28 січня, 2022

Американські фахівці попереджають про підвищений ризик кібератак на критичну інфраструктуру США. Які висновки мають зробити українські організації?    

Підвищення активності російських хакерів та зростання кількості атак на об’єкти критичної інфраструктури (про що зайвий раз свідчить остання кібероперація на українські державні інформаційні ресурси) вимагає більш ретельної підготовки до можливих кіберзагроз у США та всьому світі.  

 

Навіть найбільш розвинуті держави, такі як США, не можуть почуватися в безпеці, про що свідчить чергове спільне оголошення (joint advisory), підготовлене Агентством з кібербезпеки та безпеки інфраструктури США (Cybersecurity and Infrastructure Security Agency, CISA), Агентством національної безпеки (NSA) та Федеральним бюро розслідувань (FBI).  

 

З українським перекладом можна ознайомитись за посиланням.  

 

Головний висновок американських служб: ризики масштабних кібератак на об’єкти критично важливої інфраструктури США з боку спонсорованих Росією хакерів (Russian state-sponsored attacks) дуже високі.   

 

Чому українським компаніям варто детально ознайомитись з цим документом? Бо в багатьох аспектах він був підготовлений на основі даних, зібраних в Україні. Експерти CISA сформували список як «високопрофільної кіберактивності» підтримуваних Росією кіберзловмисників в період з 2011 по 2020 роки, так і конкретних TTP (Tactics, Techniques, and Procedures). Кібератаки на українські енергорозподільчі компанії, які призвели до масового відключення електроенергії, та висновки по цим атакам, стали невідʼємною частиною звіту. 

 

Україна тривалий час залишалась і, на жаль, залишається полем для тестувань TTPs російських хакерів, тому advisory  є практичною збіркою рекомендацій не тільки для компаній в США, але і для українського бізнесу - як підвищити ймовірність  виявлення кібер проникнення на ранніх стадіях.  

 

У своїх консультаціях американські агенції стверджують, що російські суб’єкти постійної загрози підвищеної складності (advanced persistent threat, або APT) використовують «загальні, але ефективні тактики, методи та процедури» для руйнування мереж. В якості прикладів наводяться, зокрема, цільовий фішинг (spearphishing), брут форс (brute force) та використання відомих вразливостей (CVE) в облікових записах та мережах із слабкою безпекою з метою отримання початкового доступу до атакованих мереж. Але ключова частина це те, що російські кіберзлочинці демонструють здатність проникати в мережі і залишатися непоміченими протягом тривалого часу, в решті використовуючи легітимні записи користувачів та технологічних облікових записів, зазначають американці фахівці.

  

«В умовах, коли юридичну атрибуцію кібератак довести майже неможливо, а велика кількість систем критичної інфраструктури має суттєві прогалини в комплексній системі кіберзахисту, особливо в частині моніторингу подій безпеки і виявлення поведінкових аномалій субʼєктів та обʼєктів ІТ-оточення, цілком ймовірно, що масштабні атаки, подібні до тих, що відбуваються в Україні, будуть мати місце і в інших державах. Показово, що США намагаються максимально підготуватися до подібних сценаріїв вже протягом багатьох років, і наразі випустили чудовий Joint Cybersecurity Advisory. Це зайвий раз говорить про зростання кібер ризиків та нагальної необхідності проведення додаткових безпекових заходів як в Україні, так і в усьому світі», - коментує  Артем Михайлов, директор з корпоративних рішень ISSP. 

 

До чого готуватися? 

 

Отже, advisory містить перелік щонайменше з 13 вразливостей (CVE), якими часто користуються спонсоровані Росією кіберзлочинці. Експерти, в першу чергу, виділили вразливості, що впливають на роботу Microsoft Exchange, Oracle WebLogic Server та Cisco Router. Крім того, перелічуються шість видів шкідливого програмного забезпечення (malware), пов’язаного з зазначеними операційними технологіями. 

 

Основні вразливості, згідно з CISA: 

 

Для мінімізації потенційних ризиків кіберзагроз ISSP радить здійснити наступні кроки:  

  

  1. Проведіть повну перевірку (cyberhealth check-up) своїх інфраструктур, адже непомічені вразливості можуть залишатися в них роками. Це в певному сенсі швидкий аудит “прогалин”, які потрібно оперативно залатати або поведінкових аномалій, які можуть свідчити про підконтрольну кіберзлочинцям частину ІТ-інфраструктури.  

  2. Оцініть свою поточну кіберспроможність, визначіть групи ризиків та проаналізуйте наскільки ефективно технічні інструменти для блокування й раннього виявлення атак  (антивіруси, фаєрволи тощо) здатні блокувати небажане проникнення хакерів. Joint Cybersecurity Advisory наводять конкретні практичні рекомендації. 

  3. Слід невідкладно пересвідчитися, що всі без виключення облікові записи мають другий фактор аутентифікації

  4. Забезпечте технічну можливість для вашої команди моніторити всі ІТ процеси в режимі реального часу. Важливо налаштувати централізоване зберігання всіх телеметричних даних та відслідковувати всі IT події. Доречним також буде розглянути можливість підключення до зрілого Security Operation Center для виявлення можливих атак в максимально стислі терміни. 

  5. Розробіть та протестуйте з командою чіткий план по реагуванню на можливий інцидент (tabletop exercise). Що ми робимо, якщо інцидент вже трапився? Які наші дії, якщо в інтернет мережу потрапили персональні дані наших клієнтів? Як ми будемо комунікувати проникнення в нашу інфраструктуру? Всі члени команди повинні бути ознайомлені з action plan і діяти відповідно.  

  6. Перевірте наскільки ваші системи захищені від вже відомих вразливостей, наприклад тих, які наведені у цьому advisory.   

  7. Проведіть ревʼю мережевих архітектур. Якщо хакери захочуть потрапити у ваші мережі, які точки входу вони можуть використати? Проведіть необхідні апдейти та мінімізуйте ризики проникнення.

  8. Проведіть навчання співробітників щодо cybersecurity awareness. Це дуже важливий момент, адже до 80% кібератак починаються саме із маніпуляції поведінки користувачів. Це як тренінги з охорони життєдіяльності людини тільки для кібербезпеки. Ваш співробітник — це перший і часто вкрай важливий живий фаервол.  

  9. Проведіть пентести (тести на проникнення). Це певна доказова база, що вразливості, які ви знайшли, дійсно є загрозою для ваших IT та OT мереж. 

  10. Немає кращого часу ніж зараз, щоб  розпочати вибудовувати якісні процеси та процедури, пов'язані з кібербезпекою, а також впроваджувати cybersecurity framework у вашій організації. Абсолютно захищених мереж не існує, тому головне завдання - ефективно налагодити безперервний процес оцінки ризиків, раннього виявлення та попередження атак, а також мінімізації потенційних наслідків проникнення кіберзловмисників.    

 

Якщо ж потенційну кіберзаргозу в ІТ або OT системах все ж виявлено, рекомендується наступний алгоритм дій: 

 

  1. Ізолювати уражені системи на рівні мережі та у кінцевих точках. 

  2. Захистити дані резервного копіювання, перевівши їх в автономний режим, а потім перевірити наявність додаткових шкідливих програм безпосередньо в бекапах. 

  3. Проаналізувати всі журнали аудиту та інші наявні артефакти. 

  4. Якщо неможливо вирішити проблему за рахунок внутрішніх команд, необхідно звернутися за допомогою до зовнішніх експертів. 

 

Ну і більш технічні рекомендації щодо підвищення кіберстійкості Вашої організації. 

  1. Проведіть оцінку персоналу, відповідального за реагування на можливий кіберінцидент. Визначте чіткі ролі та обов’язки у випадку розгортання атаки. Для промислових та виготовчих підприємств: переконайтеся, що співробітники служби кібербезпеки контролюють внутрішні процеси в IT/OT мережах та можуть виявляти аномальну поведінку (використання скомпрометованих даних облікових записів, спроб злому паролів, незвичайну активність у зазвичай неактивних акаунтах тощо).

  2. Обов’язково створіть та чітко виконуйте план реагування на кіберінциденти. Розробіть план забезпечення стійкості, в якому описані дії у разі втрати доступу або контролю над ІТ ОТ мережами. Переконайтеся, що ОТ мережа може безпечно працювати, навіть якщо ІТ мережа скомпрометована. 

  3. На регулярній основі проводьте процедури резервного копіювання даних в IT та OT мережах. Резервні копії повинні бути максимально ізольовані від мережі Інтернет та захищені від шкідливого програмного забезпечення. 

  4. Розробіть чітку політику для встановлення паролів та доступів до облікових записів. Обов’язково використовуйте багатофакторну автентифікацію та принцип «мінімальних привілеїв». Облікові записи адміністраторів повинні мати мінімальні дозволи, необхідні для виконання  функціональних обов’язків. 

  5. Використовуйте антивірусні програми з останніми оновленнями та проводьте регулярне сканування IT/OT мереж на предмет виявлення шкідливого програмного забезпечення.  

 

Завчасно проведена оцінка ризиків та підключення до професійного Security Operation Center коштуватиме в рази менше, ніж відновлення повноцінного функціонування IT та OT мереж. Тому будьте кіберсвідомими та чітко виконуйте рекомендації експертів з кібербезпеки, гаряча лінія ISSP: cyberhotline@issp.com