Тенденция: Специалистам по кибербезопасности следует опасаться кибератак, спонсируемых государством

Кибер-вторжения, спонсируемые государством, вызывают растущую обеспокоенность как у австралийских правительств, так и у организаций. Министр обороны Ричард Марлес только в прошлом году предупредил, что в стране наблюдается растущий интерес государственных субъектов к критически важной инфраструктуре.

Натан Венцлер, главный специалист по стратегии безопасности в компании Tenable, занимающейся кибербезопасностью, сказал, что спонсируемые государством субъекты угроз обычно проникают скрытно и распространяются. Венцлер заявил, что австралийские организации должны относиться к ним так же серьезно, как и к другим субъектам, иначе они столкнутся с серьезным риском во время геополитического конфликта.

По словам Венцлера, недавняя спонсируемая государством атака поддерживаемой Россией группы Midnight Blizzard на Microsoft показала, что это миф, что крупные организации неуязвимы. Компаниям необходимо получить полное представление о своей среде и усовершенствовать свой подход к управлению рисками.

Кибератаки, спонсируемые государством, вызывают растущую обеспокоенность в Австралии

В Австралии растет спонсируемая государством деятельность в области киберугроз. Австралийский центр кибербезопасности обнаружил, что общее количество сообщений о киберпреступлениях выросло на 23% до 94 000 за год до июня 2023 года, объясняя часть этого роста спонсируемыми государством атаками на критически важную инфраструктуру.

В отчете ACSC говорится, что одной из причин такого увеличения активности, спонсируемой государством, стало создание нового оборонного партнерства AUKUS между Австралией, Великобританией и США, «с его упором на атомные подводные лодки и другие передовые военные возможности».

СМОТРИТЕ: Почему неопределенность является самой большой проблемой для стратегии кибербезопасности Австралии

В отчете «Обзор кибербезопасности за год» компании Dragos, которая специализируется на безопасности промышленной и критически важной инфраструктуры, было обнаружено, что существует постоянная тенденция нападения злоумышленников на промышленные организации по всему миру, некоторые из которых связаны с спонсируемыми государством группами.

«Несмотря на свою географическую изоляцию, Австралия не застрахована от натиска. Фактически, команда Dragos Intel наблюдала многочисленные случаи, когда злоумышленники напрямую нападали на объекты критической инфраструктуры Австралии», — сказал Конор Макларен, главный охотник в Dragos.

По словам Макларена, в их число входили «операции стратегического кибершпионажа».

Вольт Тайфун – пример угрозы геополитическим интересам Австралии

В прошлом году Австралия и Новая Зеландия присоединились к другим разведывательным партнерам Five Eyes, выявив связь между хакерской сетью Volt Typhoon и Китаем. Было обнаружено, что «Вольт Тайфун» поставил под угрозу тысячи устройств и критически важную инфраструктуру США с целью шпионажа и саботажа.

Используя методы «жизни за счет земли», которые обычно не вызывают тревогу у специалистов по кибербезопасности по мере своего распространения, «Вольт Тайфун» и связанные с ним группы были названы потенциальной угрозой для критической инфраструктуры и организаций Австралии, если они закрепятся.

Генеральный директор Tesserent Курт Хансен недавно сообщил TechRepublic Australia, что нынешняя геополитическая среда создает риски для коммерческих организаций в случае обострения напряженности и что бизнес-модели находятся под угрозой. Хансен призвал организации проявлять бдительность в отношении этих атак.

Как и почему обычно происходят кибератаки, спонсируемые государством

По словам Венцлера из Tenable, общей схемой атак, спонсируемых государством, является скрытность. Злоумышленники молчат в своих методах атак, применяя «выжидательный подход к проникновению в сеть, компрометации устройства или системы и выжиданию возможностей», сказал Венцлер.

Обычно их целью является распространение.

«Они не причиняют ущерба и не поднимают тревогу», — пояснил Венцлер. «Но они продолжают распространяться. Они будут использовать это первое место для большего компрометации, получения учетных данных, доступа к заявлениям, потому что субъекты национального государства не ищут финансового вознаграждения».

В конечном счете, эти субъекты хотят иметь возможность причинить вред в случае конфликта.

«Они стремятся остановить критическую инфраструктуру или военные операции. Они стремятся вызвать панику или повлиять на граждан, отключая такие услуги, как водоснабжение или электроснабжение», — сказал Венцлер.

К государственным субъектам следует относиться серьезно, как к финансовым преступлениям.

По мнению Венцлера, австралийские организации, возможно, недостаточно серьезно относятся к спонсируемым государством кибератакам. Основная причина заключается в том, что, в отличие от традиционных киберпреступников, таких как злоумышленники с программами-вымогателями, спонсируемые государством злоумышленники не имеют немедленного финансового эффекта.

«Но уровень ущерба, который они могут нанести, намного выше», — сказал Венцлер. «Финансовые потери, очевидно, являются большой проблемой, но подумайте о такой дотошной и методичной природе проникновения в каждую вещь в вашем окружении, и тогда, если мне понадобится, они могут просто все это уничтожить».

Хотя это часто рассматривается как проблема правительства, Венцлер сказал, что эти субъекты стремятся выйти за рамки критической инфраструктуры, и любой поставщик услуг, такой как супермаркеты или отели, несет ответственность перед обществом.

«Мы не можем закрывать глаза на эти вещи даже в частном секторе», — сказал Венцлер.

Midnight Blizzard: уроки для австралийских специалистов по кибербезопасности

Раскрытие компанией Microsoft в январе 2023 года информации о взломе, осуществленном спонсируемой государством угрозой Midnight Blizzard, является предупреждением, что ни одна организация не застрахована от атак, спонсируемых государством. Даже имея больше ресурсов и осведомленности, крупные компании по-прежнему уязвимы для компромиссов.

SEE: Основные тенденции в области кибербезопасности, которые будут доминировать на австралийском рынке в 2024 году

«Многие организации считают, что более крупные компании просто делают это лучше… и только те из нас, кто меньше, должны об этом беспокоиться. Но это не так», — сказал Венцлер. «Это очень яркий пример того, как одни и те же проблемы могут случиться с кем угодно».

Удостоверительные данные — ключевой вектор для закрепления субъектов угроз

Компромисс Midnight Blizzard пролил свет на личность и полномочия. Венцлер сказал, что австралийские команды по кибербезопасности должны четко понимать, как управлять учетными данными и обеспечивать отсутствие забытых или незащищенных учетных данных.

Это может быть распространенная ситуация с учетными записями служб или нечеловеческими учетными записями. Венцлер сказал, что эти учетные записи назначаются приложениям или автоматизированным функциям, поэтому они работают, но затем их часто пропускают или забывают, даже несмотря на то, что они часто имеют более высокие привилегии.

«Они являются главной целью для злоумышленников», — сказал Венцлер. «Если вы сможете получить такие учетные записи, вы получите отличный доступ к инфраструктуре, и есть большая вероятность, что никто не обратит на это внимания. Вам нужно разобраться с личностью, а также с правами и разрешениями, которые есть у всего».

Взаимосвязанные среды требуют комплексного подхода к безопасности

Атака Microsoft также выявила ошибочное представление о том, что функции безопасности можно рассматривать как «маленькие изолированные бункеры», сказал Венцлер, где выполнение контрольного списка задач, таких как исправление систем Windows или усиление облачной инфраструктуры, — это все, что требуется для обеспечения безопасности.

«Проблема в том, что все эти вещи связаны между собой», — сказал он. «Эти системы Windows могут обеспечить доступ к вашей облачной среде и потенциально могут достичь вашей критической инфраструктуры. Нужно помнить, что все эти вещи связаны друг с другом».

Как киберкоманды могут бороться с угрозами безопасности, спонсируемыми государством

После компрометации Microsoft компанией Midnight Blizzard Венцлер заявил, что киберкомандам следует пересмотреть такие меры безопасности, как включение многофакторной аутентификации и применение лучших практических подходов, таких как принцип наименьших привилегий, чтобы минимизировать риск выявления компрометации.

Однако он добавил, что ключевым моментом является стремление к целостному пониманию среды организации, принятие зрелого подхода к управлению рисками в области безопасности и готовность привлечь правительственные учреждения и правоохранительные органы для поддержки в случае угрозы.

Стремитесь к пониманию взаимосвязанной среды вашей организации.

По словам Венцлера, организациям следует заранее предпринять шаги, чтобы как можно полнее понять свою среду. Это было особенно полезно для выявления действий спонсируемых государством субъектов угроз, которые, используя методы «жизни за счет земли», не становились очевидным предупреждением для команд кибербезопасности, а это означает, что их было гораздо труднее обнаружить.

Используйте упреждающий подход к управлению рисками в операциях по обеспечению кибербезопасности.

Организациям также рекомендуется следовать таким структурам, как NIST и The Essential Eight, которые со временем сместились с акцента на возведении стен и надежде, что субъекты угроз от них отскочат, на рекомендации по более активному подходу к управлению рисками в кибербезопасности.

«Поскольку мы принимаем эту идею, безопасность в гораздо большей степени связана с управлением рисками, чем просто с внедрением ИТ-услуг, тогда вам нужно начать понимать эту картину рисков; это означает проявлять инициативу, понимать окружающую среду, понимать профиль риска и использовать это для принятия правильных решений о том, что делать дальше, в том числе о том, какие меры безопасности подходят именно вам», — сказал Венцлер.

Будьте готовы обратиться за помощью к правоохранительным органам.

Хотя организации, скорее всего, будут стремиться решить проблему спонсируемого государством субъекта угрозы как обычный инцидент безопасности, Венцлер сказал, что также важно привлечь правоохранительные органы и местные органы власти, которые имеют подробные знания о государственных субъектах угрозы. Это также окажет поддержку другим организациям, поскольку угроза может стать более распространенной.

Венцлер сказал, что правоохранительные органы иногда предлагают дополнительные ресурсы. Однако он сказал, что многие организации частного сектора до сих пор не включают контактную информацию правительственных учреждений и правоохранительных органов в планы реагирования на инциденты. Он сказал, что важно заранее документировать, к кому обращаться, а не искать, когда произойдет инцидент.