Wielka Brytania Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) dołączył do kluczowych międzynarodowych partnerów w ostrzeganiu operatorów krytycznej infrastruktury krajowej (CNI) – takich jak sieci telekomunikacyjne, dostawcy energii i media, operatorzy transportowi oraz specjaliści ds. logistyki i dystrybucji, aby mieć się na baczności przed włamaniami do ich systemów pochodzących z złośliwi aktorzy powiązani z państwem rosyjskim.
To jest gorące po piętach wspólne doradztwo opublikowane przez amerykański odpowiednik NCSC, Agencję Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), wraz z FBI, które wezwały operatorów CNI do „przyjęcia podwyższonego stanu świadomości i prowadzenia proaktywnego polowania na zagrożenia”. Bezpieczeństwo CNI było gorącym tematem od jakiegoś czasu, ale później zyskało na znaczeniu w USA ransomware z maja 2021 r. trafił na Colonial Pipeline.
NCSC wezwał operatorów CNI z siedzibą w Wielkiej Brytanii do podjęcia natychmiastowych działań w celu wzmocnienia ich pozycji w zakresie bezpieczeństwa cybernetycznego, w tym łatania wszystkich systemów, dając pierwszeństwo znanym eksploatowanym podatnościom i zero-days; wdrożenie uwierzytelniania wieloskładnikowego; oraz wdrażanie oprogramowania antywirusowego.
Władze Wielkiej Brytanii zalecają również organizacjom stosowanie się do dodatkowych rad przedstawionych przez Amerykanów, którzy wymienili również 13 głośnych luk w zabezpieczeniach, o których wiadomo, że są popularne wśród rosyjskich grup zajmujących się zagrożeniami, aby uzyskać wstępny dostęp do swoich celów – oprócz technik takich jak włócznia. ataki typu phishing i brute force.
Lista 13 powszechnych podatności i ekspozycji (CVE) jest następująca:
Ani władze amerykańskie, ani brytyjskie nie ujawniły obecnie żadnych konkretnych danych wywiadowczych związanych z trwającymi obecnie wspieranymi przez państwo rosyjskimi kampaniami cybernetycznymi, co nie znaczy, że takie dane wywiadowcze nie istnieją.
Tripwire Wiceprzewodniczący ds. strategii Tim Erlin powiedział: „Ważne jest, aby pamiętać, że infrastruktura krytyczna to coś więcej niż tylko fraza. Opisuje szeroki przekrój infrastruktury, na której polegamy. Infrastruktura krytyczna jest naprawdę krytyczna.
„Ten alert zawiera nie tylko informacje o zagrożeniu, ale także rzeczywiste, przydatne informacje, które organizacje mogą wykorzystać do obrony” – powiedział. „Wykorzystywanie struktury MITER ATT&CK do identyfikowania złośliwych działań i mapowania na prawidłowe działania łagodzące jest bardzo cenne.
„Ten alert koncentruje się na określonym zestawie zagrożeń i działań mających na celu zidentyfikowanie tych zagrożeń i reagowanie na nie” — powiedział Erlin. „Organizacje powinny również dokonać przeglądu swoich środków zapobiegawczych pod kątem narzędzi i technik opisanych w tym alercie. Identyfikacja trwającego ataku jest ważna, ale zapobieganie jego sukcesowi jest lepsze”.
Tim Helming, ewangelista ds. bezpieczeństwa w Narzędzia domeny, zgodził się, że szersza porada CISA zawiera dobre wskazówki, chociaż zauważył, że niewiele z nich będzie wiadomością dla zespołów bezpieczeństwa na piłce.
„Wielu członków społeczności zajmującej się infrastrukturą krytyczną przyjmuje już postawę „zakładania naruszenia”, opierając się na naszej wiedzy o możliwościach tych podmiotów” — powiedział Helming.
„Procedury i narzędzia poprawiające widoczność zasobów i zarządzanie podatnościami, zarządzanie tożsamością i dostępem, zarządzanie logami, filtrowanie przychodzące i wychodzące, wykrywanie anomalii i analizy behawioralne są uznawane za podstawowe potrzeby i można śmiało powiedzieć, że są aktywnie ulepszane, aby w większym lub mniejszym stopniu w większości instalacji.
„Więc dlaczego CISA i inni wydali zalecenie? Po części dlatego, że gdyby tego nie zrobili, a kompromis zostałby potwierdzony, byłaby to rażąca luka” – powiedział. „Daje również właścicielom i operatorom borykającym się z ograniczeniami zasobów większe wsparcie w swoich żądaniach i ważne jest, aby nie lekceważyć tego, jak ważne może to być”.