美國管道勒索軟件攻擊一周年:安全團隊的5個教訓
雖然科洛尼爾管道攻擊可能已經過去,但勒索軟件仍然是現代企業的生存威脅。
Colonial Pipeline勒索軟件攻擊過去一年,該事件是近年來影響最大的網絡攻擊案例之一,名為DarkSide的威脅行為者使用一個被泄露的VPN口令來訪問美國最大的管道運營商的內部系統。在攻擊期間,當黑客開始加密該組織的數據時,Colonial Pipeline做出回應,將其系統離線以阻止威脅的傳播,暫時停止了管道運營并最終支付了440萬美元的贖金。事件發生后不久,美國政府發布了一項旨在改善國家網絡安全的行政命令,強調聯邦政府需要“做出大膽的改變和重大投資,以捍衛支撐美國生活方式的重要機構”。除了行政命令外,還引入了幾項聯邦和立法措施,優先考慮提高網絡安全和運營彈性的門檻。
Colonial Pipeline事件之后美國的政府機構和企業目睹了其他成為全國頭條新聞的嚴重事件,包括Kaseya勒索軟件攻擊和發現的Log4j漏洞,該漏洞存在于全球安裝的軟件應用程序的基礎中。
國會正在著手處理運輸安全管理局 (TSA) 是否是監管管道網絡安全的適當機構的問題。國會可能決定資助TSA并確保其擁有必要的專業知識和人力資本來有效調節管道網絡安全。該事件對美國關基安安全保護的影響史無前例!
雖然科洛尼爾管道攻擊可能已經過去,但勒索軟件仍然是現代企業的生存威脅,隨著勒索軟件攻擊的增加,企業需要做好準備。這起事件有太多教訓可以總結,比如,勒索橫行的今天,無論您是小型企業還是企業,都沒有關系。你是一個攻擊目標;攻擊者會發現(并利用)最薄弱的環節;攻擊者很敏捷,防守者也必須如此;等等。好消息是,組織可以實施越來越多的安全控制措施來保護自己免受這些普遍威脅的侵害。作為安全團隊,其實也有好多需要扎實推進的工作。
1、部署零信任架構
登錄憑據是網絡犯罪分子的主要目標之一。因此,對于安全團隊來說,實現對零信任身份驗證的支持變得越來越重要,以使未經授權的用戶更難使用受損憑據登錄。“Colonial Pipeline勒索軟件攻擊是另一個備受矚目的例子,即利用受損憑證來利用以前被認為是安全的基礎設施。因此,安全協議必須不斷發展,以跟上分布式計算環境中的動態威脅,”身份訪問管理提供商Plain ID的首席技術官兼聯合創始人Gal Helemski說。Helemski建議組織可以通過實施零信任架構來防止自己成為類似攻擊的受害者,該架構將訪問控制擴展到整個數字旅程的整個生命周期中的傳統網絡訪問安全性。
2、實施強大的事件檢測和響應能力
決定勒索軟件泄露總體影響的最大因素之一是組織響應所需的時間。響應時間越慢,網絡犯罪分子就越有機會定位和加密關鍵數據資產。“殖民地是公共和私營部門基礎設施安全的一個重要轉折點,但組織需要保持警惕,以領先于網絡攻擊者,”勒索檢測和恢復平臺Egnyte的網絡安全宣傳總監Neil Jones說。在實踐中,這意味著制定全面的事件響應計劃,部署具有勒索軟件檢測和恢復功能的解決方案,并為員工提供有關如何實施有效數據保護策略(如強口令和多因素身份驗證)的網絡安全意識培訓。
3、不要依賴備份和恢復解決方案來保護數據
許多組織尋求依靠數據備份和恢復解決方案來抵御勒索軟件威脅。雖然這聽起來像是紙面上的有效防御,但如果受害者組織不支付贖金,勒索軟件攻擊者已經開始威脅要泄露他們加密的數據。加密提供商Titaniam的首席執行官兼創始人Arti Raman建議組織切換到使用中的數據保護, 而不是依賴靜態加密,攻擊者可以使用受損憑證來回避。“通過使用中的加密數據保護,如果對手突破外圍安全基礎設施和訪問措施,結構化和非結構化數據可能 [并且] 將 [變得] 無法被壞人破解和使用——即使不是,數字勒索也會變得更加困難或不可能,”拉曼說。
4、創建攻擊面清單
由于有如此多的高級威脅行為者以勒索軟件威脅的現代組織為目標,技術決策者和安全團隊需要對哪些系統暴露給外部威脅行為者以及他們持有哪些數據有一個完整的清單。“隨著美國政府采取措施加強國家網絡安全,組織必須采取積極主動的方法來保護自己的資產,這就是優勢所在:響應能力,”托管安全服務組織Cyber Security Works的首席執行官兼聯合創始人亞倫·桑丁說。“通過獨立或外包給漏洞管理公司進行完整的系統清單,組織可以擴展其對已知和未知漏洞利用的網絡安全可見性,”Sandeen說。雖然 Colonial Pipeline攻擊背后的組織已經不復存在,但Sandeen警告說,企業將繼續看到越來越多的漏洞利用、漏洞和APT威脅參與者愿意利用它們,“這將需要安全領導者提供預測性和創造性的幫助來分類和消除勒索軟件威脅。”
5、部署身份管理解決方案以識別異常用戶活動
網絡安全教育平臺Drip7的創始人Heather Stratford說,“殖民管道災難告訴我們,人是網絡安全攻擊的主要切入點。” 據Cyber Talk稱, 95%的網絡違規是由人為錯誤造成的。“在網絡安全意識方面,‘人’是需要‘固定’或關注的,而這種變化通常不會在一夜之間發生。改變行為建立在小的增量改進之上,隨著時間的推移,這些改進會收緊控制限制以改善行為并最大限度地降低風險,”斯特拉特福德觀察到。“改變當前網絡安全流行病的唯一方法是增加對組織人員的關注,而不僅僅是現有系統,”斯特拉特福德警告說。在遠程工作和員工使用個人設備訪問企業資源的時代,數據被盜的風險比以往任何時候都大。“我們在新聞中聽到的大多數違規行為都是由于企業依賴自動訪問控制而在用戶被劫持時意識到為時已晚。“考慮到 LAPUS$和Conti等不同犯罪集團的先進策略和隨機性,一旦賬戶遭到入侵,基于身份的欺詐行為就極難被發現,”信任平臺Forter的首席信息安全官Gunnar Peterson說。出于這個原因,組織需要具有識別異常用戶活動的能力,以便他們能夠檢測帳戶接管,彼得森說,這可以通過使用具有異常檢測功能的人工智能驅動的身份管理解決方案來獲得。
關鍵基礎設施上的勒索軟件案件繼續成為頭條新聞的事實表明,在整體關鍵基礎設施網絡安全方面,組織通常準備不足。人們傾向于專注(并花費)大量資金用于企業和企業環境的網絡安全,但多年來,運營技術和面向生產的環境并沒有得到他們的關注和投資。
變革不會在一夜之間發生。重要的是要注意,當調整安全態勢時,對手也會適應。強化很重要,但可見性和彈性是所有關基企業需要的,這需要時間來開發和部署。俄烏戰事中的網絡暗戰再次表明,變革的關鍵驅動因素是法律法規指令、攻擊的持續威脅、地緣政治局勢以及監管機構日益增加的關注。人們對ICS的關注也越來越普遍,因為可靠的情報表明,網絡攻擊更有可能演變為物理攻擊。
資料來源
1、https://venturebeat.com/2022/05/07/colonial-pipeline-ransomware-attack/
2、https://industrialcyber.co/critical-infrastructure/colonial-pipeline-incident-helped-reinforce-cybersecurity-across-critical-infrastructures-but-still-a-long-way-to-go/
文章來源:網空閑話
