VPN drošības plaisas ļāva ķīniešu hakeriem iekļūt simtiem uzņēmumu tīklos, atklāj ziņojums
Mūsdienu digitālajā laikmetā VPN (privātais virtuālais tīkls) ir kļuvis par neatņemamu daudzu organizāciju drošības infrastruktūras sastāvdaļu. Taču, ja pašā šīs aizsardzības sienas pamatā slēpjas kļūme, sekas var būt postošas. Nesen publicēts ziņojums atklāj precīzi šādu scenāriju, kurā ķīniešu hakeru grupa izmantoja būtiskas ievainojamības globāla tehnoloģiju uzņēmuma Ivanti pakalpojumos, lai iegūtu piekļuvi vismaz 119 organizāciju tīkliem.
Kā viss sākās: uzbrukums uzņēmuma pašam kodam
Saskaņā ar detalizētu atskaiti, incidenta saknes meklējamas jau 2021. gadā. Hakeri, ko analītiķi saista ar Ķīnu, vispirms veiksmīgi iekļuva viena no Ivanti meitasuzņēmumiem iekšējos tīklos. Šis bija izšķirošais solis, kas atvēra durvis daudz plašākai kampānai. Iegūstot piekļūtu iekšējai sistēmai, uzbrucēji varēja izpētīt uzņēmuma izstrādātās drošības produkta – VPN risinājuma – kodu un atklāt tajā slēpto “aizmugurisko durvju” (backdoor) ievainojamību.
Šī ievainojamība faktiski darbojās kā slepens atslēgas akmens, ko pats ražotājs nebija nolēmis turēt. Uzbrucēji to izmantoja, lai izveidotu jaunas, nelikumīgas piekļuves metodes savām mērķa organizācijām, kuras izmantoja šo konkrēto Ivanti VPN produktu.
Ķēdes reakcija: no viena uzņēmuma līdz simtiem upuru
Būtībā, uzlaužot viena piegādātāja sistēmas, hakeri ieguva iespēju kompromitēt visus šī piegādātāja produktu izmantojušos klientus. Meklēšanas process pēc nākamajiem mērķiem kļuva ārkārtīgi vienkāršs. Atskaiņu norāda, ka hakeri izmantoja iegūto piekļuvi, lai izveidotu un izplatītu īpaši modificētu, ļaunprātīgu programmatūras atjauninājumu saviem upuriem.
Kad organizācija, uzstādījusi šo atjauninājumu, tās sistēmas faktiski pašas atvēra durvis uzbrucējiem. Rezultātā tika apdraudēti vismaz 119 dažādi nosaukumi no visām pasaules malām, tostarp valdības iestādes, aizsardzības nozares uzņēmumi un finanšu organizācijas. Lielākā daļa upuru atradās ASV, taču cietušās arī Eiropas un Āzijas valstis.
Kāpēc šis incidents ir tik nopietns?
Šis gadījums izceļ vairākus kritiskus mūsdienu kiberdrošības izaicinājumus.
1. Piegādātāju ķēdes uzbrukums kā jaunā norma
Hakeru grupas arvien vairāk koncentrējas nevis uz tiešu uzbrukumu mērķa organizācijai, bet uz tās uzticētajiem piegādātājiem un pakalpojumu sniedzējiem. Uzlaužot vienu uzticamu piegādātāju, tiek iegūta piekļuve simtiem vai tūkstošiem tā klientu. Tas padara uzbrukumu daudz efektīvāku un grūtāk atklājamu.
2. “Aizmugurisko durvju” briesmas
Iespēja, ka drošības produktā varētu pastāvēt apzināti vai nejauši izveidota aizmugurējā piekļuve, ir katra IT vadītāja nakmārī. Šādas ievainojamības ir ārkārtīgi grūti atklāt, jo tās izskatās kā daļa no leģitīmas sistēmas funkcionalitātes. To izmantošana ļauj uzbrucējiem ilgstoši palikt neieraudzītiem.
3. Ilgstošā piekļuve un datu noplūdes risks
Atskaite norāda, ka dažās sistēmās hakeri spēja noturēties vairāk nekā sešus mēnešus. Šāds ilgstošs, neieraudzīts klātbūtnes periods dod laiku izlūkot tīkla struktūru, paaugstināt savas privilēģijas, pārvietoties starp dažādām sistēmas daļām un nozagt jutīgus datus – no personīgās informācijas līdz intelektuālajai īpašumam un valsts noslēpumiem.
Ko māca šis gadījums? Drošības padomi organizācijām
Lai gan šis konkrētais incidents ir atklāts un, cerams, novērsts, tā mācības ir universālas.
Vairāku līmeņu aizsardzība ir obligāta
Neviens produkts vai pakalpojums nedrīkst būt vienīgais aizsardzības līmenis. Nepieciehama dziļa, daudzslāņu drošības stratēģija, kas ietver tīkla segmentēšanu, stingru piekļuves kontrolei balstītu uz lomu (Zero-Trust), uzvedības analīzes rīkus un nepārtrauktu uzraudzību. Pat ja viena sastāvdaļa tiek kompromitēta, citiem slāņiem jāspēj apturēt uzbrukuma izplatīšanos.
Vērtējiet piegādātāju drošību
Izvēloties tehnoloģiju piegādātājus, ir kritiski izvērtēt ne tikai to produktu funkcionalitāti, bet arī viņu drošības praksi, atbildības politiku un incidentu reaģēšanas spējas. Jautājiet par iekšējo auditēšanu, koda pārskatiem un piegādātāju drošības sertifikācijām.
Aktīva uzraudzība un ātra reaģēšana
Nav pietiekami tikai uzstādīt drošības rīkus. Nepieciešama nepārtraukta, aktīva tīkla darbības uzraudzība, lai ātri noteiktu neparastas aktivitātes. Ir jābūt skaidram incidentu reaģēšanas plānam, kas ļauj ātri izolēt ietekmētās sistēmas, novērst draudus un atjaunot darbību.
Nākotnes perspektīva: pastiprināta uzmanība piegādātāju drošībai
Šis incidents noteikti radīs pastiprinātu uzmanību no valdību regulatoriem un nozares standartu veidotājiem attiecībā uz piegādātāju ķēdes drošību. Organizācijām būs jāpieprasa lielāka caurspīdīguma no saviem tehnoloģiju partneriem par iekšējām drošības praksēm un iespējamiem riskiem.
Vienlaikus tas kalpo kā spēcīgs atgādinājums, ka kiberdrošībā nepastāv absolūti neuzvaramas fortresses. Pastāvīga modrība, ieguldījumi daudzslāņu aizsardzībā un izpratne, ka jebkurš produkts var saturēt kļūmes, ir pamatprincipi, kas palīdzēs organizācijām izturēt pat sarežģītākos piegādātāju ķēdes uzbrukumus. Šodienas atklājums par Ivanti gadījumu vēlreiz parāda, ka digitālajā pasaulē mūsu drošība ir tikpat stipra kā vājākā saite mūsu piegādātāju ķēdē.