Після Sunburst (Solarwinds) атака на Kaseya стала другою сенсаційною атакою на ланцюг поставок за шість місяців. Зважаючи на кількість компаній, які постраждали одночасно, кібератака, безперечно, є однією з найбільших в історії ІТ-безпеки. Коментар Річарда Вернера, бізнес-консультанта Trend Micro, щодо кризи Kaseya.
У вихідні 4 липня, у Національний день США, кібератака вразила постачальника послуг Kaseya та швидко поширилася на його клієнтів та інші компанії. За даними новинної платформи Bleepingcomputer, постраждали близько 50 прямих клієнтів провайдера, які, у свою чергу, заразили своїх клієнтів як постачальників послуг. За даними інформаційного агентства, постраждали близько 1.500 компаній у всьому світі.
50 клієнтів Kaseya заразили 1.500 інших компаній
Trend Micro може підтвердити, що інциденти також були в Німеччині. Те, що напад стався в одне з найважливіших свят США, – не випадковість, а ретельний розрахунок зловмисників – який і спрацював. Мало того, що групи ІТ-безпеки зазвичай не укомплектовані у вихідні та святкові дні, але й ланцюжки зв’язку з постраждалими клієнтами також були розірвані, що дозволило атаці поширюватися безперешкодно в багатьох випадках. Зважаючи на кількість компаній, які постраждали одночасно, кібератака, безперечно, є однією з найбільших в історії ІТ-безпеки. Якщо розбити їх на окремі частини, на думку спадає багато паралелей з іншими атаками. З грубої схеми, що повторюється, компанії можуть винести кілька корисних уроків для своєї інфраструктури:
Все починається з уразливості
У справі «Касея» вражає те, що в програмному забезпеченні була використана прогалина в безпеці, про яку виробник знав на момент скоєння злочину і закриття якої вже перебувало в бета-фазі. У зловмисників залишилося небагато часу, якщо вони хотіли досягти успіху. Постачальник послуг дізнався про існування вразливості через так зване «відповідальне розкриття інформації» та працював над її усуненням. Тимчасовий зв’язок незвичайний і залишає простір для інтерпретацій. Хоча проблема виправлення добре відома в ІТ-безпеці, компаніям слід пам’ятати, що зловмисники шукають уразливості не лише в Microsoft чи інших широко використовуваних варіантах програмного забезпечення, а й у програмному забезпеченні постачальників ІТ-послуг. Основна увага приділяється програмам, які безпосередньо спілкуються з кількома пристроями клієнтів. Якщо ви розробляєте власне програмне забезпечення, цей факт також має бути частиною розрахунку ризику.
Специфіка атаки на ланцюг поставок
Весь інцидент відноситься до категорії «атака на ланцюг поставок». У цій категорії, яка все ще зустрічається відносно рідко, але стає все більш поширеною, зловмисник спочатку заражає постачальників ІТ-послуг. Вони такі цікаві, тому що вони підтримують існуючі або активовані ІТ-з’єднання з іншими компаніями. Це стосується, наприклад, механізмів оновлення, які здійснюють оновлення безпосередньо в зовнішніх системах, а також систем віддаленого обслуговування, обробки замовлень тощо. У результаті зловмисники можуть заволодіти машиною, зазвичай сервером, у центрі обробки даних жертви. На відміну від «класичних» атак, вся безпека мережі та клієнтські рішення безпеки обходяться. Залишається те, що активується на серверних системах і контролює зв’язок між серверними системами.
Застарілі антивірусні технології відкривають шляхи
Особливо в локальних центрах обробки даних, це дуже часто застаріла антивірусна технологія. Крім того, часто відсутні важливі патчі безпеки – якщо операційні системи взагалі підтримуються. Ця обставина гарантує, що злочинець часто може надзвичайно швидко усунути остаточну жертву та пересуватися в системах майже непоміченим. Чим більша початкова шкода, тим краще для нападника, оскільки це може створити величезний тиск. Спеціальна пропозиція Kaseya дала зловмисникам можливість не лише напряму зв’язатися з компаніями, але й з їхніми клієнтами. Цим пояснюється відносно велика кількість жертв. Атаки на ланцюги поставок відносно рідкісні, оскільки вони складні та вимагають від зловмисника значних зусиль. Однак їх вплив часто є летальним.
Уроки від Kaseya
Важливо розуміти, що це не прохідна хвиля. У нинішньому середовищі ІТ-безпеки, що швидко змінюється, у багатьох випадках за поточну ситуацію відповідають зовнішні фактори. Серед них важливість ІТ у компаніях, загальне використання ІТ працівниками та поява біткойна. У той час як перші два сприяють тому, що ІТ, і, отже, перш за все ІТ-безпека в компаніях, стають все більш і більш складними і, отже, більш заплутаними, поява криптовалют фактично зробила революцію в кіберпідпіллі. Це дозволяє підпільним героям дедалі більше спеціалізуватися та вільно торгувати один з одним. Усі три чинники більше не можна скасувати. Зазначена складність все більше стає тягарем для захисників, що створює проблеми як у перенесеній, так і в суто міжособистісній взаємодії. Тому компанії повинні перевірити свою поточну стратегію безпеки на сучасні методи атак. Приклад Касеї може допомогти.
Більше на TrendMicro.com
Про Trend Micro Як один із провідних світових постачальників ІТ-безпеки, Trend Micro допомагає створити безпечний світ для обміну цифровими даними. Завдяки більш ніж 30-річному досвіду в галузі безпеки, глобальним дослідженням загроз і постійним інноваціям Trend Micro пропонує захист для компаній, державних установ і споживачів. Завдяки нашій стратегії безпеки XGen™ наші рішення отримують переваги від поєднання методів захисту між поколіннями, оптимізованих для передових середовищ. Інформація про мережеві загрози забезпечує кращий і швидший захист. Оптимізовані для хмарних робочих навантажень, кінцевих точок, електронної пошти, Інтернету речей і мереж, наші підключені рішення забезпечують централізовану видимість у всьому підприємстві для швидшого виявлення загроз і реагування.