Противниците продължават да злоупотребяват с доверието във веригата на доставки

Доверяваме се толкова много на нашите организации – системи, партньори и доставчици – за внедряване на софтуер, мониторинг производителност на мрежата, закърпване (както системи, така и софтуер), набавяне на софтуер / хардуер и изпълнение на толкова много други задачи. Наскоро атака срещу рансъмуер използва една такава система, за да се насочи успешно към хиляди компании жертви.

В този последен пример хакерите са насочени към софтуера за управление на ИС на Kaseya VSA, който е проектиран да позволи на ИТ администраторите да наблюдават системи, да автоматизират светски задачи, да разполагат софтуер и системи за корекции. Нападателите успяха експлоатирайте нулев ден за достъп до потребителски екземпляри на продукта и използване на собствената му функционалност за внедряване на рансъмуер към крайните точки на тези клиенти.

Допълнително усложнявайки проблема, управляваните доставчици на услуги (MSP) използват софтуера Kaseya, за да управляват клиентската си среда. Когато нападателите компрометираха Kaseya, MSP неволно и несъзнателно разпространиха рансъмуера на своите клиенти.

Това е само един пример за това как нападателите продължават да злоупотребяват с доверие по уникални начини, което оставя много специалисти по сигурността и ИТ да се чудят: “Защо нещо подобно не се е случило по-рано?”

Нападателите стават по-смели

Ransomware групата REvil продължава да става още по-смела. Не се заблуждавайте, атака, каквато видяхме срещу Касея, беше предписана и целенасочена да нанесе максимален размер на щетите на най-голямото количество цели. Веднага след атаката те се похвалиха, че са заразили повече от милион устройства и определи искане за откуп от 70 милиона долара. Ако една организация плати, те обещаха, че декрипторът ще работи във всички засегнати организации.

Това осветява тревожна тенденция, която наблюдаваме, когато целите на атаките се пренасочват от отделни организации към експлоатиращи платформи, като Kaseya или SolarWinds, които позволяват да бъдат засегнати множество организации. Атакуващите продължават да изследват инструментите, на които всички разчитаме, за да намерят начини за злоупотреба с местната функционалност за ефективно изпълнение на атака. Тази последна атака злоупотребява със старо копие на Microsoft Defender, което позволява странично зареждане на други файлове.

Софтуерът е уязвим чак по веригата

Всички инструменти, на които организациите разчитат – като данъчен софтуер, сензори за нефтопроводи, платформи за сътрудничество и дори агенти за сигурност – са изградени върху същия уязвим код, платформи и софтуерни библиотеки, от които крещи екипът ви за управление на уязвимостите хълмовете да се закърпят или актуализират незабавно.

Организациите трябва да държат своите партньори по веригата на доставки, доставчици и други отговорни за отстраняване на уязвимостите в софтуера, който са изградили върху тази къща от карти, както и да разберат експозицията, която имат, като внедрят споменатия софтуер в тяхната среда.

Бягайте по-бързо от следващия човек; Вземете защитни стъпки сега

Блог на Forrester, Ransomware: Преживейте, като надбягате Гай до вас, обсъжда защитата срещу рансъмуер чрез втвърдяване на системи, за да превърне вашата организация в твърда цел. Атаките на веригата за доставки заобикалят защитата, като използват доверието ви в системите. За да се предпазите от тях, трябва да разгледате присъщото доверие, което сте поверили на вашата верига за доставки.

За начало организациите трябва да направят опис на критичните партньори, които имат голяма опора в своята среда, като доставчиците, използвани за сътрудничество / имейл, MSP, които управляват и наблюдават инфраструктурата, или доставчици на сигурност, които могат да разполагат с агент, разположен във всяка система . След като съставите списъка си, трябва:

  • Попитайте тези партньори какво правят, за да ви попречат да станете следващата жертва на разрушителна атака. Попитайте за процеса на затваряне за прокарване на актуализации за вашата среда. Как те актуализират QA, преди да бъдат натиснати? Попитайте доставчиците на решения как осигуряват своя код и оценете този код за уязвимости.
  • Разберете дали те разполагат с подходящите процеси и архитектура, за да предотвратят типа странично движение, което видяхме при последната атака. Попитайте как те осигуряват собствената си среда, особено сървърите си за актуализация. Поискайте да видите резултатите от одита или оценката от оценители на трети страни.
  • Прегледайте споразуменията си за услуги за да разберете каква договорна отговорност имат тези партньори, за да ви предпазят от рансъмуер и злонамерен софтуер. Разберете какви права имате да поискате обезщетение, ако сте жертва на атака поради системи на доставчик на услуги, използвани като превозно средство за доставка.

Организациите трябва да предприемат агресивни стъпки за прилагане на предписанията съвет за изкупване както и да разгледате допълнителни ресурси за изкупване за ограничаване на радиуса на взрива на атака.

Тази публикация е написана от анализатора Стив Търнър и първоначално се появи тук.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com