Na początku tego roku, Eindhoven University of Technology (Tu/e), jeden z wiodących uniwersytetów technicznych w Holandii, wykazane niewygodna prawda, że eVen organizacje które zaznaczają wszystkie cyberbezpieczeństwo pola bezpieczeństwa mogą padać ofiarą wyrafinowanych ataków, kiedy Atakerzy uzyskali dostęp na poziomie przedsiębiorstwa do swojej sieci i zaczęli przygotowywać to, co doszli do doszła do doszła do niszczycielskiego ataku ransomware.
Odpowiedź uniwersytetu była dramatyczna: jaT odłączyłem wszystkich 14 000 studentów i 4700 pracowników od Internetu przez cały tydzień. To Decyzja, podjęta w ciągu kilku godzin od wykrycia naruszenia, uniemożliwiła to, co mogło być miesiące okaleczonej operacji i milionów wymagań okupu.
Incydent rozpoczął się 6 stycznia, kiedy atakujący używali uzasadnionych poświadczeń znalezionych w ciemnej sieci, aby uzyskać dostęp do systemu wirtualnej sieci prywatnej TU/E. Pięć dni później rozpoczęli napaść, aw ciągu kilku godzin zdobyli najwyższe uprawnienia administracyjne w kontrolerach domeny – skutecznie posiadając pełną kontrolę nad siecią – i rozpoczęli instalowanie narzędzi trwałości typowych dla przygotowania ransomware. To wywołało monitorowanie bezpieczeństwa.
Paradoks Martin de vriesIlustruje dyrektor ds. Bezpieczeństwa informacji TU/E (CISO) jakiś niewygodna prawda o nowoczesnym bezpieczeństwie cybernetycznym: doskonałe zapobieganie pozostaje nieuchwytny, nawet dla dobrze przygotowanych organizacje. Jednakże, Kiedy w sobotni wieczór nastąpił wezwanie kryzysowe, szybka reakcja jego zespołu potwierdzi różnicę między tygodniem zakłóceń a potencjalną dewastacją.
Sytuacja de vries napotkane był koszmarem cyberbezpieczeństwa: atakujący z przywilejami przedsiębiorczymi walczącymi o swój zespół Kontrola sieci.
„To było Gra dla kotów i myszy-wspomina. „Za każdym razem, gdy wyłączyliśmy konto lub próbujemy segmentować serwery, Widzieliśmy je na innym serwerze. Ponieważ mieli te przywileje, zabierali również nasze prawa dostępu Bierzeliśmy ich ”.
W przypadku niepowodzenia konwencjonalnych środków ograniczających, decyzja była wykonane, aby całkowicie zerwać połączenie uniwersytetu, biorąc 14 000 studentów TU/E i 4700 pracowników offline na to, co okazało się tydzień. Jednakże, Analiza kryminalistyczna przez Fox-i później potwierdził tę decyzję zapobiegło niszczycielskiemu atakowi ransomware.
Luki wdrożeniowe
Doświadczenie TU/E ujawnia lukę między świadomością bezpieczeństwa a bezbłędnym wykonaniem, która prześladuje nawet najbardziej staranne organizacje. Pod koniec 2024 r. Uniwersytet zidentyfikowane Uszkodzone poświadczenia należące do kilku kont użytkowników, oznaczając je „ryzykownymi użytkownikami” za pośrednictwem Narzędzia monitorujące. “Wiedzieliśmy, że te konta wyciekły ”, przyznaje de vries.„ My zidentyfikował je pod koniec ubiegłego roku i wysłał instrukcje użytkowników na temat zmiany ich hasła. Ale błąd konfiguracji pozwolił im ponownie wejść na to samo hasło. ”
Ten pojedynczy nadzór podważył, co powinno być udanym procesem naprawy.
Podobnie uwierzytelnianie wieloskładnikowe dla VPN uniwersytetu było już zaplanowane i budżetowane. „To było włączone harmonogram Aby zostać wdrożonym latem ” – mówi.„ Zostałby w tym czasie rozmieszczony ”.
Zamiast tego atakujący wykorzystali jego nieobecność, aby uzyskać początkowy dostęp za pomocą mrocznych poświadczeń internetowych.
Odpowiedź zaprezentowane Wspólne podejście Holandii do cyberbezpieczeństwa szkolnictwa wyższego. Tu/e korzysta z Surfsocusługa monitorowania bezpieczeństwa świadczona przez FOX-IT i zarządzana przez Fale przybrzeżneW . Współpraca organizacja świadczenie usług IT na holenderskie uniwersytety i instytucje badawcze. Surf wykrył złośliwą aktywność w 21:55 i powiadomił tu/e przez 22:48nawet jako uniwersytet Zespół bezpieczeństwa odpowiedział do ostrzeżeń wewnętrznych. Ten zbędny system wykrywania przyspieszył harmonogram odpowiedzi.
„Byliśmy już świadomi potencjalnej złośliwej aktywności, kiedy Fox-it, działający SurfsocW skontaktowałem się z nami ” – mówi de Vries.
Kiedy tu/e nazwał linię reagowania awaryjnego Fox-it pod adresem 23:50W Fox-It poparł decyzję Tu/E Odłącz sieć natychmiast. Sieć przeszła offline o 1:17 jestem W niedzielę odcinając napastników, którzy instalują zdalne narzędzia administracyjne, tworząc uprzywilejowane konta i próba Aby wyłączyć systemy tworzenia kopii zapasowych – wszystkie cechy przygotowania oprogramowania ransomware.
Zakłócenie w porównaniu do uszkodzeń
Decyzja o przejęciu 20 000 użytkowników w trybie offline przez tydzień nie została podjęta lekko, ale alternatywa byłaby znacznie gorsza. Dochodzenie w sprawie kryminalistycznej Fox-It stwierdzono, że „przeciwnik wykazywał wiele cech typowych dla ataku ransomware ”, z szybką eskalacją do uprawnień administratora domeny i próbowanie Aby wyłączyć systemy tworzenia kopii zapasowych po ustalonych podręcznikach ransomware.
„Największy wpływ uniwersytetu miał studentów i pracowników”, mówi De Vries. „Musieliśmy odłożyć egzaminy; naukowcy musiałem oznaczyć papiery w dłuższych okresach. Ten wpływ nie można wyrazić w euro ”. Jednak obliczenia finansowe były surowe. Według de Vriesa bezpośrednie koszty odpowiedzi pozostały możliwe do zarządzania – „nie porównywalne z tym, co wydajemy co roku na bezpieczeństwo”. Gdyby oprogramowanie ransomware zostały pomyślnie wdrożone, „prawdopodobnie byłoby to w milionach”.
Koszt człowieka, choć znaczący, był tymczasowy. Harmonogramy egzaminów zostały przełożone, zatrzymano działania badawcze i zakłócone normalne operacjeale podstawowe funkcje uniwersytetu pozostały nienaruszone. Udany atak ransomware mógł kaleczyć działalność przez miesiące Wymaganie znacznych płatności okupu bez gwarancji odzyskiwania danych.
Zdolność TU/E do reagowania zdecydowanie wynika z regularnego przygotowania kryzysowego. Uniwersytet uczestniczy W sektorze Surf w sektorze Ozon Cyber Crisis co dwa lata wraz z corocznymi wewnętrznymi ćwiczeniami, zapewniając, że zespoły kryzysowe znają swoje role przed katastrofą. „Wszyscy w kryzysie organizacja znał ich rolę ”, mówi de Vries.„ Nie chcesz na siebie patrzeć, pytając: „Jak to działało?”. Kiedy pojawia się prawdziwy kryzys. ”
Struktura zarządzania kryzysowego aktywowała się płynnie, z wyraźnymi protokołami komunikacyjnymi i zdefiniowanymi obowiązkami. Ten organizacyjny gotowość umożliwiła szybkie podejmowanie decyzji zawarty atak.
To przygotowanie wykraczało poza ściany Tu/E. Decyzja uniwersytetu o publikować Szczegółowe raporty kryminalistyczne odzwierciedlają wspólne podejście holenderskiego sektora szkolnictwa wyższego do bezpieczeństwa cybernetycznegoW wyraźnie kontrastujące Tajemnica korporacyjna wokół naruszeń. Precedens został ustalony przez Uniwersytet Maastrichtktóry doznał poważnego ataku ransomware w 2019 r. I otwarcie podzielił się swoimi doświadczeniami, aby pomóc innym instytucjom. “Jesteśmy uniwersytetemIES – Mamy na celu zdobywanie i dzielenie się wiedzą ” – mówi De Vries.„ W sektorze edukacji jest kultura dzielenia się tymi doświadczeniami, aby inni mogli się od nich uczyć ”.
Współpraca jest systematyczna: CISO uniwersyteckie spotykają się co miesiąc przez surfowanie, aby dzielić się wywiadem i najlepszymi praktykami. „Nie ma uniwersytetu, który nie ma tego na ich radarze” – zauważa.
Trwałe ryzyko
Złożone środowiska badawcze tworzą trwałe luki. Tu/e obsługuje grupy badawcze za pomocą urządzeń systemu Windows 7, konieczne Starsze protokoły uwierzytelniania, które napastnicy mogą wykorzystać.
„Mamy krajobraz IT, który musi wspierać zarówno stare, jak i nowe systemy, ponieważ grupy badawcze mają sprzęt, który nadal działa na ich badania, ale wykorzystuje starsze systemy operacyjne”, mówi De Vries.
Od czasu wznowienia operacji, tu/e przeprowadził indywidualne oceny bezpieczeństwa przed ponownym połączeniem systemów badawczych z Internetem.
Pomimo udanej odpowiedzi, on pozostaje Realistyczny w kwestii przyszłych zagrożeń. „Nie chodzi o to, czy, ale kiedy”, mówi de Vries. „Musisz przygotować się jako organizacja tak się stało, bez względu na to, jak dobre jest twoje bezpieczeństwo. ”
Jego rada dla innych liderów bezpieczeństwa jest praktyczna: regularnie wierci zespoły reagowania kryzysowego i zapewniają systemy wykrywania przez całą dobę. “Potrzebujesz dobrego wykrywania Jesteś właściwie poinformowany, gdy coś pójdzie nie tak i kryzys organizacja które mogą działać natychmiast,“ mówi de vries.
Doświadczenie Tu/e dowodzi, że nawet dobrze przygotowane organizacje pozostać wrażliwy. Ale szybkie wykrywanie, decydujące przywództwo i przyjmowanie krótkoterminowych zakłóceń mogą zapobiec znacznie większym długoterminowym szkodom. Gdy Idealne bezpieczeństwo pozostaje niemożliweodpowiedź jakość określa uderzenie.