Bezpečnostní doporučení: Postup pro zlepšení kybernetické bezpečnosti, v souvislosti s invazí na Ukrajinu.
Chceme poskytnout organizacím doporučení, jak se připravit na možné kybernetické útoky, které jsou přímým nebo nepřímým důsledkem současné geopolitické krize.
Ke dni sepsání tohoto bezpečnostního doporučení byly bezpečnostní incidenty méně frekventované, než jsme se původně obávali. Hlášené bezpečnostní incidenty jsou většinou distribuované útoky typu DDoS (Distributed Denial of Service). Zatím jsme nezaznamenali žádné ověřené zprávy o narušení průmyslových řídicích systémů (ICS), jako byly například paralyzující útoky na dodávky elektrické energie na Ukrajině v letech 2015 a 2016.
Tato situace se stále vyvíjí a je důležité zůstat informovaný a obezřetný. Očekáváme, že tento příspěvek budeme časem aktualizovat.
Doporučení
Dnešní doba je nejistá a komplikovaná. Ačkoli se může zdát náročné připravit se na tak rozsáhlé riziko, můžete podniknout konkrétní kroky, abyste svou organizaci proaktivně připravili. Nyní je nejvyšší čas přezkoumat vaši současnou strategii kybernetické bezpečnosti, otestovat plány reakce na incidenty, a zajistit, aby vaše řešení kybernetické bezpečnosti bylo nastaveno tak, aby maximalizovalo prevenci, detekci a reakci.
Ne všichni čelí stejným rizikům, a proto jsme naše poradenství rozdělili do tří různých úrovní podniků a organizací, v závislosti na jejich vztahu k Ukrajině. Všechna níže uvedená doporučení však mohou, a měla by být, v současné době využita ve všech třech úrovních podniků a organizací.
Navzdory současnému zvýšenému riziku je pro všechny organizace stále nejlepší ochranou bezpečnostní strategie typu "obrana do hloubky", která kombinuje kvalitní preventivní bezpečnostní kontrolu, rozšířenou o možnosti detekce a reakce.
1. Zaměřte se na záplatování zranitelných míst, o nichž je známo, že je zneužívají státem sponzorované APT. Patří mezi ně:
CVE-2018-13379 - FortiGate VPNs
CVE-2019-1653 - Cisco router
CVE-2019-2725 - Oracle WebLogic Server
CVE-2019-7609 - Kibana
CVE-2019-9670 - Zimbra software
CVE-2019-10149 - Exim Simple Mail Transfer Protocol
CVE-2019-11510 - Pulse Secure
CVE-2019-19781 - Citrix
CVE-2020-0688 - Microsoft Exchange
CVE-2020-4006 - VMware
CVE-2020-5902 - F5 Big-IP
CVE-2020-14882 - Oracle WebLogic
CVE-2021-26855 - Microsoft Exchange
CVE-2021-44228 – Log4j2
2. Otestujte, zda jsou vaše zálohy bezpečné a postupy obnovy spolehlivé pro případ, že vás napadne malware wiper. Pokud jste vystaveni zvýšenému riziku (viz naše doporučené kategorie rizik níže), doporučujeme vypnout všechny počítače a servery, které nejsou kritické, aby se minimalizoval potenciální dopad narušení bezpečnosti.
3. Aktivně monitorujte svou infrastrukturu, síť a prostředí, pro případné pokusy o napadení, a připravte si plán reakce.
4. Mějte přehled o aktuálním vývoji - pracovníci Bitdefender Labs a týmu MDR neustále aktualizují naši zpravodajskou databázi hrozeb, a aktivně monitorují situaci.
5. Pokračujte v monitorování phishingových kampaní a zajistěte, aby byli zaměstnanci upozorněni na zvýšené riziko.
Kdo je ohrožen a jaká je úroveň ohrožení?
Poznámka: Toto bezpečnostní doporučení se zaměřuje na rizika a hrozby pro podnikatelské subjekty. Curated Intelligence (mezinárodní projekt zaměřený na sdružování jedinečné komunity zpravodajských analytiků a osob reagujících na incidenty) spolupracuje s analytiky z celého světa, a je dobrým zdrojem pro organizace, které hledají další bezplatné zpravodajské informace o hrozbách. Další informace pro spotřebitele a širokou veřejnost poskytují Americké ministerstvo zahraničí a americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), které vydaly zdroje s podrobnými informacemi o rizicích a potenciálním dopadu na širokou veřejnost.
Úroveň 1 - Podniky a organizace se sídlem na Ukrajině
Na základě minulých událostí a schopností známých útočníků by podniky a vládní organizace na Ukrajině měly očekávat a připravit se na útoky zaměřené na přerušení a narušení dostupnosti služeb a IT systémů, včetně vymazání dat a útoků DDoS. Kromě toho může být ohrožena dostupnost sítě, protože tato krize také otevřela příležitost pro zprostředkovatele, kteří umožní prodat přístup k síti tomu, kdo nabídne nejvyšší cenu.
Pravděpodobnými útočnými zbraněmi jsou ty, které mají způsobit nevratné škody - například malware CrashOverride nebo NotPetya. Kromě toho jsme zaznamenali nový malware pro vymazávání dat s názvem HermeticWiper, který je příbuzný s malwarem rodiny KillDisk.
HermeticWiper může způsobit nevratné poškození. Tyto útoky mohou být přesně cílené, nebo mohou být použity v rámci útoku "spray and pray" na rozsahy IP adres s cílem způsobit co nejrozsáhlejší škody.
Níže jsou uvedeny názvy detekce, používané společností Bitdefender, pro nový malware HermeticWiper:
Trojan.HermeticWiper.A
Gen:Variant.Lazy.140164
Gen:Variant.HermeticWiper.4
Existuje několik kyberzločineckých skupin APT, které mohou tyto typy útoků provádět. Níže je uveden seznam skupin APT (Advanced Persistent Threat), kterým je třeba věnovat pozornost: Gamaredon, UNC1151 (Ghostwriter), APT29, APT28, Sandworm, Turla.
Některé skupiny navíc veřejně prohlásily, že se hodlají zaměřit na organizace podporující Ukrajinu; například TheRedBanditsRU, skupina Ransomware-as-a-Service známá také jako Conti, uvedla, že "vrátí úder, pokud bude kvůli americké kybernetické agresi ohroženo blaho a bezpečnost mírumilovných občanů".
Útoky těchto skupin mohou být oportunistické nebo si mohou vybírat cíle na základě geografické polohy, nikoli strategického významu.
Na druhé straně jsme byli svědky toho, že skupiny, jako jsou Anonymous nebo GhostSec, oficiálně oznámily podporu Ukrajině. Uvědomte si, že zapojení těchto mstících se hackerů bude nadále jen zvyšovat riziko a zmatek.
Úroveň 2 - Podniky a organizace spojené s Ukrajinou
Kybernetické útoky, které jsme dosud zaznamenali, se sice omezily na Ukrajinu, ale očekáváme, že budou mít dopad i na podniky v sousedních zemích, a organizace napojené na Ukrajinu. Podniky s B2B VPN připojením ke společnostem v Úrovni 1, ty, které využívají ukrajinské dodavatele nebo prodejce, a společnosti, u nichž hrozí, že budou ovlivněny útoky na ukrajinský dodavatelský řetězec, by měly mít své bezpečnostní týmy v pohotovosti, a být připraveny reagovat na jakýkoli bezpečnostní incident. Řiďte se výše uvedenými doporučeními a zajistěte si sledování jakékoli změny v bezpečnostním nastavení.
Cíle kybernetických útoků se mohou výrazně rozšířit, čímž se zvýší riziko pro společnosti okrajově spojené nebo napojené na Ukrajinu. Organizace by si měly uvědomit, jak mohou být propojeny a jaká rizika z těchto propojení vyplývají.
Úroveň 3 - Podniky a organizace v zemích podporujících Ukrajinu
Podnikům a organizacím v zemích, které se veřejně přihlásily k podpoře Ukrajiny, včetně všech zemí NATO a EU, hrozí možnost odvetného útoku jak ze strany domácích subjektů, tak ze strany "mstitelských" skupin. Je velmi pravděpodobné, že v zemích podporujících Ukrajinu mohou být nasazeny destruktivní útoky, využívající podobný malware, jako je výše zmíněný wiper malware. V tuto chvíli jsme však nezaznamenali žádný důkaz, že by se tak stalo "in natura".
Doporučujeme prostudovat pokyny Shields Up vydané organizací CISA. Ačkoli nejsou k dispozici žádné věrohodné informace týkající se konkrétních hrozeb, v současné době se situace vyvíjí, a je nezbytné okamžitě přezkoumat a otestovat plán kybernetické odolnosti a reakce jako proaktivní opatření.
Bezpečnostní komunita ve spolupráci s vládními institucemi
Zůstat ostražitý je dnes důležitější než kdy jindy. Jsme přesvědčeni, že je důležité, aby se vlády a bezpečnostní komunita spojily a společně se co nejefektivněji zapojily. Rumunské Národní ředitelství pro kybernetickou bezpečnost (DNSC) ,ve spolupráci se společností Bitdefender, 27. února oznámilo, že bude poskytovat technické poradenství, zpravodajství o hrozbách a bezplatně technologie kybernetické bezpečnosti jakémukoli podniku, vládní instituci nebo soukromému občanovi Ukrajiny po dobu, po kterou to bude nezbytné.
Rovněž jsme oznámili podporu pomoci podnikům a veřejným subjektům v zemích NATO a EU, které se snaží nahradit řešení kybernetické bezpečnosti z důvodu obav o důvěru z technického nebo geopolitického hlediska. Více o této akci se můžete dozvědět na našich stránkách na adrese: https://www.bitdefender.cz/bitdefender-proti-kyberneticke-agresi
Comments