Bu yılın başlarında, Eindhoven Teknoloji Üniversitesi (TU/E), Hollanda’nın önde gelen teknik üniversitelerinden biri, gösterişli rahatsız edici gerçekven kuruluşlar Tüm siber güvenlik kutuları, sofistike saldırılara kurban olabilir, Saldırganlar ağına kurumsal düzeyde erişim kazandı ve adli araştırmacıların daha sonra yıkıcı bir fidye yazılımı saldırısı olacağı sonucuna varmaya başladı.
Üniversitenin yanıtı dramatikti: iT, bir hafta boyunca internetten 14.000 öğrencinin ve 4.700 personelin hepsini ayırdı. O İhlalin tespitinden sonraki saatler içinde alınan karar, aylarca süren sakat operasyonlar ve fidye taleplerinde milyonlarca insanın ne olabileceğini engelledi.
Olay 6 Ocak’ta, saldırganların TU/E’nin Sanal Özel Ağı (VPN) sistemine erişmek için karanlık web’de bulunan meşru kimlik bilgilerini kullandıklarında başladı. Beş gün sonra, bir saldırı başlattılar ve birkaç saat içinde, alan denetleyicileri üzerinde – ağ üzerinde etkili bir şekilde kontrol sahibi olan en yüksek idari ayrıcalıkları kazandılar ve fidye yazılımı hazırlığına özgü kalıcılık araçlarını kurmaya başladılar. Bu, güvenlik izlemesini tetikledi.
Paradoks bakan Martin de VriesTU/E’nin Baş Bilgi Güvenlik Görevlisi (CISO), BİR Modern Siber Güvenlik Hakkında Rahatsız Gerçek: Mükemmel Önleme kalıntılar Zor, iyi hazırlanmış kuruluşlar. Fakat, Kriz çağrısı o Cumartesi akşamı geldiğinde, ekibinin hızlı tepkisi bir haftalık aksaklık ve potansiyel yıkım arasındaki farkı kanıtlayacaktı.
Durum de Vries karşılaşılan Siber Güvenlik Kabusu: Ekibiyle savaşan kurumsal ayrıcalıklara sahip saldırganlar ağ kontrolü.
“Bu bir Kedi ve fare oyunu, ”diye hatırlıyor. sunucular, Onları başka bir sunucuda gördük. Bu ayrıcalıklara sahip oldukları için, aynı zamanda erişim haklarımızı da ortadan kaldırıyorlardı. Onlarınkini alıyorduk. ”
Geleneksel sınırlama önlemleri başarısız olduğunda, karar TU/E’nin 14.000 öğrencisini ve 4.700 personeli çevrimdışı alarak üniversitenin bağlantısını tamamen koparmak için yapılmış Olduğu için bir hafta. Fakat, adli analiz Fox-It daha sonra bu kararı doğruladı yıkıcı bir fidye yazılımı saldırısını önledi.
Uygulama boşlukları
TU/E’nin deneyimi, güvenlik bilinci ile en çalışkanları bile rahatsız eden kusursuz yürütme arasındaki boşluğu ortaya çıkarır. kuruluşlar. 2024’ün sonunda, üniversite tanımlanmış Birkaç kullanıcı hesabına ait, onları “riskli kullanıcılar” olarak işaretleyen tehlikeye atılmış kimlik bilgileri İzleme araçları. “Bu hesapların sızdırıldığını biliyorduk ”diye itiraf ediyor De Vries. bunları geçen yılın sonunda tanımladı ve kullanıcılara değiştirme konusunda talimatlar gönderdi Şifreleri. Ancak Bir yapılandırma hatası Aynı şifreyi tekrar girmelerine izin verdi. ”
Bu tek gözetim, başarılı bir iyileştirme sürecinin ne olması gerektiğini zayıflattı.
Benzer şekilde, üniversitenin VPN’si için çok faktörlü kimlik doğrulama zaten planlanmış ve bütçelenmiştir. ” Program Yaz ayına kadar uygulanacak ”diyor.“ Bu süre boyunca konuşlandırılacaktı. ”
Bunun yerine, saldırganlar karanlık web kimlik bilgilerini kullanarak ilk erişim elde etmek için yokluğundan yararlandı.
Yanıt sergilenen Hollanda’nın yüksek öğrenim siber güvenliğine ortak yaklaşımı. Tu/e’den faydalanma SörfFox-it tarafından verilen ve tarafından yönetilen bir güvenlik izleme hizmeti Sörf– . işbirlikçi organizasyon Hollanda üniversitelerine ve araştırma kurumlarına BT hizmetleri sunmak. Surf, kötü niyetli aktiviteyi tespit etti 9:55 ve tu/e tarafından uyarıldı 10:48üniversitenin olduğu gibi Güvenlik ekibi cevap verdi dahili uyarılara. Bu gereksiz algılama sistemi yanıt zaman çizelgesini hızlandırdı.
“Zaten potansiyel kötü niyetli etkinliğin farkındaydık. Fox-it, faaliyet Sörf– bizimle iletişime geçti ”diyor De Vries.
TU/E, Fox-It’in acil müdahale hattı aradığında 23:50– Fox-it, TU/E’nin kararını destekledi Ağın bağlantısını kesin hemen. Ağ 1: 17’de çevrimdışı gitti Ben Pazar günü, uzaktan yönetim araçlarını kuran, ayrıcalıklı hesaplar oluşturan saldırganları kesmek ve deneme Yedekleme sistemlerini devre dışı bırakmak için – fidye yazılımı hazırlığının tüm ayırt edici özellikleri.
Hasara karşı bozulma
Bir hafta boyunca 20.000 kullanıcıyı çevrimdışı alma kararı hafifçe verilmedi, ancak alternatif çok daha kötü olurdu. Fox-Adli soruşturma, “Düşman, fidye yazılımı saldırısına özgü birçok özellik sergiledi ” Etki Alanı Yöneticisi ayrıcalıklarına hızlı yükselme ile ve deneme Yerleşik fidye yazılım oyun kitaplarını takip eden yedekleme sistemlerini devre dışı bırakmak için.
De Vries, “Üniversite için en büyük etkisi öğrenciler ve personel üzerindeydi” diyor. “Sınavları ertelemek zorunda kaldık; akademisyenler Uzun süreler boyunca kağıtları işaretlemek zorunda kaldı. Bu etki Euro olarak ifade edilemez ”. Yine de finansal hesaplama keskinti. De Vries’e göre, yanıtın doğrudan maliyetleri yönetilebilir kaldı – “her yıl güvenliğe harcadığımızla karşılaştırılamaz”. Ancak fidye yazılımı başarıyla konuşlandırılmış olsaydı, “muhtemelen milyonlarca olurdu”.
İnsan maliyeti, önemli olsa da geçicidi. Sınav programları yeniden düzenlendi, araştırma faaliyetleri durakladı ve normal operasyonlar bozulduancak üniversitenin temel işlevleri sağlam kaldı. Başarılı bir fidye yazılımı saldırısı aylarca sakat operasyonlara sahip olabilirken Veri kurtarma garantisi olmadan önemli fidye ödemeleri talep etmek.
TU/E’nin kararlı bir şekilde yanıt verme yeteneği düzenli kriz hazırlığından kaynaklandı. Üniversite katılmak Surf sektörü çapında Ozon siber kriz egzersizinde her iki yılda bir yıllık iç tatbikatlarla birlikte egzersiz yaparak kriz ekiplerinin felaket grevlerinden önce rollerini bilmesini sağlıyor. “Krizdeki herkes organizasyon Rollerini biliyordu ”diyor De Vries. Gerçek kriz vurduğunda. ”
Kriz yönetimi yapısı açık iletişim protokolleri ve tanımlanmış sorumluluklarla sorunsuz bir şekilde aktive edildi. Bu örgütsel Hazırlık, hızlı karar verme sürecini sağladı yerli saldırı.
Bu hazırlık TU/E’nin duvarlarının ötesine uzanmıştır. Üniversitenin kararı yayınlamak Ayrıntılı adli raporlar, Hollanda yüksek öğrenim sektörünün siber güvenlik konusundaki işbirlikçi yaklaşımını yansıtıyor– zıtlıklı İhlaller etrafında kurumsal gizlilik. Emsal tarafından ayarlandı Maastricht Üniversitesi2019 yılında büyük bir fidye yazılımı saldırısı geçiren ve diğer kurumlara yardım etmek için deneyimlerini açıkça paylaştı. “Biz EvrenizizIES – Bilgi kazanmak ve paylaşmak üzereyiz, ”diyor De Vries.“ Eğitim sektöründe bu deneyimleri paylaşmanın bir kültür var, böylece başkalarının onlardan öğrenebilmesi. ”
İşbirliği sistematiktir: Üniversite CISOS, istihbarat ve en iyi uygulamaları paylaşmak için sörf yoluyla aylık olarak buluşur. “Radarlarında bunu olmayan bir üniversite yok” diyor.
Kalıcı riskler
Karmaşık araştırma ortamları kalıcı güvenlik açıkları yaratır. TU/E, Windows 7 ekipmanını kullanarak araştırma gruplarını destekler, zorunlu Saldırganların kullanabileceği eski kimlik doğrulama protokolleri.
De Vries, “Hem eski hem de yeni sistemleri desteklemesi gereken bir BT manzaramız var çünkü araştırma grupları araştırmaları için hala mükemmel çalışan ancak eski işletim sistemlerini kullanıyor” diyor.
İşlemleri sürdürdüğünden beri TU/E araştırma sistemlerini internete yeniden bağlamadan önce bireysel güvenlik değerlendirmeleri yapmıştır.
Başarılı yanıtlara rağmen, o kalıntılar gelecekteki tehditler konusunda gerçekçi. De Vries, “Bu bir soru değil, ama ne zaman” diyor. “Bir organizasyon Güvenliğiniz ne kadar iyi olursa olsun, bunun olması için. ”
Diğer güvenlik liderlerine tavsiyesi pratiktir: Kriz müdahale ekiplerini düzenli olarak delin ve algılama sistemlerinin gün boyunca çalışmasını sağlayın. “İyi bir tespite ihtiyacın var İşler ters gittiğinde ve bir kriz ne zaman bilgilendirilirsiniz organizasyon Hemen hareket edebilir,“ De Vries diyor.
TU/E’nin deneyimi, iyi hazırlanmış olduğunu bile kanıtlıyor kuruluşlar geriye kalmak hassas. Ancak hızlı tespit, belirleyici liderlik ve kısa vadeli bozulmayı kabul etmek çok daha uzun vadeli hasarı önleyebilir. Ne zaman Mükemmel güvenlik kalıntılar imkansızcevap kalite belirlemek darbe.