今週初めにウクライナに侵攻したロシアに対する米国主導の制裁が発火した かなりの懸念 米国の組織および他の連合国に拠点を置く組織に対するこの地域からの報復的および波及効果のサイバー攻撃について。
多くの人は、攻撃がディスクワイパーやランサムウェアの使用を含む破壊的なキャンペーンから、分散型サービス拒否攻撃、フィッシング、偽情報、誤った情報、影響力のあるキャンペーンに至るまで、あらゆる範囲を実行することを期待しています。 セキュリティの専門家は、攻撃の一部が国の支援を受けたロシアの脅威によって標的にされ、実行されることを期待しています。 ロシアの利益に共感するアクターによって立ち上げられる可能性が高いものもあれば、数年前にNotPetyaマルウェアが行ったのと同じように、ウクライナから流出して巻き添え被害を引き起こす可能性もあります。
これらの攻撃に備えるために組織が今すぐに実行する必要があるとセキュリティ専門家が言うXNUMXつの対策を次に示します。 ほとんどのアドバイスには、組織がすでに実施すべき対策が含まれています。 しかし、そうでない場合は、今がそれらを実装する良い機会です、と専門家は言います。
1.曝露を評価する:すべての人が同じリスクに直面しているわけではありません
ソフォスの主任研究員であるチェスター・ウィスニエフスキー氏は、組織がロシアのサイバー攻撃にさらされる可能性は大きく異なると述べています。
ウクライナでビジネスを行ったことがある、または行っている企業は、最悪の事態を予想し、すべてのセキュリティ管理が可能な限り最新であることを確認する必要があります。 クレデンシャルの悪用を監視することは特に重要です。 「紛争中に通信を継続する場合は、通信の信頼性が低く、他の手段を介して通信する方法のバックアップ計画を立てる必要があります」とWisniewski氏は言います。
米国のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーは、ウクライナのカウンターパートと協力している組織が「それらの組織からのトラフィックを監視、検査、および分離」し、そのトラフィックのアクセス制御を確認するために特別な注意を払うことを推奨しています。 アドバイスは、CISAがと呼ばれるドキュメントにまとめたヒントの長いリストのXNUMXつです。 シールドアップ.
ポーランド、ルーマニア、エストニア、ラトビア、リトアニア、モルドバなど、この地域でビジネスを行っている組織が、ウクライナに影響を与えることを目的とした攻撃による巻き添え被害の犠牲になる可能性は十分にあります。 Wisniewskiは、ソフォスが木曜日にディスクワイピングマルウェアツールと呼ばれるものを観察したことを示しています。 気密ワイパー ラトビアとリトアニアの一部の請負業者の場所に影響を与えましたが、ウクライナのエンティティを対象としていました。
「ロシアがNATO加盟国を直接標的にすることはないと思いますが、主にウクライナに影響を与えることを目的としたNotPetya攻撃からの同様のフォールアウトが見られました」とWisniewskiは言います。
この地域と関係のない組織は、西側に危害を加えようとしている独立したロシアを拠点とする脅威アクターの犠牲者になり、ロシア国家の敵と見なされるリスクが高くなっています。 「紛争が始まる前にこの結果を懸念し、Contiランサムウェアグループが出てきて、「ロシア政府の全面的な支援」を宣言したことに気づきました」とWisniewski氏は言います。
2.攻撃対象領域を最小限に抑えます
組織は、次のようなツールを使用して、公開されたネットワーク境界/ DMZを探すことにより、セキュリティ体制を検証する必要があります。 search.censys.io & しょだん.ioBlumiraのCTO兼共同創設者であるMatthewWarnerは言います。
ワーナー氏によると、環境内にSysmonをデプロイすることもお勧めします。 「Sysmonは、デフォルトのWindowsロギングでは得られない、環境全体にわたる幅広い可視性を提供できます。 その意味で、EDRがやろうとしていることを本質的に模倣しています」と彼は言います。 ただし、多くの場合、組織はSysmonデータを調べることで、忠実度と検出率を高めることができます。 「多くの場合、Sysmonは、エンドポイント検出および応答(EDR)ツールが検出する前に動作を検出します」とWarner氏は言います。
コマンドアンドコントロールの宛先を呼び出すネットワーク上のマルウェアの兆候がないか、アウトバウンドトラフィックを監視します。 国家のマルウェアを見つけるのは非常に難しい場合がありますが、ほとんどの場合、マルウェアは何らかの方法で通信する必要があります。 ブリーチRX 前記。
ロシアのウクライナ侵攻のXNUMX週間前に、国家安全保障局は組織が使用する必要性についての勧告を発表しました 強力なパスワードタイプ Ciscoルータのデバイスコンフィギュレーションファイルのクレデンシャルを保護します。
「近年のネットワークインフラストラクチャの侵害の数の増加は、ネットワークデバイスへの認証が重要な考慮事項であることを思い出させます。」 NSAは指摘しました、ロシアの攻撃やウクライナでの現在の紛争については言及していません。
3.基本を実行します
ロシアのAPTは、他の非常に効果的なグループと同様のプレイブックに従っています、とWarnerは言います。 彼らの技術、戦術、手順(TTP)は秘密ではない、と彼は述べています。 ウクライナで報告されたサイバー攻撃の多く(HermeticWiperなどのディスクワイピングマルウェアに関連するものなど)が、攻撃者が以前にアクセスしたように見えるシステムに関係していることも重要です。
したがって、これらの脅威に備えるには、常にそうであるように、セキュリティの基本に注意を払う必要があります。 「残念ながら、アドバイスは、パッチ適用、多要素認証の使用などに関する通常のアドバイスと変わりません」とWisniewski氏は言います。 「最近、ワイパーからの活動が増えていることを考えると、バックアップはこれまで以上に重要になる可能性があります。コンティのようなランサムウェアギャングが、お金を払わないと環境をワイプすることを選択する可能性があります。」
Warnerは、たとえば、Microsoft 365、G Workplace、Okta、およびその他の同様の環境でMFAを有効にすることにより、組織がWindows環境に注意を払うことを推奨しています。 レガシー認証を無効にする。 マクロがMicrosoftOffice環境で実行されないようにブロックします。
ルーターが更新され、安全なパスワードが設定され、管理インターフェースが公開されていないことを確認してください。 ヨハンズ・ウルリッヒ、SANSテクノロジーインスティテュートの学部長。
Bugcrowdの創設者兼CTOであるCaseyEllisは、次のように述べています。 単なる卓上運動であっても、それを実行してください。 また、侵入者の検出とインシデント対応の計画が最新であることを確認してください、とEllis氏は言います。
CISAは、サイバーセキュリティインシデントまたはインシデントの疑いが発生した場合に、組織が主要な連絡先を持つ危機対応チームを指定することを推奨しています。
4.それらのB2BVPN接続を監視します
組織が直面する大きなリスクは、ウクライナでのサイバー攻撃による巻き添え被害の犠牲者になりつつあります。 一例は、ウクライナを標的としたロシアの攻撃として始まったが、世界中の何千もの組織に影響を与えることになった2017年のNotPetyaの発生です。 「ファイアウォールルールなどのセキュリティ制御によってフィルタリングされていないB2BVPN接続は、このようなスピルオーバーの可能性が最も高いパスです」と、SANSInstituteの新たなセキュリティトレンドのディレクターであるJohnPescatoreは述べています。 リソースセンター 組織が潜在的なウクライナ関連のサイバー脅威をナビゲートするのを支援するため。 SANSは、組織が環境内のすべてのB2B VPN接続をすぐに見つけて、それらが攻撃者の最初のエントリポイントにならないように対策を講じることを推奨しています。
B2B VPNに関するSANSのアドバイスには、すべてのVPNで高リスクのプロトコルをブロックすることや、ビジネス要件でB2B VPNでのプロトコルのブロックが許可されていない場合は、高リスクのプロトコルのトラフィックの宛先を制限することが含まれます。 また、すべてのB2B VPN出口ポイントでネットフローを監視し、何かが発生した場合に急いでそれらを切断する計画を立てることをお勧めします。
「少なくとも、既知の危険なプロトコルがブロックされていることを確認し、理想的には、必要最小限のポート、プロトコル、およびアプリケーションのみが許可されていることを確認してください」とPescatore氏は言います。
5.通信する
潜在的なウクライナ関連のサイバー攻撃に備えるための準備がまだ整っていないほど、セキュリティ制御を実装することで実行できる組織は非常に多くなります。 したがって、高度なフィッシング攻撃、誤った情報キャンペーン、およびロシアのサイバー攻撃者による企業システムの侵害の試みの可能性について従業員に警告することが、これらのベクトルへの露出を減らすための鍵となります。 「すべての従業員に、より注意深く注意を払い、関連する電子メールやファイルをできるだけ早く報告するように通知してください」とWarner氏は言います。
「人々が攻撃の最も可能性の高いベクトルである方法について、会社全体にリマインダーを送信します。」 ブライトRX 組織が潜在的な攻撃にどのように備える必要があるかについてのブログで述べています。 「たとえば、フィッシング攻撃を思い出させ、異常な活動を報告するように伝えます。」
セキュリティチームは、ロシアを批判するソーシャルメディアの投稿など、政治的にデリケートなトピックへの幹部のつながりやコミュニケーションを確認する必要があります。 「あなたはあなたのビジネスのためではなく、それらの見解のためにターゲットになるかもしれません」とBrightRXは言いました。 インシデント対応および準備会社によると、悪意のあるインサイダーからの潜在的なセキュリティ問題に対処するために、インサイダープレイブックを設置することも検討してください。
6.変更を最小限に抑える
IT部門は、変更を最小限に抑え、すべての新しいソフトウェア/実行可能ファイル、確立された新しいアカウント、および環境内で高い特権を持つアカウントを調査する必要があるとPescatore氏は言います。 また、特に特権アカウントでの強力な認証の使用を増やし、変更管理と変更監視を増やすことをお勧めします。
「この対立が経営陣の注意を引く場合は、一時的であっても、基本的なセキュリティ衛生を向上させてください」とPescatore氏はアドバイスします。
7.リスクの高い組織はISACメンバーシップを検討する必要があります
ABSグループは今週、石油、天然ガス、電力セクターの組織は、石油、ガス、信頼できる電力の流れを妨害することに焦点を当てた攻撃のリスクが高いと述べた。 これらのセクターのビジネスおよびテクノロジーリーダーは、情報テクノロジー(IT)およびオペレーショナルテクノロジー(OT)チームと連携して、適切な業界情報共有および分析センター(ISAC)のメンバーシップを確保する必要があります。 ABSグループ 言った。 ISACは、重要なインフラストラクチャのオペレーターが業界固有のサイバー脅威に遅れないようにし、それらに備え、防御し、軽減する方法を支援するように設計されています。
ABS Groupはまた、これらのセクターの組織が対応手順を実行し、試みられた、または確認されたすべてのサイバー侵入を、それぞれのISAC、組織のセキュリティチーフ、エネルギー省(DOE)または連邦捜査局(FBI)に直ちに報告することを推奨しました。
多くの組織は、ロシアのサイバー攻撃によるリスクが低いと認識している可能性があります。 しかし、それらが特定の標的ではないことは事実かもしれませんが、NotPetyaの場合と同様に、他の人と同じように、ロシアの同情的な脅威アクターによる日和見攻撃に巻き込まれたり、巻き添え被害の犠牲になったりする可能性があります。
そのため、セキュリティの専門家によると、すべての組織がセキュリティ体制を見直して強化することをお勧めします。
