Powiew zmian - czego uczy nas SolarWinds

W grudniu 2020 roku świat dowiedział się, że Platforma Orion firmy SolarWinds została naruszona przez cyberprzestępców, potencjalnie wpływając na tysiące firm na całym świecie. Grupy bezpieczeństwa, takie jak National Cyber Security Centre (NCSC), zapewniły porady i wskazówki dla zespołów bezpieczeństwa i firm IT, jakie działania powinny podjąć, aby zminimalizować wpływ na nich i ich klientów.

Jednak zaawansowane trwałe zagrożenie (APT) niesie ze sobą niepokojący kontekst, który wymaga dalszego zgłębienia, ponieważ firmy nadal zmagają się z bieżącymi problemami globalnej pandemii oraz coraz bardziej zmęczonych, pracujących zdalnie pracowników.

Wiedza to potęga

W następstwie odkrycia naruszenia, krajowe agencje bezpieczeństwa, takie jak NCSC, szybko udzieliły porad i wskazówek. Korzystając z narzędzi takich jak Cyber Information Sharing Programme (CiSP), udostępniły one informacje techniczne dotyczące tego, jak ocenić, czy organizacja jest zagrożona i jakie działania powinna podjąć, jeśli tak się stanie. Po ogłoszeniu, SolarWinds udostępnił obszerne porady i informacje, z którymi warto się zapoznać, ponieważ zawiera również szczegółową sekcję 'FAQ'. Jednak łatwo jest się pogubić w histerii i szumie mediów społecznościowych, który pojawia się po każdym ataku na dużą skalę.

Porady oferowane przez CiSP obejmują następujące kroki:

- Ocenić wersję platformy Orion, która została zainstalowana

- Przeanalizować kluczowe pliki (np. Solarwinds.orion.core.business.dll) pod kątem złośliwych alertów

- Ocenić, czy oprogramowanie antywirusowe zostało wyłączone

- Ocenić logi DNS sięgające Q1 2020

- Zidentyfikować, czy na którymś z serwerów znajduje się 'C:\Windows\SysWOW64\netsetupsvc.dll

Zgodnie z zaleceniami platformy CiSP i SolarWinds, wszyscy użytkownicy platformy SolarWinds Orion powinni natychmiast rozważyć te kroki. Oczywiście czynności te powinny być wykonane przez personel techniczny, który ma doświadczenie z pakietem SolarWinds Orion, a jeśli jeszcze nie zarejestrowałeś się w usłudze CiSP, gorąco polecam to zrobić. Mówię to nie tylko dlatego, że otrzymasz bezpośrednią poradę od NCSC, ale inni specjaliści mogą również dostarczyć porad i wskazówek na temat tego, na co należy zwrócić uwagę, a także działań, które należy podjąć po każdym znaczącym wydarzeniu. (CiSP było powszechnie uznawane za wsparcie w usuwaniu skutków ataku ransomware Wannacry z 2017 roku).

Czyny przemawiają głośniej niż słowa

Wszyscy wiemy, że nie ma czegoś takiego jak 100% bezpieczeństwo, a ponieważ nasza infrastruktura techniczna i biznesowa staje się coraz bardziej złożona, podatności na ataki są znanym problemem, który wszyscy musimy starać się zrozumieć i przed którym musimy się chronić.  Cyberprzestępcy mogą tworzyć takie luki, ale mogą one również powstawać w wyniku błędów ludzkich. Kluczem do skutecznej ochrony jest podjęcie proaktywnych działań w celu przeanalizowania naszych środowisk technicznych, aby zapewnić, że możemy szybko zidentyfikować przypadki zainfekowanego oprogramowania (w tym platformy Orion). Ale ten krok nie jest czymś, co zdarza się raz w roku lub po jakimś ważnym wydarzeniu. Zbyt często widzieliśmy systemy i usługi, które pojawiły się "online" wiele miesięcy po przeprowadzeniu skanowania. Oznacza to, że mogą minąć miesiące zanim zostanie przeprowadzone kolejne skanowanie, które zidentyfikuje luki uważane przez kierownictwo za załatane dawno temu.

Powiew zmian - lekcje, których musimy się nauczyć

Incydenty i wydarzenia na dużą skalę niosą ze sobą lekcje dla nas wszystkich, nie tylko tych, których bezpośrednio dotyczą. Jeśli miałeś szczęście nie być dotknięty tym konkretnym zdarzeniem, jakie wnioski powinieneś z tego wyciągnąć? Oto moje przemyślenia:

Nikt nie jest samowystarczalny

Otrzymywanie wiarygodnych porad i informacji po ataku jest niezwykle ważne, dlatego też CiSP, NCSC oraz Cybersecurity and Infrastructure Security Agency (CISA) w USA są niezwykle ważnymi źródłami, które powinniśmy śledzić, coraz częściej z nimi współpracować i je wspierać. Nawiązywanie kontaktów z innymi osobami w Twojej branży lub sektorze i proaktywna wymiana informacji jest niezwykle istotna, ponieważ to właśnie my jesteśmy zazwyczaj wzywani, aby wszystko naprawić, jeśli/kiedy pojawi się problem. Jesteśmy globalną społecznością, więc podziel się swoją wiedzą i doświadczeniem, aby świat stał się bezpieczniejszy.

Prowadźmy monitorowanie

Jeśli posiadasz certyfikat PCI DSS, wiesz, że dziesiątym wymogiem jest "Śledzenie i monitorowanie całego dostępu do zasobów sieciowych i danych właścicieli kart".  Dlatego firmy powinny codziennie przeglądać swoje logi w poszukiwaniu błędów, anomalii lub podejrzanej aktywności, która odbiega od normy. Korzystanie z narzędzi, takich jak na przykład Tripwire Enterprise, zapewnia w pełni zintegrowane rozwiązania do zarządzania polityką, integralnością plików i remediacjami, które pomogą zmniejszyć prawdopodobieństwo, że coś wydarzy się w sieci bez wiedzy użytkownika. Idea trwałego monitorowania jest z nami od jakiegoś czasu, ale mam wrażenie, że wciąż jest stosunkowo mało wykorzystywana, częściowo przez postrzegany narzut zasobów wymaganych do monitorowania logów, itp. Dlatego właśnie potrzebny jest mechanizm monitorowania logów i systemów, który jest na tyle inteligentny, że ostrzega tylko wtedy, gdy zagrożenie jest realne.

Ufajmy dostawcom

Jak wspomniano powyżej, nikt nie jest samowystarczalny. Musimy zatem ufać innym, że dostarczają produkt lub usługę, która jest tak bezpieczna, jak to tylko możliwe. Nie ma jednak usprawiedliwienia dla braku własnych form należytej staranności i przeglądu podczas wprowadzania na rynek nowych systemów i usług. W każdym projekcie technicznym, a zwłaszcza przy wdrażaniu usług, które ostatecznie pomagają zarządzać naszym środowiskiem technicznym i operacyjnym, musi być przeprowadzany aspekt testowania podatności na zagrożenia bezpieczeństwa. Czy jesteś zadowolony ze swojego procesu wdrażania lub nabywania usług? Jakie decyzje są podejmowane w odniesieniu do systemów, produktów lub usług, które są wykorzystywane w Twojej organizacji i jakie oceny bezpieczeństwa są przeprowadzane? Jedną z metod zarządzania tym procesem jest kategoryzacja dostawców na "poziomy", z których każdy ma jasno określony zestaw wymagań. (np. od wszystkich dostawców poziomu 1 oczekuje się wdrożenia normy ISO27001 i corocznego poddawania się audytom). Ponadto, można opracować poziomy z mniej rygorystycznymi wymaganiami, ale wszystkie one powinny być oparte na ryzyku.

Testowanie, testowanie, 1, 2, 3...

SolarWinds był znaczącym wydarzeniem, które zostało szeroko nagłośnione, więc kadra zarządzająca prawdopodobnie o tym wie. Wierzę, że jednym z problemów, z jakimi boryka się wielu z nas, jest to, jak zaangażować najwyższe kierownictwo, ale czy to dlatego, że nie testujemy ich w rzeczywistych scenariuszach? Wszyscy w sektorze bezpieczeństwa zdają sobie sprawę z tego, jak ważne jest testowanie projektów, ale jak często przeprowadzamy stress-test dla kadry kierowniczej? Jeśli testujemy ich tylko wtedy, gdy mamy do czynienia z prawdziwym wydarzeniem, skąd będziemy wiedzieć, jak zareagują?

Wykorzystaj wydarzenia takie jak Wannacry, SolarWinds i inne do przetestowania swoich planów zarządzania kryzysowego, ponieważ przynosi to podwójną korzyść - pomaga wykazać, że istniejące mechanizmy kontrolne są odpowiednie (lub nie) oraz zapoznaje zespół zarządzania kryzysowego z procesami, które należy stosować w przypadku wystąpienia zdarzenia.

Wnioski

Wszystko, co robimy, wiąże się z ryzykiem i nigdy nie ma 100% bezpieczeństwa. Na pierwszy rzut oka brzmi to dość przygnębiająco, ale przesłanie jest takie, że każdy z nas może wyciągnąć wnioski w przypadku wystąpienia poważnego incydentu lub zdarzenia. Musimy być proaktywni. Musimy dzielić się informacjami. I musimy się uczyć i rozwijać.

W ten sposób uczynimy świat bezpiecznym miejscem dla nas wszystkich.

Autor:

Gary Hibberd - specjalista od Cyberbezpieczeństwa i ochronych danych z 35-letnim stażem w IT.