Loading
Wybraliśmy najbardziej wartościowe wnioski z Threat Research Report “Russia's Cyber Tactics: Lessons Learnt in H1’2023” i chcemy podzielić się nimi z osobami zainteresowanymi współczesnym krajobrazem cyberbezpieczeństwa.
Badanie opiera się na danych zebranych przez Państwową Służbę Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) i jej wysiłkach w celu odparcia ataków rosyjskich cyberhakerów podczas wojny. Nasz zespół przeanalizował ten raport z perspektywy cyber decepcji, aby podkreślić, w jaki sposób techniki imitacji mogą być wykorzystywane w cyberwojnie, gdy cena porażki jest znacznie wyższa niż w środowisku cywilnym i biznesowym.
Z tego względu najważniejsze punkty w raporcie "Russia's Cyber Tactics: Lessons Learnt in H1'2023" są następujące:
1. Atakujący coraz częściej stosują różne techniki, aby uniknąć wykrycia ich obecności przez systemy EDR/XDR. Istniejący EDR/XDR nie gwarantuje bezpieczeństwa firmy w przypadku ataku hakerów wyspecjalizowanych w podmiotach przemysłowych lub rządowych.
2. Często ataki rozpoczynają się od penetracji przez interfejsy sieciowe systemów (na przykład Zimbra i RoundCube).
W takim przypadku, nawet jeśli istnieje proces analizy plików dziennika serwera, to pracownicy firmy mogą przeoczyć atak w przepływie zdarzeń.
3. Skrócenie czasu wykrywania jest kluczowym wskaźnikiem KPI w konfrontacji z wysoce zmotywowanymi hakerami rządowymi.
4. Atakujący są bardzo zainteresowani celami klasy OT/SCADA. Dlatego też logiczne jest zapewnienie im tego, czego chcą, w postaci wabików w ramach podejścia do cyberbezpieczeństwa.
5. "Atakujący mają zatem tendencję do utrzymywania niskiej aktywności po wykryciu i mogą ponownie wykorzystać swoją wiedzę na temat wewnętrznych elementów organizacji, aby odzyskać dostęp lub znaleźć alternatywne punkty wejścia, wykorzystując zaufanie i zachowanie ludzi (np. z wiadomości e-mail) oraz środowisko administratora IT".
Wniosek: Nie zawsze możliwe jest szybkie znalezienie punktu wejścia do infrastruktury. Konieczne jest jak największe odwrócenie uwagi atakujących, aby zyskać czas na przeanalizowanie wszystkich szkodliwych plików i artefaktów.
6. Najczęstszym wektorem penetracji jest phishing. Wskazuje to na znaczenie wabików plikowych w systemie decepcji na jak największej liczbie hostów.
Dodatkowe materiały w języku angielskim:
Raport: liczba odnotowanych incydentów cybernetycznych wzrosła niemal trzykrotnie w 2022 r. https://cip.gov.ua/en/news/u-2022-roci-kilkist-zareyestrovanikh-kiberincidentiv-virosla-maizhe-vtrichi-zvit
Taktyka cybernetyczna Rosji: Lessons Learned in 2022 - Raport analityczny SSSCIP na temat roku pełnej cyberwojny Rosji przeciwko Ukrainie: https://cip.gov.ua/en/news/russia-s-cyber-tactics-lessons-learned-in-2022-ssscip-analytical-report-on-the-year-of-russia-s-full-scale-cyberwar-against-ukraine
Eksperci ds. cyberbezpieczeństwa ubolewają, że Zachód nie wyciągnął wniosków z Ukrainy: https://www.ft.com/content/c7038f7e-48fb-4d76-a608-96eec217a654