Нещодавні події з Іраном та потенціал для іранських спрямованих або натхненних фізичних та кібератак є головним для багатьох наших співтовариств. На основі дзвінків довірених керівників, які шукають більш конкретну інформацію, я хотів поділитися кількома думками щодо можливостей іранських кібер.
Мантра моєї кар’єри полягала в тому, щоб ми в галузі кібербезпеки “вирівняли рівень” і говорили мовою бізнесу. У цій постійній меті це стратегічна дискусія для керівників. Я не вникаю в конкретні тактики, IP-адреси чи проблеми, оскільки це призначено для обговорення на рівні керівництва бізнес-пріоритетів та загального ризику на підприємстві. Тактика, зброя, IP-адреси та методології часто змінюються, АЛЕ потреби у постійному цілісному управлінні ризиками та стратегії програм безпеки немає.
Exec Sum = Загалом, хоча Іран може мати розроблену кіберпрограму, але на даний момент він не продемонстрував здатності спричиняти широкомасштабні або тривалі фізичні наслідки своїх атак. Викупники Ірану та атаки відмови в обслуговуванні “впливають” на організації, які вони вражають, і є чудовою темою для обговорення звітності, але часто не мають національного значення з точки зору впливу на життя людей або фізичний збиток. Підкресліть захист від фішингу, поглинання облікового запису, відмови в обслуговуванні та переконайтеся, що ваші резервні копії не можуть бути зашифровані в результаті атаки шкідливого програмного забезпечення (тобто розгляньте резервні копії в автономному режимі).
Іран, поруч з Китаєм, Росією та Північною Кореєю регулярно націлений на США, і іранська кібердіяльність проти американської інфраструктури та американських корпорацій існує довга історія, а також іранська кібердіяльність, спрямована на інші країни та організації Близького Сходу. “Впливати на операції” у своїх психологічних операціях проти США чи інших держав.
Якщо вас турбує Іран цього місяця, використовуйте це занепокоєння для вирішення тих самих питань, які могли б зробити вашу компанію жертвою східноєвропейських програм-вимог, китайського шпигунства, організованого злочинного шахрайства або крадіжки вашої критичної інтелектуальної власності.
Для тих, хто у фінансовому секторі, є багато уроків, отриманих за попередні роки діяльності Ірану, спрямованої на банківську діяльність, згаданих нижче.
Для тих, хто перебуває на арені промислових систем управління (ІСУ), Іран багато чому навчився, потрапивши під дію цільового шкідливого програмного забезпечення, що впливає на фізичну техніку, тому додаткова пильність в американських інфраструктурних компаніях навколо фішинг-атак, ескалації привілеїв та речей, які дозволяють бічне переміщення без до лісозаготівлі слід звертатися негайно. Збільште пильність і попередження або автоматичні відмови щодо незнайомих IP-адрес або діяльності працівника чи партнера, що значно перевищує їх звичайну роль.
Подробиці:
Те, що, як відомо, робить Іран: відмова в обслуговуванні, цільове зловмисне програмне забезпечення, фішинг як засіб отримання доступу, поглинання облікового запису, атаки на інфраструктуру, використання відомих вразливостей мережі, націлювання фінансових систем та крадіжка інформації для іранських дослідницьких програм.
Деформація веб-сайтів, хоча і бентежить, часто не робить величезного впливу на реальні операції, а деякі останні нещодавно пояснюються діяльністю “натхненною Іраном”, а не офіційними кібер операціями. (Виправте свій веб-сайт, щоб уникнути цієї проблеми)
Приклади нападів, приписуваних Ірану
Наприкінці 2011 року та середині 2013 року – DDoS-атаки на 46 жертв, головним чином у фінансовому секторі США.
2012 – Однією з найвідоміших атак, яку приписують Ірану, була атака програмного забезпечення для очищення даних Shamoon на Saudi Aramco, яка знищила понад 30000 систем.
Серпень – вересень 2013 року – Іранця звинувачують у доступі до систем наглядового контролю та збору даних (SCADA) на дамбі Боумен, розташованій у Рай, штат Нью-Йорк.
2014 р. – крадіжка корпорації Sands Las Vegas у Лас-Вегасі, де бачили крадіжки даних про клієнтів і – за повідомленнями – деякі комп’ютери витирали, інші звинувачували в цьому Іран.
2018 рік – дев’ять громадян Ірану, як стверджується, викрали понад 31 терабайт документів та даних із понад 140 американських університетів, 30 американських компаній, п’яти американських державних установ, а також понад 176 університетів у 21 зарубіжних країнах.
США і компанії завдали удару у відповідь –
У березні 2016 року та березні 2018 року США звинуватили дві різні групи іранців у DDoS-атаках 2016 року та в крадіжці інтелектуальної власності у 2018 році, націлених на США.
У серпні 2018 року компанія Microsoft провела операції з видалення веб-сайтів, які використовували іранські збирачі розвідки, націлених на своїх клієнтів.
Що ви можете зробити сьогодні:
Хоча довгострокове навчання співробітників, обізнаність та планування реагування на події ЗАВЖДИ рекомендуються, і їх слід обговорювати та планувати щороку, якщо у вас обмежений персонал, бюджет та ресурси, і ви стурбовані цією загрозою, будь-ласка, принаймні розгляньте надзвичайні заходи, щоб:
Виправити відомі вразливості – частіше відомі вразливості (і не дуже часто нульові дні) компрометують багато організацій.
Сегментація – Крім того, активізуйте свої плани щодо сегментування мереж (корпоративних та промислових систем управління) таким чином, щоб мінімізувати або компроміс певного підрозділу компанії, і пом’якшити застарілі або непрацюючі системи. Думайте про свою компанію, як про корабель – яка кількість водних відсіків є достатньою, щоб утримати судно на плаву, якщо одна область порушена. (Або протипожежні розчини / двері в готелі для тих, хто не схильний до моря).
Впровадити багатофакторну автентифікацію в адміністративних та критичних облікових записах або ресурсах. Заблокуйте системні адміністративні інструменти або функції, якими можуть користуватися супротивники, що досягають доступу.
Майте в автономному режимі резервні копії критичних даних і навіть резервні копії фізичних конфігурацій виробничої лінії у разі будь-яких атак, щоб допомогти у відновленні.
Наймайте надійного постачальника, який намагатиметься фішингувати ваші команди, зламати ваші системи та негайно впроваджувати ці результати назад у свою програму.
І встановіть свій поточний план реагування на події (І РОЗПЕЧАТАНИЙ) на випадок програм-вимагачів чи склоочисників на ваші системи. Включіть у цю роздруківку імена, номери телефонів та резервні адреси електронної пошти критично важливих співробітників, вашої зовнішньої консультації та постачальника послуг із реагування на випадки.
Так, мій нинішній роботодавець, Строц Фрідберг (компанія Aon), охоплює ці сфери в наших послугах і може підтримати, якщо це необхідно. Як і багато хто з моїх друзів, які читають це, я вже понад 25 років працюю в спільноті, захищаючи США та компанії по всьому світу від цих програм на національному рівні, і ця примітка має на меті підтримати цю постійну місію.
Незалежно від того, до кого ви звертаєтесь за підтримкою, подумайте про виконання деяких із вищезазначених кроків і обов’язково отримайте хорошу пораду від досвідчених фахівців.
Одна команда, одна місія!
Брайан Херд
Спочатку ця публікація була опублікована за адресою https://www.linkedin.com/pulse/level-up-iran-cyber-threat-executive-discussion-bryan-hurd/.
Bryan Hurd люб’язно дозволив нам перекласти і опублікувати цю статтю.
Temy.co - Software Development Partner 