CDK, ikinci saldırı hakkında şirketin çoğu sistemi kapatmaya ve çevrimdışı duruma getirmeye zorladığını söylemenin ötesinde pek bir açıklama yapmadı.
Malwarebytes’teki kötü amaçlı yazılım analisti Pieter Arntz, bunu CDK’nın sistemlerini çok hızlı geri yüklemeye çalıştığının bir göstergesi olarak algılıyor.
Arntz, e-postayla gönderdiği bir yorumda, “Birçok şirket, sistemleri daha önceki bir tarihten geri yüklemeye ayarlayacak, ancak saldırganlar bir sistemde uzun süre oyalanmayı göze alabilirler” dedi. “Sistemleri örneğin bir hafta öncesinden geri yüklemek çoğu zaman yeterli olmuyor.”
CDK saldırısı aynı zamanda devam eden ve büyüyen saldırıların da altını çiziyor. tüm sektörlerdeki kuruluşların maruz kalması yazılım tedarik zinciri yoluyla karşı karşıya kalır. Tarafından yapılan bir araştırmaya göre Veri TeoremiKuruluşların %91’i son 12 ay içinde yazılım tedarikçileri ve hizmet sağlayıcılarıyla bağlantılı bir tür güvenlik olayı yaşadı.
Steinhauer, CDK gibi büyük oyuncuları hedef alan saldırıların, kritik altyapı sektörlerinde ve ağırlıklı olarak yazılım tedarik zincirlerine dayanan kilit sektörlerdeki önemli güvenlik açıklarını ortaya çıkardığını söylüyor.
“Bu olaylar, temel hizmetler ve operasyonlar tehlikeye girdiğinde yaygın kesinti ve ekonomik etki potansiyelini açığa çıkarıyor” diye belirtiyor. “Yazılım tedarik zinciri liderlerine yönelik hedefli saldırılara karşı koruma sağlamak için sıkı düzenleyici gözetim, gelişmiş siber güvenlik standartları ve proaktif savunma önlemlerine olan ihtiyacın altını çiziyorlar.”
Sürekli değerlendirme, müdahale hazırlığı ve işbirlikçi risk yönetimi çabaları yoluyla siber güvenlik direncinin güçlendirilmesinin, gelişmiş siber saldırganların oluşturduğu büyüyen tehdit ortamının hafifletilmesi açısından da kritik öneme sahip olduğunu söylüyor.