Как защитить критически важную инфраструктуру от угроз

Представьте себе такой сценарий: злоумышленник успешно получил доступ к компьютерной сети, которая помогает управлять системой водоснабжения, и вмешался в ее подачу, оставив тысячи гражданских лиц без водопровода. Подобные сценарии стали реальностью благодаря цифровизации. Все системы, используемые в нашей повседневной жизни, теперь взаимосвязаны, и злоумышленнику достаточно нажать кнопку, чтобы отключить критически важную инфраструктурную сеть, например, городское водоснабжение.

Доступ к крупной сети критической инфраструктуры очень привлекателен для киберпреступников, поскольку они могут максимизировать влияние на общество и требовать больших сумм выкупа для «исправления» взломанных систем. После недавних громких атак, в том числе против Colonial Pipeline в марте 2021 года, стало ясно, что организации, управляющие критически важными инфраструктурными сетями, теперь находятся на линии огня. Критическая инфраструктура уязвима как для групп угроз, которые развивают свою тактику, так и для общественного контроля, если они не остаются прозрачными во время атаки.

Итак, как сети критической инфраструктуры могут лучше всего защитить от растущих киберугроз? Кибератаки на критически важную инфраструктуру никуда не денутся, но мы можем проанализировать предыдущие отраслевые атаки, чтобы понять извлеченные уроки и определить области улучшений, которые могут помочь предотвратить атаки в будущем.

Вы защищены настолько, насколько самое слабое звено

Один из крупнейших кибербезопасных уроков этого года заключаются в том, что организации защищены настолько, насколько их наименее безопасный поставщик, а базовые сбои часто являются основными путями доступа к критически важным системам компании. Это связано с тем, что большинство крупных организаций изо всех сил пытаются получить представление о своих собственных запасах активов и еще меньше о инвентаризации активов своей цепочки поставок. Злоумышленнику не нужно нацеливаться на самый прямой путь к приложению, вместо этого он ищет явно забытую устаревшую систему, интеграцию или менее защищенного поставщика.

Киберпреступники намереваются генерировать большие выплаты выкупа с наименьшими усилиями и потенциально отслеживают цели, которые продолжают использовать устаревшие системы для работы сетей, на которые полагаются тысячи. Устаревшие системы имеют устаревшее и неисправленное программное обеспечение, неправильные настройки и слабые учетные данные — все это чрезвычайно простые пути для доступа и отключения злоумышленников. Критически важные инфраструктурные сети должны иметь достаточную безопасность, чтобы не допустить недобросовестных действий.

После атаки программы-вымогателя, которая затронула около 2000 компаний по всему миру, Kaseya удалось восстановить зашифрованные данные через 20 дней после того, как группа реагирования на инциденты организации обнаружила инцидент с безопасностью, но появились отчеты, показывающие, что компания была предупреждена о серьезных недостатках безопасности в своем программном обеспечении в период с 2017 по 2020 год, но не обращались за помощью. Компания знала о семи уязвимостях, присутствующих в системах, потому что у них была программа раскрытия уязвимостей, или VDP. Однако только четыре из семи уязвимостей, отмеченных экспертами по безопасности, были исправлены. Этот пример демонстрирует, что, хотя организации могут иметь эффективные программы безопасности, они все же могут стать жертвами атаки из-за уязвимости в сторонней сети.

Критическая инфраструктура эксплуатируется прямо сейчас

Скоординированные кибератаки на украинское правительство происходят прямо сейчас, и используемые методы не вызывают удивления: атаки CMS и Log4j на важного участника цепочки поставок, ИТ-фирму, которая управляет частью правительственных веб-сайтов. Это произошло менее чем через 2 месяца после обнаружения log4j, что является неоправданно коротким сроком для любого сканера, пентест специалиста или команды безопасности, чтобы найти и исправить каждый случай нулевого дня. Демонстрация того, что критическая инфраструктура нуждается в различных и инновационных способах быстрого обнаружения новых уязвимостей на их огромных поверхностях атаки.

Возможность обнаружения является ключевым фактором для критической инфраструктуры

Если размышлять о недавних атаках на критически важные сети, то не все так безнадежно. Группы безопасности, наблюдающие за критически важными системами, извлекают уроки из последствий предыдущих атак. Возьмем, к примеру, взлом порта Хьюстон, который произошел еще в сентябре 2021 года. Субъект национального государства попытался закрыть крупный порт США в Хьюстоне, штат Техас, но раннее обнаружение необычной активности в целевой сети привело к отключению систем группой безопасности порта до того, как сеть или какие-либо данные были затронуты. Быстрое время отклика было ключевым фактором успеха команды безопасности Houston Port, и это демонстрирует, что способность обнаружения важна для защиты критически важных инфраструктурных сетей. Несмотря на это, время восстановления после кибератаки увеличивается в среднем до 3,1 дня, а поскольку поверхности для атак расширяются, а сети критической инфраструктуры становятся основной целью киберпреступников, организации, которые управляют этими уязвимыми сетями, просто не могут позволить себе риск взлома.

Методы левого поля здесь, чтобы помочь

Единственным средством защиты от кибератак является предотвращение. Более традиционные организации и отрасли, в том числе Министерство обороны Великобритании, начинают использовать более нетрадиционные идеи безопасности, чтобы свести к минимуму риски безопасности, такие как использование сообщества этичных хакеров с программами раскрытия уязвимостей — VDP и Bug Bounty.

Глобальная команда этичных хакеров может работать вместе круглосуточно и в разных часовых поясах, чтобы внимательно следить за уязвимыми сетями, и эти специалисты по безопасности обладают значительными знаниями, которые можно использовать для выявления возможности использования уязвимостей и предоставления подробной обратной связи организациям, которые могут помочь им улучшить скорость восстановления. С помощью хакеров команды безопасности, управляющие критически важной инфраструктурой, могут быстро обнаруживать вредоносную активность и останавливать злоумышленников на своем пути до того, как будет нанесен какой-либо ущерб.

Более того, через VDP или программу вознаграждения за обнаружение ошибок (BBP) специалистам по безопасности предлагается искать новые и передовые уязвимости — «черные ходы», которые многие злоумышленники используют для доступа к критически важным инфраструктурным сетям — подумайте о log4j для правительства Украины. Это возможность для этичных хакеров поделиться своими специальными, «посторонними» знаниями о взломе, которые помогают прогнозировать тактические подходы, которые потенциально могут быть использованы злоумышленниками. В качестве дополнительной меры предосторожности организации также могут потребовать от сторонних поставщиков наличия аналогичных протоколов безопасности и провести аудит своих поставщиков, чтобы они были готовы к обеспечению безопасности, что поможет улучшить кибергигиену всех звеньев, присутствующих в цепочке программного обеспечения — беспроигрышный вариант для взаимосвязанные критически важные инфраструктурные сети.

Мы видели, как прозрачность приносит пользу организациям, столкнувшимся со взломом или атакой. Еще в марте 2019 года компания Norsk Hydro, глобальный производитель алюминия, подверглась масштабной кибератаке, затронувшей всю ее глобальную организацию. В ответ на атаку компания распространяла частые и откровенные сообщения не только для информирования общественности о разворачивающихся событиях, но и для раскрытия тактики, используемой киберпреступной группой для сдерживания будущих киберугроз. Это отличный пример того, как прозрачность помогает организациям противостоять злоумышленникам, а также укреплять доверие в случае кибератаки. Лидеры кибербезопасности, в том числе генеральный директор Dragos, широко хвалили компанию в СМИ за то, как она справилась с атакой.

Единственный способ, с помощью которого критическая инфраструктура может справиться с растущими киберугрозами, — это сотрудничество между промышленностью, правительством и общественностью. Работая с другими над открытым обменом информацией, группы безопасности могут наращивать численность, извлекать уроки из предыдущих событий и, в конечном итоге, укреплять доверие, что крайне важно для организаций, управляющих нашей наиболее важной инфраструктурой.