Зловмисники, які вчиняють атаки з розширеною постійною загрозою, advanced persistent threat (APT), не просто хочуть отримати доступ до вашої мережі. Вони хочуть проникнути й зібрати цінні дані або скласти плани майбутніх атак.
Посткомпромісні загрози зростають. Здебільшого вони спрямовані на застарілу мережеву інфраструктуру та периферійні пристрої, які давно вийшли з ладу та можуть мати критичні невиправлені вразливості, повідомляє Network World.
Нік Біазіні, керівник відділу роботи з громадськістю в Cisco Talos Research Security, говорить:
«Ми бачимо ці загрози всюди. Старі компоненти мають більше можливостей для доступу, особливо якщо пристрої не підтримуються і вони не оновлювалися 3-4 роки».
За словами Біазіні, протягом тривалого часу підприємства використовували такий підхід: не торкайтеся його, дайте йому робити те, що воно робить, і нехай продовжує працювати.
«Це було як знак якості – мати пристрій, який працював 2-3 роки. Тепер це дуже, дуже велика відповідальність. Це те, про що організації дійсно повинні подбати», – наголосив посадовець.
За словами Гейзел Бертон, глобального менеджера з маркетингу продуктів кібербезпеки в Cisco, коли старі пристрої не розроблялися з урахуванням безпеки, а мережева інфраструктура знаходиться поза екосистемою безпеки, стає все важче контролювати спроби доступу до мережі.
За словами експертів, існує дві основні групи зловмисників, які атакують мережеву інфраструктуру: спонсоровані державою зловмисники та злочинні угруповання.
Групи, які спонсоруються державою, зацікавлені в цих пристроях насамперед в цілях шпигунства, з метою збереження доступу в довгостроковій перспективі.
Злочинні ж угруповання мають іншу мету. Вони, як правило, отримують доступ до старих пристроїв, щоб закріпитися на початковому етапі, швидко проникають всередину мережі та намагаються шантажувати своїх жертв.
Talos від Cisco визначив три найпоширеніші посткомпромісні тактики мережевої інфраструктури:
1. Модифікація прошивки. Talos спостерігав, як APT змінюють прошивку мережевих пристроїв на старіших пристроях, щоб додати певні функціональні можливості, що дозволить їм закріпитися в мережі. Це може бути додавання імплантатів або зміна способу, яким пристрій фіксує інформацію.
«Прикладом цього є нещодавнє використання програмного вебінтерфейсу керування Cisco IOS XE. Одна атака включала розгортання імплантату, який ми назвали BadCandy, що складався з файлу конфігурації cisco_service.conf. Файл конфігурації визначив нову кінцеву точку вебсервера (шлях URI), який використовується для взаємодії з імплантатом. Ця кінцева точка отримує певні параметри, які дозволяють актору виконувати довільні команди на рівні системи або IOS», – зазначила Бертон.
За словами фахівчині, порівняння конфігурацій прошивки може допомогти виявити, коли її змінив зловмисник.
2. Завантаження налаштованої прошивки. Якщо зловмисники не можуть змінити наявне забезпечення або їм потрібні додаткові рівні доступу, яких вони наразі не мають.
Зловмисники можуть завантажити налаштоване або старе мікропрограмне забезпечення, яке, як вони знають, має робочі експлойти проти нього (по суті, повертаючись до старішої версії мікропрограми). Після завантаження вбудованого програмного забезпечення вони перезавантажують пристрій, а потім використовують вразливість, яка не виправлена. Це створює вікно, яке можна модифікувати за допомогою додаткових функцій. Наприклад, для викрадання даних.
«Якщо ви переглядаєте свої журнали й вам здається, що хтось вимкнув журналювання, це означає, що ваша мережа була проникнута та потенційно скомпрометована», – розповіла Бертон.
3. Обхід або видалення процесів безпеки. Talos також фіксував, як зловмисники вживають заходів, щоб видалити все, що блокує їхній доступ для досягнення своїх цілей.
Якщо, наприклад, вони хочуть викрасти дані, але існує список контролю доступу (ACL), який блокує актору можливість доступу до хосту, вони можуть змінити ACL або видалити його з інтерфейсу. Або вони можуть інсталювати операційне програмне забезпечення, яке знає, що не застосовувати списки керування доступом до певних IP-адрес акторів, незалежно від конфігурації.
Кампанія BadCandy є хорошим прикладом того, як актор може скасувати певні заходи безпеки.
«Противник зміг створити мініатюрні сервери (віртуалізовані комп’ютери) всередині скомпрометованих систем, які створили для них базу операцій. Це дозволило зловмисникам перехоплювати та перенаправляти трафік, а також додавати й вимикати облікові записи користувачів. Це означало, що навіть якщо організація перезавантажить пристрій та очистить активну пам’ять, зловмисник все одно матиме постійні облікові записи – фактично послідовний чорний хід», – написала Бертон.
Рекомендації Cisco Talos
Для боротьби з атаками на мережеву інфраструктуру та іншими викликами безпеці було створено Коаліцію мережевої стійкості. До складу Коаліції входять AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon і VMware.
Група випустила набір рекомендацій для постачальників і користувачів, спрямованих на те, щоб допомогти їм боротися із загрозами безпеці, створеними мережевою інфраструктурою, що вийшла з ладу.
Деякі з рекомендацій Коаліції:
• Узгодьте практику розроблення програмного забезпечення з NIST Secure Software Development Framework (SSDF).
• Надайте чітку й стислу інформацію про кінець життєвого циклу продукту, включаючи конкретні діапазони дат і подробиці того, яких рівнів підтримки очікувати для кожного.
• Відокремлюйте критичні виправлення безпеки для клієнтів і не об’єднуйте ці виправлення з новими функціями продукту чи змінами функціональності.
• Збільште увагу до кібербезпеки (сканування вразливостей, керування конфігураціями) на старіших продуктах, термін підтримки яких закінчився.
• Періодично перевіряйте, щоб конфігурація продукту відповідала рекомендаціям постачальника (частіше в міру старіння продуктів) і забезпечуйте впровадження своєчасних оновлень і виправлень.
В Talos додали, що організації повинні розгортати складні паролі, використовувати SNMPv3 або наступні версії, розгортати багатофакторну авторизацію, де це можливо, і вимагати шифрування під час налаштування та моніторингу пристроїв.
Раніше ми повідомляли, що Cisco планує зосередитися на ШІ та безпеці й скоротити 5% персоналу, а це 4200 робочих місць.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!