Wat ergste scenario's betref, word dit nie veel erger as 'n maatskappywye uitvee van alle gekoppelde toestelle nie. Tog is dit die realiteit waarmee die Amerikaanse mediese tegnologiefirma Stryker te kampe het nadat hy... getref deur pro-Iraanse hackers op 11 Maart. Die Handala-groep het beweer dat hulle 200 000 eindpunte uitgevee en 50 TB data gesteel het. Tyd sal leer of dit akkuraat is of nie, maar ten tyde van skryf, Stryker het erken dat die aanval “’n wêreldwye ontwrigting van die maatskappy se Microsoft-omgewing tot gevolg gehad het”.
Die vraag is tot watter mate Britse organisasies blootgestel sal word namate die kuberoorlog eskaleer. As die huidige regime vir die langtermyn terugdeins en aanlyn begin uitvaar, kan dit die begin van 'n gevaarlike nuwe tydperk voorspel.
Is dit tyd om bekommerd te wees?
Die Nasionale Kuberveiligheidsentrum (NCSC) uitgereikte leiding op 2 Maart, kort nadat Amerikaanse en Israeliese bomme op Iran begin val het. Dit glo nie dat daar 'n "beduidende verandering in die direkte kuberbedreiging van Iran" was nie. Alhoewel die Stryker-aanval hierdie berekening blykbaar nie verander het nie, kan hierdie assessering in die toekoms verander. Drones is reeds op 'n RAF-lugbasis in Ciprus afgevuur. Dit is dus nie buite die moontlikheid dat kuberaanvalle ook op Britse firmas geloods kan word nie, veral dié met Israeliese bande (soos Stryker het).
Organisasies wat wel meer bekommerd moet wees, is dié met 'n teenwoordigheid (d.w.s. takkantore) of voorsieningskettings in die Midde-Ooste. Die risiko kan voortspruit uit fisiese of digitale aanvalle. Drie AWS-datasentrums in die VAE en Bahrein is reeds deur hommeltuie getref wat byvoorbeeld tot onderbrekings lei. Intussen kan kuber-aanvalle op takkantore of streekvoorsieningskettings teoreties indringers toelaat om 'n vastrapplek in stelsels te kry met die doel om elders na gekoppelde netwerke oor te skakel.
Om die kommer te vererger, het die Islamitiese Rewolusionêre Wagkorps (IRGC) nou verskeie Amerikaanse tegnologiefirmas as teikens aangewys weens Israeliese bande of wolkdienste, volgens Flashpoint. Dit is AWS, Google, Microsoft, Oracle en IBM, sowel as Nvidia en Palantir. Streeksbanksentrums wat met die VSA en Israel verbind word, is ook deur die regime uitgesonder.
Wat om te verwag
As Britse firmas en/of hul vennote deur Iranse hackers uitgesonder word, wat kan hulle verwag? Volgens analise deur Halcyon, die bedreiging kom moontlik van staatsgesteunde hackers en gekoppelde hacktivist-groepe:
“Ons verwag dat Iran in die komende weke pogings tot verdoeseling, gevolmagtigdes en vernietigende gereedskap teen Amerikaanse netwerke sal gebruik:
- Die gebruik van verspreide denial of service (DDoS) teen gasheerverskaffers.
- Die ontplooiing van ransomware voordat 'n organisasie se data uitgevee word en/of die gebruik van destructionware, of destructive malware, wat stelselherstel onmoontlik maak.
- Die benutting van langtermyn toegang vir spioenasie en data-onttrekking vir vernietigende aanvalle en/of om andersdenkendes op te spoor vir verdere teikenstelling.
Dit behoort kommerwekkend te wees dat Iranse bedreigingsakteurs reeds binne sommige korporatiewe netwerke geposisioneer is, soos per hierdie verslagDinkskrum die Sentrum vir Strategiese en Internasionale Studies (CSIS) sê“finansiële dienste, waterdienste en vervoerinfrastruktuur, waarvan baie op verouderde beheerstelsels staatmaak, bly aantreklike teikens vir Iranse akteurs namate die kinetiese konflik toeneem.”
SonicWall se senior vise-president van bestuurde dienste, Michael Crean, vertel IO (voorheen ISMS.online) dat bedreigingsakteurs wegbeweeg van "grootskaalse skandering en DDoS-aktiwiteit" na kwesbaarheidsuitbuiting.
“Aanvallers teiken toenemend webtoepassings, databasisse en bedieners deur tegnieke soos SQL-inspuiting, paddeurgang en afstandkode-uitvoering te gebruik. Hierdie tipe aanvalle is dikwels ontwerp om aanvanklike toegang tot stelsels te verkry voordat hulle dieper in 'n netwerk inbeweeg,” gaan hy voort.
“As spanning voortduur, kan ons ontwrigtende aktiwiteite soos webwerf-ontsierings, datadiefstal en -lekkasies, of DDoS-aanvalle teen publiekgerigte dienste sien. Vernietigende wanware soos ruitveërs is moontlik tydens eskalasie, hoewel die huidige data hoofsaaklik dui op ondersoeke en uitbuiting eerder as wydverspreide vernietigende aanvalle.”
Tyd om veerkragtigheid te bou
Vernietiging was die naam van die spel met Stryker, en volgens verslae dit het nie eens die aflewering van wanware vereis nie – bloot die kompromie van 'n Intune-administrateurrekening. Dit wys hoekom holistiese veerkragtigheidspogings 'n prioriteit moet wees.
Die NCSC doen 'n beroep op Britse CISO's om voorheen uitgereikte advies oor DDoS aanvalle, phishing-aktiwiteit en teikenstelling van industriële beheerstelsels (ICS). Vir diegene met voorsieningskettings of kantore in die streek, beveel dit sy gids tot veerkragtigheid in tye van verhoogde bedreigings. Verskaffers van kritieke infrastruktuur (KNI) is aangemoedig om nou voor te berei.
SonicWall se Crean sê KISO's moet fokus op sigbaarheid, lapwerk en voorbereiding.
“Besighede moet ook hul blootstelling aan die voorsieningsketting hersien en die kuberveiligheidsposisie van sleutelverskaffers en vennote assesseer. Verbeterde monitering vir ongewone verifikasieaktiwiteit, webtoepassingsanomalieë en laterale beweging kan help om vroeë tekens van kompromie op te spoor,” voeg hy by.
“Laastens moet voorvalreaksieplanne getoets en gereed wees sodat organisasies vinnig kan reageer as kuberaktiwiteit wat verband hou met geopolitieke spanning begin versprei.”
James Shank, direkteur van bedreigingsbedrywighede by Expel, dring daarop aan dat sekuriteitsleiers koelkop moet bly en op die "fundamentele beginsels" moet fokus om sekuriteitshouding te verbeter.
“Beklemtoon die belangrikheid daarvan om agterdogtig te wees teenoor kommunikasie en pas dit ook op jou dienstoonbank toe. Oorweeg dit om bykomende kontroles by te voeg vir dinge soos wagwoordherstellings of MFA-veranderinge,” sê hy vir IO. “Verskerp verifikasie deur uitdagingsfrekwensie te verhoog, sessie-tyd-uit te verminder en strenger beheermaatreëls op toegangsbeleide af te dwing. Dwing die minste voorregte af en sluit toegangsbestuur af.”
KISO's moet ook logaktiwiteit oudit vir verdagte aanmeldings, laterale beweging en voorreg-eskalasie, met inagneming van die moontlikheid van voorafbepaalde toegang. OT-waarneembaarheid is ook belangrik, dus moet OT/ICS by hierdie oudits ingesluit word.
“Laastens, verhoog kommunikasie tussen jou spanne,” adviseer Shank. “Konteksdeling tussen sekuriteit, IT, OT en die besigheid vertraag aanvallers meer as wat mense verwag.”
Dissipline te midde van chaos
Standaarde soos ISO 27001 kan in tye soos hierdie 'n belangrike rol speel in die afdwinging van dissipline, gaan Shank voort. “Krisis oomblikke kan lei tot chaos, oordrewe draaipunte en 'n gebrek aan duidelikheid oor prioriteite,” sê hy. “Raamwerke bied leiding om duidelike en konsekwente aanspreeklikheid te handhaaf, wat beteken dat chaos bestuur word en dat ywer seëvier.”
SonicWall se Crean stem saam en voer aan dat beste praktykraamwerke broodnodige struktuur aan kuberrisikobestuur bied.
“ISO 27001 is 'n globale raamwerk vir die bou van 'n inligtingsekuriteitsbestuurstelsel wat organisasies help om kritieke bates te identifiseer, risiko's te assesseer en toepaslike beheermaatreëls te implementeer. Dit dek gebiede soos toegangsbestuur, voorvalreaksie, verskaffersekuriteit en besigheidskontinuïteit,” sluit hy af.
“Alhoewel standaarde nie op hul eie kuberaanvalle kan voorkom nie, help hulle om te verseker dat organisasies die nodige bestuur, prosesse en veerkragtigheid het om effektief te reageer wanneer bedreigings toeneem gedurende periodes van geopolitieke spanning.”
Brei jou kennis uit
Podcast: Phishing vir Moeilikheid Episode #04: Is jy aan die voorpunt van verdediging?
Blog: Van Perimetersekuriteit na Identiteit as Sekuriteit
Blog: Bou Eenmaal, Voldoen Oral: Die Multi-Raamwerk Voldoeningspelboek
