Güvenlik şirketlerinin bir siber saldırıya karşı savunma yapmak için çoğu kuruluştan daha hazırlıklı olması gerektiği iddia edilebilir. Geçenlerde Dragos’ta, bilinen bir fidye yazılımı grubu, yeni bir çalışanın kişisel e-posta hesabını ele geçirdikten sonra sosyal olarak tasarlanmış bir saldırıda güvenlik satıcısından zorla para almaya çalıştığında ancak başarısız olduğunda durum buydu.
Saldırı, saldırganların SharePoint ve Dragos sözleşme yönetim sistemine erişim kazanmasıyla 8 Mayıs’ta gerçekleşti. yeni bir satış çalışanının kişisel e-posta adresini tehlikeye atmak Kişinin başlangıç tarihinden önce, şirket 10 Mayıs’ta bir blog gönderisinde bunu açıkladı. Saldırgan daha sonra, çalışanın kimliğine bürünmek ve Dragos’un çalışan ekleme sürecindeki ilk adımları gerçekleştirmek için hack’ten çalınan kişisel bilgileri kullandı.
Şirket, Dragos’un hızlı yanıt vermesinin, tehdit grubunun hedefine – fidye yazılımı konuşlandırmasına – veya yanal hareket, ayrıcalıkları artırma, kalıcı erişim sağlama veya herhangi bir Dragos altyapısında değişiklik yapma gibi daha fazla faaliyette bulunmasına engel olduğunu söyledi.
Gönderiye göre, “Dragos Platformu ile ilgili herhangi bir şey de dahil olmak üzere hiçbir Dragos sistemi ihlal edilmedi.”
Ancak saldırganlar bununla da kalmadı. Şirket, grubun ilk uzlaşma ve fidye yazılımı stratejisi başarısız olduktan sonra, hızla “kamuya ifşa edilmekten kaçınmak için Dragos’u zorla almaya teşebbüs etmeye yöneldi” dedi. Saldırganlar bunu, Dragos yöneticilerine, kendilerine ödeme yapılmadığı takdirde saldırıyı kamuya ifşa etmekle tehdit eden bir dizi mesaj göndererek yaptılar.
Ürkütücü bir şekilde, grup mesajlarda kişiselleşecek kadar ileri gitti, Dragos çalışanlarının aile üyelerine ve kişisel bağlantılarına atıfta bulunmanın yanı sıra bir yanıt almak için kıdemli Dragos çalışanlarının kişisel hesaplarına e-postalar gönderdi.
Gönderiye göre şirket nihayetinde “en iyi tepkinin suçlularla ilişki kurmamak” olduğuna karar verdi ve olayı kontrol altına almayı başardı.
Yine de Dragos, şirketin “üzücü” bir fidye ödememeyi seçmesi nedeniyle muhtemelen kamuya bilgi sızıntısına neden olacak bir veri kaybını kabul etti. Ancak şirketin siber suçlularla ilişki kurmama veya onlarla pazarlık yapmama kararına bağlı kaldığı belirtildi.
Siber Şeffaflığı Teşvik Etmek
Güvenlik şirketlerinin karşılaştıkları saldırıları açıklamaları pek sık rastlanan bir durum değil, ancak Dragos, bir güvenlik ihlalinin önemli bir hasara yol açmadan önce nasıl etkisiz hale getirilebileceğinin bir örneği olarak bunu yapmaya karar verdiğini söyledi. Ayrıca şirket gönderide “güvenlik olaylarının damgasını kaldırmaya yardımcı olmak” istediğini yazdı.
Gerçekten de, güvenlik olaylarının defalarca kanıtladığı gibi, hiçbir şirket – sıkıca kilitlenmiş gibi görünenler bile — bir güvenlik uzmanına göre, özellikle saldırganların sosyal mühendislik taktiklerini kullanırken mevcut zeka ve karmaşıklık düzeyiyle, saldırılara karşı güvenlidir.
Aslında, Dragos anlatısı “gerçekten hazırlanmış bir toplum mühendisliği girişimi ve minimum hasara yol açan hızlı bir keşif hakkında duyduğunuz ender öykülerden biridir” diyor güvenlik firmasında veriye dayalı savunma savunucusu Roger Grimes BilBe4e-postayla gönderilen bir açıklamada yazdı.
Olayın, özellikle “işe alma alanında meydana gelen çok aktif sosyal mühendislik dolandırıcılığına” dikkat çekmesi gerektiğini yazdı. Aslında, Grimes, her şirketin bu kadar şanslı olmadığını ve kendini bu kadar iyi savunmadığını belirtti.
“Ayrıca, işverenlerin yalnızca işverenlerinden çalmak ve dolandırmak için var olan sahte çalışanları işe aldığına, gerçekte işlerini bilmeyen ve kovulana kadar sadece maaş çekleri toplayan sahte çalışanlara ve yasal iş arayanların başka yollardan dolandırdığına dair birçok hikaye var. İş ararken dolandırıldı” dedi.
Bir Siber Saldırı Sırasında Müdahale ve Dahili Etki Azaltma Çok Önemlidir
Olayla ilgili soruşturma sürerken, Dragos şirketin hızlı müdahalesi ve diğerlerine bir plan sağlaması gereken katmanlı güvenlik yaklaşımı sayesinde daha ciddi bir saldırıyı önleyebildi. gönderiye göre.
Şirket, kurumsal güvenlik bilgileri ve olay yönetimindeki (SIEM) uyarıları araştırdı ve güvenliği ihlal edilmiş hesabı bloke etti, ayrıca bir hizmet sağlayıcıyla olay müdahale tutucusunu etkinleştirdi ve üçüncü taraf bir izleme, tespit ve yanıt (MDR) sağlayıcısı ile anlaştı. olaya müdahale çabalarını yönetin.
Şirket, “Ayrıntılı sistem etkinliği günlükleri, bu güvenlik olayının hızlı bir şekilde önceliklendirilmesini ve kontrol altına alınmasını sağladı” dedi.
Gelecekte benzer saldırılardan kaçınmak için şirket, saldırıda kullanılan tekniğin tekrarlanmayacağından emin olmak için yeni çalışanların işe alım sürecini daha da sertleştirmek için ek bir doğrulama adımı eklediğini söyledi.
Ayrıca, engellenen her erişim girişiminin nedeni çok adımlı erişim onayı olduğundan, Dragos bu stratejinin ne kadar kritik olduklarına bağlı olarak diğer sistemlere de genişletilmesini değerlendiriyor.
Diğer Kuruluşlar İçin Siber Dayanıklılık Önerileri
Dragos, benzer bir saldırı senaryosundan kaçınmak için diğer kuruluşlara da bazı önerilerde bulundu. Şirket, kimlik ve erişim yönetimi altyapısının ve süreçlerinin sağlamlaştırılmasının, siber dayanıklılık arayan her kuruluş için nihai olarak temel bir temel taşı olduğunu tavsiye etti. Ayrıca, hiç kimsenin çevreyi tam olarak yönetememesi için kuruluş genelinde görevler ayrılığını uygulamak iyi bir fikirdir.
Şirket ayrıca, kuruluşların tüm sistem ve hizmetlere en az ayrıcalık ilkesini uygulaması ve mümkün olan her yerde çok faktörlü kimlik doğrulaması uygulaması gerektiğini söyledi.
Dragos’un maruz kaldığı benzer bir çalışan gizliliğinden kaçınmanın diğer adımları arasında, bilinen kötü IP adresleri için açık engellemeler uygulamak ve gelen e-postaları, e-posta adresi, URL ve yazım denetimi dahil olmak üzere tipik kimlik avı tetikleyicileri için incelemek yer alır.
Son olarak, Dragos’a göre, genel olarak kuruluşlar, bir saldırı meydana gelmesi durumunda test edilmiş olay müdahale taktik kitaplarıyla birlikte sürekli güvenlik izlemenin yürürlükte olduğundan emin olmalıdır.
