Britanska biblioteka je nedavno objavila odličnu analizu nakon pretrpljenog ransomware napada u oktobru 2023. godine
Biblioteka se još uvek oporavlja od napada i prolazi kroz sličnu dinamiku kao i druge organizacije pogođene ransomwareom: pozivi za modernizaciju IT infrastrukture podstiču brz prelazak na cloud i SaaS aplikacije.
Akteri pretnji ransomwareom u velikoj meri zasnivaju svoje tehnike na inherentnim slabostima nasleđene infrastrukture (uglavnom Active Directory on-prem), što podstiče brz prelazak na cloud i SaaS arhitekture nakon takvih sajber napada: izgleda da svaki otpor cloudu brzo nestaje kada se organizacija suoči sa uništenjem svojih servera i lokalnih rezervnih kopija.
Ransomware, čini se, sada igra ulogu pokretača clouda.
Videli smo ovaj tok u mnogim slučajevima: kompanije koje prijavljuju sajber napade često kažu da planiraju modernizaciju svoje infrastrukture, što u praksi znači prelazak na PaaS i SaaS servise, kao što je Microsoft365.
Nedavno je objavljeno kako je regionalna vladina agencija u finansijskom sektoru iznenada premestila svoje javne usluge (e-poštu i web) u cloud nakon što je ransomware uništio njenu on-prem infrastrukturu (Croatian Agency Discovers Managed Services Are More Secure (techinsights.pro).
Čini se da se slična dinamika sada odvija u Britanskoj biblioteci, koja je nedavno (8. marta 2024.) objavila odličnu analizu nakon napada ransomwarea koji je pretrpela u oktobru 2023. godine (british-library-cyber-incident-review-8-march-2024.pdf (bl.uk).
Biblioteka se još uvek oporavlja od napada, a glavne aplikacije na koje se efektivno oslanjala se ne mogu vratiti u njihovu formu pre napada.
Evo nekih ključnih zaključaka iz analize Britanske biblioteke:
- Najverovatniji vektor napada koji je doveo do primene ransomwarea bila je kombinacija phishinga i pristupa udaljenoj radnoj površini (terminalni server) koji nije zaštićen višefaktorskom autentifikacijom (MFA).
- Osoblje BL-a prepoznaje da je MFA ključna za ublažavanje rizika, ali „iz razloga praktičnosti, troškova i uticaja“ u suštini nije moglo da implementira MFA u svom Active Directory on-prem domenu. To odražava uobičajeni problem za mnoge organizacije: mreže Active Directoryja su obično veoma teške i skupe za prilagođavanje zero-trust arhitekturi i zaštiti pomoću MFA.
- BL takođe priznaje da su njegove SaaS aplikacije bile zaštićene od strane MFA, verovatno čim je Microsoft počeo da to podrazumevano primenjuje (BL je korisnik MS365): „MFA je uvedena u biblioteku 2020. da bi se povećala zaštita svih udaljenih aktivnosti u vezi sa aplikacijama u cloudu“.
- Kao rezultat toga, osoblje BL pronalazi prednosti svega toga što se desilo i izvlači ključnu lekciju: SaaS i cloud sistemi su obično mnogo lakši za zaštitu pomoću MFA, plus oni su manje poznati napadačima ransomwarea u smislu eksploatacije, koji svoje tehnike zasnivaju na još uvek preovlađujućoj zastareloj on-prem tehnologiji. Stoga su „sistemi zasnovani na cloudu, uključujući finansije i platni spisak, normalno funkcionisali tokom incidenta“.
- BL prepoznaje da je složenost neprijatelj sigurnosti i nasleđena infrastruktura igra veliku ulogu u uspehu napada. „Neobično raznoliko i složeno tehnološko stanje Biblioteke, uključujući mnoge stare sisteme, ima korene u njenom spajanju mnogih različitih kolekcija, organizacionih kultura i funkcija. Verujemo da je priroda ove nasleđene infrastrukture doprinela ozbiljnosti uticaja napada“.
- Kao rezultat toga, BL sada planira da pređe na SaaS i cloud, smanjujući on-prem footprint.
- Na taj način, planiraju da smanje složenost (zapamtite, to je bio ključni pokretač napada), te će „smanjiti uticaj budućeg napada, smanjiti operativne troškove zamenom zastarelih sistema, ugraditi bezbednost kroz IT životni ciklus i smanjiti rizik u ključnim oblasti kao što su gubitak podataka, oporavak od katastrofe i kontinuitet poslovanja“. Implementacija će zahtevati značajne promene u njihovim aplikacijama, kulturi i načinu rada, kao i njihovim politikama i procesima.
Pročitajte ceo izveštaj ovde: (https://vvv.bl.uk/home/british-librari-ciber-incident-reviev-8-march-2024.pdf) i učite na primeru Britanske biblioteke kako bi vaša organizacija smanjila šanse da doživi uspešan ransomware napad.
Izvor: Tech Insights
Foto: CrowN, Unsplash
