Недавни напади наводно извршени кинеском групом Salt Typhoon на компаније телекомуникација и земље – међу њима би био Бразил – остави цео свет на аларму. Вести говоре о нивоу софистицираности инвазија и, што је више алармантно – кривичнике, теоретски, још би били унутар мрежа ових предузећа
Прве информације о овој групи појавиле су се у 2021., када је тим за Threat Intelligence у Microsoft-у објавио информације о томе како је Кина наводно успешно инфилтрисала у неколико провајдера интернет услуга, да надгледају предузећа – и ухватити податке. Један од првих напада извршених од стране групе био је од кршења у Cisco рутере, које су служиле као портал за праћење интернет активности која се дешава преко тих уређаја. Једном што је приступ био добијен, хакери су успевали да прошире свој домет на додатне мреже. У октобру 2021, Касперски је потврдио да су сајберкриминалци већ проширили нападе на друге земље као Вијетнам, Indonezija, Тајланд, Малезија Египат, Етиопија и Авганистан.
Да ли су прве рањивости већ биле познате од 2021. – зашто смо још били нападнути? Одговор је, upravo, у томе како се суочавамо са овим рањивостима у свакодневном
Метод кршења
Сада, у последњим данима, информације америчке владе потврдиле су низ напада на ⁇ компаније и земље ⁇ – који би се догодили из познатих рањивости у апликацији VPN-а, од произвођача Ivanti, на Fortinet Forticlient EMS, коришћен за да ради мониторинг на серверима, у firewalls Sophos и такође на серверима Microsoft Exchange.
Ранивост Мајкрософта је објављена у 2021. када, одмах у секвенцији, компанија је објавила исправке. Грешка уfirewalls Sophos је објављена у 2022 – и исправљена у септембру 2023.. Проблеми пронађени у Forticlient постали су јавни у 2023., и исправљени у марту 2024. – као и оне од Ivanti, које су такође имале своје CVEs (Common Vulnerabilities and Exposures) регистроване у 2023.. Preduzeće, međutim, само исправио ранљивост у прошлом октобру.
Све ове рањивости омогућиле су да криминалци лако инфилтрирају у нападнуте мреже, користећи акредитиве и софтвере легитимне, што чини откривање ових инвазија скоро немогућим. Od tada, криминалци су се кретали странично унутар тих мрежа, распоређујући malwares, који су помогли у раду шпијунаже дугорочног.
Оно што је алармантно у недавним нападима је да су методи коришћени од стране хакера групе Salt Typhoon су конзистентни са дугорочним тактикама примећеним у претходним кампањама приписаним кинеским државним агентима. Ове методе укључују употребу легитимних акредитива за маскирање злонамерних активности као рутинских операција, отежавајући идентификацију конвенционалним безбедносним системима. Фокус на софтвеје широко коришћене, као VPN-ови иfirewalls, показује дубоко знање о рањивостима у корпоративним и владиним окружењима
Проблем рањивости
Експлоатиране рањивости такође откривају забрињавајући образац: кашњења у примени патча и ажурирања. Иако исправке доступне од стране произвођача, оперативна реалност многих предузећа отежава непосредну имплементацију ових решења. Тестирања компатибилности, потребу да се избегну прекиди у системи критичне мисије; и, u nekim slučajevima, недостатак свестје о озбиљности недостатака доприносе за повећање прозора изложености
Ово питање није само техничко, али такође организационална и стратешка, укључујући процесе, приоритета и, много пута, корпоративна култура
Један критичан аспект је да многе компаније третирају примену патча као ⁇ помоћну ⁇ задатак у поређењу са оперативном континуитетом. То ствара такозвану дилему од downtime, где лидери морају одлучити између тренутног прекида услуга за ажурирање система и потенцијалног ризика будуће експлоатације. Međutim, недавни напади показују да одлагање тих ажурирања може изаћи много скупије, и у финансијским условима и репутационим
Pored toga, тестови компатибилности су уобичајени гужва. Многа корпоративна окружења, посебно у секторима као телекомуникације, раде са сложеном комбинацијом наслеђених и модерних технологија. То чини да свако ажурирање захтева значајан напор за осигурање да патч не изазове проблеме у зависном системима. Та врста бриге је разумљива, али се може ублажити уз усвајање пракси као што су робуснија тестова окружења и аутоматизовани процеси валидације
Још једна тачка која доприноси за кашњење у примени пачова је недостатак свести о озбиљности недостатака. Много пута, ИТ тимови потцењују важност одређеног CVE, посебно када он није био широко експлоатисан до тренутка. Проблем је да се прозор прилике за нападаче може отворити пре него што организације схвате озбиљност проблема. Ово је поље где интелигенција за претње и јасна комуникација између добављача технологије и компанија могу направити сву разлику
На крају, компаније морају усвојити више проактиван и приоритезован приступ за управљање рањивостима, што укључује аутоматизацију процеса пачинга, сегментацију мрежа, ограничавајући утицај могућих инвазија, рутина редовно симулирања могућих напада, што помаже да се пронађу потенцијалне ⁇ слабе тачке ⁇.
Питање кашњења у патчевима и ажурирањима није само технички изазов, али такође прилика за организације да трансформишу свој приступ безбедности, чинећи је бржиом, адаптиван и резилен. Iznad svega, овај начин операције није нови, и стотине других напада су спроведени са истимmodus operandi, из из рањивости које су коришћене као врата улаза. Коришћење те лекције може бити разлика између бити жртва или бити припремљен за следећи напад
