En savunmasız cihazınız uzun zamandır unuttuğunuz cihazdır

Fidye yazılımlarına karşı savaşı kaybediyoruz ve suçluların yenilikçi olmayı denemelerine bile gerek yok. Siber güvenlik şirketi Ordr’dan uzmanlar Cybernews’e, gizlice girmek için bilinen güvenlik açıklarını ve zayıf cihazları kullandıklarını söyledi.

Tehdit aktörleri, kuruluşları ihlal etmek için aynı sistem çatlaklarını tekrar tekrar kullanır. Yamasız yazılım, korumasız bulut ve zayıf parolalar aracılığıyla bir yol bulmayı başarırlar. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) kısa süre önce listelendi en iyi 10 yol Suçlular içeri girer ve sıfırıncı gün güvenlik açıklarından yararlanmalarına gerek olmadığını vurgular.

Tehdit aktörleri, ilk erişim elde etmek için zayıf güvenlik yapılandırmalarından, zayıf kontrollerden ve diğer zayıf siber hijyen uygulamalarından yararlanır. Bunu, birçok kuruluşun ağlarında kaç tane ve hangi cihaza sahip olduklarına güvenmediği gerçeğiyle birleştirdiğinizde, patlamak demektir.

Ordr CEO’su Greg Murphy Cybernews’e verdiği demeçte, “Fidye yazılımı dışarıda. görüşme.

Ona göre, şu anda saldırıların yaygınlığı son derece yüksek.

“Daha geçen yıl 680 hastanenin ihlal edildiği biliniyor. Bu, Amerika Birleşik Devletleri’ndeki hastanelerin %10’undan fazlası ve bu sadece bildiğimiz saldırılar. Gerçek sayı muhtemelen daha yüksek. Her hastane, her kritik altyapı oyuncusu saldırı altında” dedi.

Neredeyse onunla ve eski bir Gartner analisti olan Ordr danışmanı Brad LaPorte ile, saldırıların geçici olabileceği yönündeki spekülasyonlara rağmen fidye yazılımı sorununun neden ve nasıl daha da kötüleştiğini tartışmak için oturdum. reddetmek.

Ordr'dan Brad ve Greg — Greg Murphy (solda) ve Brad LaPorte

Saldırılar daha hedefli mi oluyor, yoksa hala çoğunlukla sprey ve dua tipi saldırılar mı?

Brad. İkisinin karışımıdır. Suçlular genellikle finansal olarak motive olurlar. Minimum çabayla mümkün olan en kısa sürede en fazla parayı elde etmeye çalışıyorlar. Kötü niyetli otomasyon yazılımı araçlarından yararlanabilirler. Sadece çevrimiçi olurlarsa, internete yönelik varlıklar, IoT, tıbbi cihazlar, altyapıya gerçekten bağlı olan her şey için interneti tarayabilecekleri yeraltı pazarlarında tonlarca mevcut bulunmaktadır. Bunu sağlık ve üretim endüstrilerinde çok görüyorsunuz ve temel olarak, bu düşük asılı meyvedir.

İlk yöne dönersek, fırsatçı saldırılar da var. Aralık ayında Log4j kayıt kitaplığında ünlülerin büyük bir güvenlik açığı vardı. Bir ifşaat ortaya çıktığında, bu bir beslenme çılgınlığı gibidir, tüm bu suçlular tespit eder, hey, bu kolay, sadece otomatik programlar çalıştırabilir, Log4J kayıt özelliğini kullanan tüm zayıf varlıkları belirleyebilirsiniz.

Ek olarak, aynı zamanda bir hedefleme yönüne de dönüşüyorlar. Belirli bir hedefin beş milyon dolarlık bir politikası olduğunu bildiklerinde, o zaman daha da cerrahi hale gelir.

Greg. Bu saldırganları suçlu oldukları için düşünmeye başlamalıyız, ancak onlar aynı zamanda nispeten sofistike iş adamlarıdır. Normal işletmelerin pazarlamayı nasıl yaptığını düşündüğünüzde, ürünlerinin özellikleri nelerdir ve pazarlama taktiklerini müşterilere veya yanıt verebileceklerini düşündükleri potansiyel müşterilere yönlendirmeye çalışırlar. Fidye yazılımı çetelerinin tamamen aynı şeyi yaptığını görüyorsunuz.

Bir saldırıya yanıt olarak ödeme yapma olasılığı yüksek olan kuruluşların nerede olduğuna bakma eğilimindedirler ve bu, onları yüksek düzeyde düzenlenmiş sektörlere, siber sigortaya sahip olma eğiliminin yüksek olduğu sektörlere, dolayısıyla bir fon havuzunun çekileceği sektörlere yönlendirme eğiliminde olacaktır. , normal operasyonları bozma yeteneğinin ciddi sonuçları olduğu yerler.

Bu nedenle, bu saldırıların daha neşeli olana – sağlık hizmetlerine, bu özellikleri paylaşan üretime – odaklandığını görme eğilimindesiniz. Bir fidye yazılımı çetesini sofistike bir işletme olarak düşünürseniz ve hedefli pazarlama kampanyaları yürütüyorlarsa ve yatırımlarının geri dönüşünü en olası nereden aldıklarına bakıyorsanız, bu onları tekrar tekrar aynı tür hedeflere yönlendirir.

*{padding:0;kenar boşluğu:0;taşma:gizli}html,gövde{yükseklik:100%}img{konum:mutlak;genişlik:%100;üst:0;alt:0;kenar boşluğu:oto}açıklık{yükseklik: 48px;width:68px;position:absolute;left:50%;top:50%;margin:-24px 0 0 -34px}#bg{fill:#212121;opacity:.8}body:hover #bg{dolgu: #ed1d24;opaklık:1}

“>

CISA’nın tavsiyesi, siber suçluların kuruluşları ihlal etmek için sıfır günlerden ziyade zayıf siber hijyenden yararlandığını söyledi. Yani hala küçük şeylere takılıp mı kalıyoruz?

brad. Tarihsel olarak, bunlar sosyal mühendislik, kurumsal e-postalardan ödün verme ve kimlik avı olmuştur. Hala çok yaygın, paralel ve örtüşen. Dışarıdaki birçok ürün, onlara İsviçre peyniri diyorum, tüm bu farklı güvenlik açıklarına, sömürülecek tüm bu farklı giriş noktalarına sahipler. IoT alanında, tıbbi cihaz alanında, hatta işletim teknolojisinde bile, bu cihazlar için arayüz açısından çok fazla bir şey yok: bir kayıt mekanizmanız ve temel düzeyde yerleşik işletim sisteminiz var. Sömürmek çok kolaydır. Topluluk tarafından manipüle edilebilen bu temel yazılımın, açık kaynaklı yazılımın bir parçası olan basit bir güvenlik açığım varsa, bu yüzden birçok farklı giriş noktası var.

Tehdit aktörleri, interneti sürekli taramak ve İnternet’e yönelik varlıkları aramak için kötü amaçlı otomasyon kullanıyor. Hastaneler veya bebek monitörleri için standart modellerde çok yaygın olan bir web kamerasında bir güvenlik açığı olduğunu bilseydim, bunu belirleyip kullanabilir ve bunları tespit etmek ve bunu büyük ölçekte kullanmak için kötü niyetli otomasyon çalıştırabilirdim.

Ardından, SolarWinds’te olan bir tedarik zinciri saldırısına girmeye başlarsınız ve bu türler son birkaç yılda %2800’ün üzerinde artış göstermiştir. Buradaki zorluk, eğer buna ilişkin görünürlüğünüz yoksa, bu cihazlara ilişkin görünürlüğünüz yoktur.

COVID sırasında, hastaneler toplumu desteklemek için cihazların sayısını artırdığında, bu cihazlar hemen güvenlikle ilgili değildi. Bu envanteri yönetmede ve gerçekte ne tür cihazlar çalıştırdıklarını bilmede ne kadar etkiliydiler? Bunu sürdürmek zor.

Steteskop tutan ve dijital cihazlar kullanan adam

Greg. Suçlular yenilikçi oldukları için ödüllendirilmezler. Sadece orada olan ve yararlanabilecekleri bir güvenlik açığı bulmak istiyorlar. Bir kuruluşa bakarsanız, herhangi bir kuruluştaki en savunmasız cihaz, bilmedikleri cihazdır. Çoğu organizasyonun nasıl kurulduğuna bakarsanız, dizüstü bilgisayarlardan, masaüstü bilgisayarlardan BT organizasyonu sorumludur ve bu cihazların bir tür düzenli güncelleme ve yama ile daha standart süreçleri takip etme olasılığı oldukça yüksektir.

Diğer tüm bağlı cihazları düşünürseniz, çoğu zaman, tesisler departmanı tarafından, gerçek bir varlık veritabanının aksine birinin dizüstü bilgisayarında bir elektronik tablo olabilecek bir envanter tutacakları ölçüde bir güvenlik kamerası kurulur.

Benzer şekilde, örneğin sağlık hizmetlerinde, bir BT ve güvenlik kuruluşundan ayrı kendi süreçleri olan bir biyomedikal mühendislik kuruluşunun sahibi olduğu ve işlettiği tıbbi cihazlarınız var. Ve benzer şekilde, imalatta. Bu bölünmüş mülkiyete ve birden fazla farklı kayıt sistemine sahipseniz, bu cihazların uyumdan çıkması, güncel ve yamalar güncel tutulmaması veya kuruluşun gerçekten var olduklarını bile bilmemesi çok kolay hale gelir.

Bu, güvenlik açığını yaratır ve yine saldırganın ihtiyaç duyduğu tek şey budur. En son teknolojiye sahip yeni tekniğe ihtiyaçları yok, sadece savunmasız ve istismar edilebilecek internete işaret eden bir cihaz bulmaları gerekiyor. İçeri girdiklerinde, organizasyon boyunca yanal olarak hareket edebilir ve yayılabilirler.

Eski cihazları, uzun ömürlü işletim teknolojisini korurken karşılaşılan temel zorluklar nelerdir?

Greg. Sağlık hizmeti alın. Çoğu zaman, BT dünyasında olan bizler, 2-3 yıllık ömrü olan bir cihazı düşünür ve sonra organizasyondan çıkar. Sağlık veya büyük üretim sistemlerindeki kritik görüntüleme sistemlerine baktığınızda, bu cihazlar 10-12 yıl çalışacak şekilde tasarlanabilir. Organizasyonda çok kritik işlevleri vardır ve olağanüstü pahalı olabilirler.

Ağına bakan ve ağlarında Windows 7 çalıştıran 10.000’e yakın cihazı olduğunu keşfeden bir müşterimiz vardı ve hemen yanıt, bunu ağdan çıkaralım olurdu. Ama bu 600 milyon dolardan fazlaya mal olacak. Bunu yapmak için para yok ve açıkçası operasyonel bir bakış açısıyla, bu inanılmaz derecede yıkıcı olurdu. Bu sadece hayatın bir gerçeği.

Bu aygıtların çoğu çok uzun ömürlüdür, bugün bile üretim hattından gömülü Windows XP çalıştıran yepyeni aygıtlar vardır. Bu cihazların görünürlüğüne ve farkındalığına sahip olduğunuzdan emin olmanız ve ağınızda bu cihazların özellikle savunmasız olduklarından emin olmak için segmentlere ayrılmalarını sağlamak için adımlar atmanız gerekir. Bu cihazların internete bağlı olmadığından ve bunlara ne tür cihazların erişebileceğine ilişkin kısıtlı bir politika olduğundan emin olmak istiyorsunuz. Bu güvenlik açıklarından yararlanma olasılığının daha düşük olması için bu cihazların çevresinde koruma katmanları olduğundan emin olmak istersiniz.

Fidye çeteleri sürekli yenilik yaparken, sırf diriltmek ve kolluk kuvvetlerini yoldan çıkarmak için kapanırken tehditleri nasıl ararsınız?

Brad. Kesinlikle işimizi yapmak için aşırı uyanık ve motiveyiz. Fidye yazılımı gruplarına tek bir varlık olarak bakamazsınız, hepsi kapsayıcı değildir. Aslında, unisend içinde çalışan beş, on, bazen on beş grup. Kuruluşların giriş noktasının ilk bölümünü finale kadar tamamlaması çok zordur. Sonunda parayı alan insanlar mutlaka onu başlatan insanlar değildir. Bu çok ayrıntılı bir küresel ekonomi.

Greg. Haber medyası sıklıkla, büyük ve başarılı saldırılar gerçekleştiren birkaç tanınmış kuruluşa işaret eder. Yine, fidye yazılımlarına bir iş olarak bakmaya başlarsanız, bu oldukça merkezi olmayan bir iştir ve yeni bir kuruluşun kendisini oluşturması için giriş engelleri oldukça düşüktür. Bunun gerçeği, bunun hayatın bir gerçeği olduğunu kabul etmemiz gerektiğidir.

Birkaç yıl önce insanlar, bir fidye yazılımı çetesinin işimizi hedef almaya karar verdiğini, mağdur olduğumuzu, seçebilecekleri binlerce şirket olabileceğini ve tesadüfen bizi seçtiklerini söylerdi. Bence bu zihniyet değişmeli. Fidye yazılımı dışarıda. Buna hazırlanmamak, taşkın bölgesinde yepyeni bir bina inşa etmek ve binanın bir sele dayanabilmesi için herhangi bir koruyucu önlem almamak gibi olacaktır. Kuruluşların, dışarıda yüzlerce, binlerce saldırgan olacağını varsayması ve savunmaların yerinde olması gerekir.