L'ultimo sviluppo della saga dell'attacco NotPetya del 2017 dovrebbe ricordare alle organizzazioni che basta una manciata di criminali informatici per distruggere tutte le vostre operazioni.
La scorsa settimana, il Dipartimento di Giustizia degli Stati Uniti ha annunciato accuse di frode informatica e cospirazione nei confronti di sei hacker del gruppo di criminali informatici noto come Sandworm, membri accertati dell'agenzia di intelligence militare russa GRU.
Si ritiene che Sandworm sia dietro agli attacchi che hanno messo fuori uso parte della rete elettrica dell'Ucraina nel 2016, si è intromesso nelle elezioni francesi del 2017, ha distrutto i computer utilizzati per le Olimpiadi invernali del 2018 e, soprattutto, è responsabile del noto attacco NotPetya.
L'attacco NotPetya ha colpito organizzazioni in 65 Paesi del mondo, causando danni stimati in 10 miliardi di dollari. Un esempio di queste organizzazioni è la più grande compagnia di navigazione del mondo, Maersk. Secondo quanto riportato, la rete di Maersk è stata paralizzata nel giro di pochi minuti e il danno del malware è stato completato nel giro di un'ora. Maersk ha perso tutti i suoi server controller di dominio Active Directory (AD) online, insieme ai loro backup. A salvarsi è stato un controller di dominio spento nell'ufficio di Accra, in Ghana.
Maersk ha impiegato nove giorni per recuperare AD. Il CISO di Maersk, Andy Powell, ha dichiarato: "Nove giorni per un ripristino di Active Directory non sono sufficienti, si dovrebbe aspirare a 24 ore; se non ci si riesce, allora non si può riparare nient'altro".
La storia è stata raccontata su wired.com dal noto giornalista di cybersecurity e autore di Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers, Andy Greenberg. Recentemente abbiamo avuto la l'opportunità di incontrare Andy alla conferenza 2020 Hybrid Identity Protection per discutere di cosa le organizzazioni possono imparare da attacchi informatici distruttivi come NotPetya e di come pensare a una strategia di ripiego. Andy ha sottolineato che "più che sulla difesa, bisogna concentrarsi sulla resilienza. Potreste non essere in grado di prevenire un attacco, ma potete essere pronti a reagire e a riprendervi".
Lettura correlata
Lezioni apprese: Siete pronti per il prossimo "NotPetya"?
NotPetya si è verificato non troppo molto tempo fa e la maggior parte dei CISO di oggi lavorava in qualche modo nel settore IT quando è stato colpito. Maersk è stata piuttosto trasparente su quanto sia stata danneggiata da NotPetya, tanto che i dettagli sulla completa perdita di Active Directory da parte dell'azienda sono stati inclusi in quasi tutti gli articoli tecnici che hanno parlato dell'attacco. Si potrebbe pensare che i CISO prendere nota e che la strategia di recupero dell'AD sia oggi diversa.
Eppure, la maggior parte delle organizzazioni non ha ancora un piano per garantire la recuperabilità dell'AD.
Certo, si fanno i backup e si adottano soluzioni di sicurezza per sostenere un'adeguata sicurezza preventiva, ma le organizzazioni oggi sono ancora impreparate ad affrontare un attacco all'AD del calibro di NotPetya.
Secondo la nostra recente pubblicazione Recupero di Active Directory dai disastri informatici l'84% delle organizzazioni ammette che la perdita di controller di dominio AD nell'ambito di un attacco informatico avrebbe un impatto significativo, grave o catastrofico sull'organizzazione.
I backup hanno certamente un ruolo in una strategia di disaster recovery, ma con AD che rappresenta l'unico o il principale servizio di identità nel 58% delle organizzazioni, è imperativo essere pronti a una perdita "catastrofica" di AD. NotPetya ha dimostrato che può accadere. Eppure, poco più di due terzi (68%) delle organizzazioni non hanno un piano di ripristino dell'AD, ne hanno uno ma non lo hanno testato o non lo hanno testato entro un anno.
Sulla base dell'attacco NotPetya e dei più recenti attacchi informatici che coinvolgono l'AD, ci sono alcuni tipi di tattiche di attacco mirate all'AD che dovreste aspettarvi. aspettarsi e che il vostro piano di risposta dovrebbe affrontare:
- AD Manipolazione-La capacità dell'AD di fornire accesso alle risorse e di controllo sugli utenti e sugli endpoint lo pone all'attenzione dei criminali informatici. È necessario essere in grado di riportare l'AD a un buon livello di e stato noto e sicuro
- AD Disponibilità-In occasione dell'attacco Maersk attaccoil record di avvio master di ciascun controller di dominio è stato crittografato, rendendoli non avviabili. Dovete essere in grado di recuperare tutto da un singolo controllore di dominio all'intera foresta (con tutte le sue complessità) senza rischiare la reintroduzione di malware.
- Nessun backup AD-Molti ceppi di ransomware hanno come obiettivo il servizio Volume Shadow Copy di Microsoft, il backup dei file per tipo di file e persino il tentativo di accedere alle soluzioni di backup tramite API. Come minimo, la regola regola del backup 3-2-1 con una copia conservata fuori sede. Per le organizzazioni che considerano l'AD un carico di lavoro critico, una soluzione che si concentri sul ripristino della foresta di AD è un'ottima soluzione. recupero della foresta AD crea una strategia di risposta a più livelli. In questo modo si può contare sulla capacità di rimediare anche se non ci sono backup validi.
Il vecchio adagio "chi non ricorda il passato è destinato a ripeterlo" è ancora valido. E se siete tra le organizzazioni che non hanno imparato dall'esperienza di Maersk nel riprendersi da NotPetya, l'accusa di Sandworm dovrebbe ricordarvi che è ora di iniziare a pianificare il prossimo grande attacco informatico. cyberattacco colpisce.