Zvýšená zodpovednosť za miestnu domácu propagáciu

Dnes diskutujem o útočnom vektore, ktorý vedie k šíreniu medzi organizáciami, lokálnej propagácii doma. Aj keď sa tento vektor často prehliada, je dnes obzvlášť dôležitý, pretože mnoho zamestnancov spoločností zostáva pracovať z domu.

V tomto príspevku dávam do kontrastu domácu lokálnu propagáciu s tradičnými vektormi, prostredníctvom ktorých sa hrozba (najmä ransomware) šíri v rámci organizácie. Rozoberám dôvody, prečo je tento typ šírenia problematický pre zamestnancov aj korporácie. Na záver ponúkam jednoduché riešenia na zmiernenie rizika takejto taktiky.

Prečo by sa mali zainteresované strany v oblasti IT a bezpečnosti zaujímať?

Dnešné útoky s dlhým cyklom často skúmajú prostredie obete na týždne, ak nie mesiace. Za tento čas útočník získa obrovské množstvo vedomostí o systémoch v stope obete. Tento dodatočný čas potulovania sa v prostredí obete, spojený s ad-hoc udržiavaným prostredím práce z domu, predstavuje obe vstupná ulica pre útoky do ich siete, ako aj výstupová ulica pre útok z vašej siete na osobné zariadenia vašich zamestnancov.

Kontrastná taktika

  • Tradičné šírenie – V roku 2020 sa ransomvér aj po prechode na WFH nejaký čas šíril cez niektoré z rovnakých vektorov ako predtým. Šírenie bolo bežné prostredníctvom e-mailu, škodlivých webových stránok, zraniteľností servera, súkromného cloudu a zdieľania súborov. Často to stačilo na to, aby sa útočník nasýtil v prostredí obete. Avšak pred naším životným štýlom WFH, keď prišlo k šíreniu medzi organizáciami, mnohé z týchto vektorov boli do značnej miery nepoužiteľné. To vedie k prirodzenému obmedzeniu infekcie na jednu organizáciu.
  • Miestna propagácia v domácnosti – Útočníci v poslednej dobe preskakujú zóny zo svojich pôvodných firemných obetí do susedných systémov vrátane iných koncových bodov v dome obete. Nie je na 100 % jasné, či je to kvôli prirodzenému rozšíreniu prieskumu, ktorý robia v rámci svojich snáh o dvojité vydieranie o výkupné (kde sa požaduje výkupné na dešifrovanie súborov a druhé výkupné, aby sa neukradli súbory), alebo ak je to preto, že sa snažia zistiť, že ďalšie obete sú vzdialené niekoľko metrov.

Tento skok do fyzicky lokálnych systémov sa môže uskutočniť prostredníctvom tradičných vektorov šírenia, ako je zdieľanie otvorených súborov, prostredníctvom lokálneho (do domácej siete) využívania zraniteľností alebo prostredníctvom samotných prístupových bodov (AP). Domáce AP / smerovače sú často:

  • Spotrebiteľská trieda
  • Zle nakonfigurované (často so štandardnými/predvolenými heslami správcu)
  • Chýba šifrovanie alebo akékoľvek bezpečnostné opatrenia medzi zariadeniami
  • A môžete zabudnúť na detekciu a odozvu, pretože žiadne protokoly z týchto zariadení sa nedostanú späť do žiadneho poskytovateľa služieb SIEM, SOC ani MDR.

To ponecháva aktérom hrozby možnosť šíriť sa prostredníctvom lokálnej propagácie doma.

Existuje pre nich niekoľko zreteľných výhod.

Infekcia osobných zariadení zamestnancov:

  • Aj keď by to mohlo znamenať ďalšiu stranu potenciálneho preplatenia výkupného (zamestnanec), skutočnou hodnotou pri šírení do osobného zariadenia zamestnanca je páka na vynútenie alebo ovplyvnenie podnikovej platby. Predstavte si na chvíľu, že dotyčný zamestnanec je riaditeľ IT, a tým, že povzbudíte svoj vedúci tím, aby zaplatil výkupné za obnovenie kontinuity podnikania, zároveň veria, že by mohli dešifrovať svoj rodinný fotoalbum, hrací automat alebo manželov pracovný notebook.

Infekcia podnikových zariadení tretích strán

  • Ako už bolo popísané vyššie, spôsoby prechodu do oddelených podnikových prostredí boli buď obmedzené, alebo dobre chránené. Ale so zamestnancami v rôznych spoločnostiach, ktorí spolu žijú (manželia, spolubývajúci) alebo zdieľajú prístup na internet (susedia) – ďalšia potenciálna firemná obeť je len odrazovým mostíkom, pravdepodobne cez zle nakonfigurovaný AP/Router.

Dôsledky

  • Miestna propagácia v domácnostiach predstavuje väčšiu zodpovednosť pre spoločnosti, ktoré čelia útoku ransomvéru, keďže obete prekračujú hranice podnikov a organizácií.
  • Okrem toho je obmedzená schopnosť zmierniť riziko, pretože je nepravdepodobné, že budú mať priamu kontrolu nad sieťovou infraštruktúrou zamestnancov pracujúcich z domu. V skutočnosti toto oddelenie samotní zamestnanci vehementne obhajujú s odvolaním sa na obavy o súkromie – ďalšiu potenciálnu zodpovednosť pre vás.

Nápravné kroky

Na zmiernenie rizika miestneho šírenia ransomvéru (alebo iného škodlivého malvéru) môžu IT a bezpečnostné tímy zvážiť nasledujúce kroky:

  • Podporujte robustnú konfiguráciu sieťových zariadení vlastnených zamestnancami
  • Zabezpečte možnosť zvukovej aktualizácie softvéru na diaľku, aby ste udržali hygienu koncového bodu klienta na slušnej úrovni.
  • Identifikujte a opravte slabé miesta v koncových bodoch klienta
  • Zapojte sa do aktivít detekcie a reakcie (hľadania hrozieb) naprieč vašimi koncovými bodmi a prostredím.

Dúfam, že tento článok upriamil pozornosť na vektor, ktorý je v súčasnej situácii obzvlášť dôležitý. Ak chcete získať ďalšie informácie o domácom lokálnom šírení, pozrite si náš webinár s názvom Vývoj ransomvéru ako služby a mechanizmov doručovania malvéru, kde o tomto fenoméne diskutujem s expertným panelom odborníkov na kybernetickú bezpečnosť. Ak sa chcete dozvedieť viac o ďalšom vývoji v oblasti ransomvéru, pozrite si našu bielu knihu o vzostupe ransomvéru ako služby, do ktorej som prispel.

Poznámka – Tento článok je autorom a autorom Sean Hittel, Distinguished Security Engineer v ActZero.ai. Má viac ako 20 rokov skúseností s návrhom motora na ochranu pred hrozbami novej koncepcie.

ActZero.ai spochybňuje pokrytie kybernetickej bezpečnosti pre malé a stredne veľké podniky MB a stredne veľké spoločnosti. Ich inteligentné MDR poskytuje 24/7 podpora monitorovania, ochrany a odozvy, ktorá výrazne presahuje rámec iných softvérových riešení tretích strán. Ich tímy dátových vedcov využívajú špičkové technológie, ako sú AI a ML, na škálovanie zdrojov, identifikáciu zraniteľností a elimináciu väčšieho počtu hrozieb za kratší čas. Aktívne spolupracujú so zákazníkmi na riadení bezpečnostného inžinierstva, zvyšovaní vnútornej efektívnosti a efektívnosti a v konečnom dôsledku na budovaní vyspelej pozície v oblasti kybernetickej bezpečnosti. Či už podporuje existujúcu bezpečnostnú stratégiu alebo slúži ako primárna obranná línia, ActZero umožňuje obchodný rast tým, že umožňuje zákazníkom pokryť viac územia.