Nýlegu árásirnar meint framkvæma af kínverska hópnum Salt Typhoon á fyrirtæki í fjarskiptum og lönd – meðal þeirra væri Brasilía – lét heiminn allan í vöktun. Fréttir tala um level of sophistication innrásanna og, það sem er mest áhyggjuefni – glæpamennirnir, kenningarlega, enn væru innan netanna þessara fyrirtækja
Fyrstu upplýsingarnar um þennan hóp komu fram í 2021, þegar teymi Threat Intelligence hjá Microsoft birti upplýsingar um hvernig Kína hefði náð að infiltrera sig í fjölda þjónustuveitenda á internetinu, til að fylgjast með fyrirtækjunum – og handtaka gögn. Ein af fyrstu árásum framkvæmd af hópnum var frá því að brjótast í routers Cisco, sem þjónuðu sem gateway til að fylgjast með internetstarfsemi sem gerist í gegnum þessa tæki. Um leið og aðgangurinn væri fenginn, tölvusnápurnir náðu að stækka umfang sitt til viðbótar net. Í október 2021, Kaspersky að staðfesti að netglæpamennirnir hefðu þegar stækkað árásirnar til annarra landa eins og Víetnam, Indónesía, Tæland, Malasía Egyptaland, Eþíópía og Afganistan.
Ef fyrstu veikleikarnir voru nú þegar þekktir frá 2021 – af hverju við enn vorum árásin? Svarið er, réttilega, í hvernig við takast á við þessar viðkvæmni á hverjum degi
Aðferð af broti
Núið, á undanförnum dögum, upplýsingar frá Bandaríkjastjórn staðfestu röð árásar á ⁇ fyrirtæki og lönd ⁇ – sem hefðu gerst frá þekktum veikleikum í VPN-forrit, frá framleiðanda Ivanti, á Fortinet Forticlient EMS, notað til að gera eftirlitið á netþjónum, í firewalls Sophos og einnig á server Microsoft Exchange.
Viðkvæmnin hjá Microsoft var gefin út í 2021 þegar, strax í kjölfarið, fyrirtækið birti leiðréttingarnar. Brotin í firewalls Sophos var gefin út árið 2022 – og leiðréttu í september 2023. Vandamálin fundin í Forticlient urðu opinber í 2023, og leiðréttu í mars 2024 – auk þess sem þeir af Ivanti, sem einnig höfðu CVEs (Common Vulnerabilities and Exposures) sín skráð árið 2023. Fyrirtækið, þó að, aðeins lagaði viðkvæmnina í október síðast.
Öll þessi viðkvæmni leyfðu glæpamönnum að auðveldlega smitast inn í árásarnetin, með því að nota skilríki og softwares lögmæt, sem gerir uppgötvun þessara innrásar næstum ómöguleg. Frá því, glæpamennirnir hreyfðust hliðarlega innan þessara net, setja inn malwares, sem hjálpuðu í vinnu njósna í langtíma.
Það sem er áhyggjuefni í nýlegum árásum er að aðferðir notaðar af tölvum Salt Typhoon hópsins eru í samræmi við takta langtíma sem sést í fyrri herferðum kenndum við kínverska ríkisstarfsmenn. Þessar aðferðir fela í sér notkun lögmætra vitnisburða til að grípa illkynja starfsemi sem venjulegar aðgerðir, erfitt með auðkenningu af hefðbundnum öryggiskerfum. Áherslan á softwares sem eru mikið notuð, eins og VPNs og firewalls, sýnir ítarlega þekkingu á veikleikum í umhverfi fyrirtækja og stjórnvalda
Vandamálið um viðkvæmni
Þær veikleikar sem nýttar voru afhjúpa einnig áhyggjuefni: seinkar í framkvæmd plástra og uppfærslna. Þrátt fyrir leiðréttingar sem veittar eru af framleiðendum, rekstrarveruleikinn margra fyrirtækja hindrar strax innleiðingu þessara lausna. Samræmisprófanir, þörfin til að koma í veg fyrir truflanir í verkefni mikilvæga kerfi og, í nokkrum tilfellum, skortur á vitundarvakningu um alvarleika bilana stuðla að auknum útsetningarglugganum
Þessi spurning er ekki aðeins tækn, en einnig skipulagsleg og strategísk, um að ræða mál, áherslur og, oftast, fyrirtækjamenningu
Krítískt atriði er að mörg fyrirtæki meðhöndla framkvæmd patch-a sem ⁇ aðaverkefni ⁇ í samanburði við rekstrarframhald. Þetta skapar svokallaða dilemma downtime, þar sem leiðtogar þurfa að ákveða milli augnabliksins truflunar þjónustu til að uppfæra kerfi og hugsanlega áhættu af framtíðar rekstri. Engu skiptir máli, nýlegu árásirnar sýna að fresta þessum uppfærslum getur orðið miklu dýrara, bæði í fjárhagslegum og orðstírlegum skilningi
Auk þess, samhæfingarprófin eru algeng vandræði. Margir umhverfi fyrirtækja, sérstaklega í atvinnugreinum eins og fjarskiptum, starfa með flókna samsetningu af erfðatækni og nútíma. Þetta gerir að verkum að hver uppfærsla krefst talsverðs viðleitni til að tryggja að patchinn valdi ekki vandamálum á háðum kerfum. Þessi tegund umhyggju er skiljanleg, en hægt er að milda með því að taka upp starfshætti eins og robustari prófunarumhverfi og sjálfvirk validatingferli
Annar punktur sem stuðlar að seinkanum í framkvæmd patchs er skortur á vitundarvakningu um alvarleika galla. Margarðas sinnum, IT-teymir vanmeta mikilvægi ákveðins CVE, sérstaklega þegar hann hefur ekki verið víða rannsakaður til þessa. Vandamálið er að tækifærisglugginn fyrir árásarmenn getur opnast áður en samtökin átta sig á alvarleika vandans. Þetta er svið þar sem greining á ógnum og skýr samskipti milli tækniveitenda og fyrirtækja geta gert allan muninn
Að lokum, fyrirtækin þurfa að taka upp proactive og forgangsettari nálgun fyrir stjórnun viðkvæmni, sem felur í sér sjálfvirkni patchingferla, the segmentation of the networks, takmarkað áhrif hugsanlegra innrásar, rútínan af að simulera reglulega möguleg árás, það sem hjálpar að finna hugsanlegu ⁇ þyngdarpunkta ⁇.
Málið um seinkanir í patchum og uppfærslum er ekki bara tæknileg áskorun, en einnig tækifæri fyrir stofnanir að breyta nálgun sinni á öryggi, gera hana sveigjanlegri, aðlögunarlegur og þolandi. Fyrir ofan allt, þessi rekstrarháttur er ekki nýr, og hundruð annarra árásar eru framkvæmdar með samaaðferðafræði, frá frá veikleikum sem eru notuð sem inngangur. Nýta þessa lærdóm getur verið munurinn á milli þess að vera fórnarlamb eða vera tilbúinn fyrir næsta árás
