Health-ISAC Hacking Healthcare 11-21-2022

Sveiki sugrįžę į Įsilaužimas į sveikatos priežiūrą.

ENISA grėsmių kraštovaizdžio (ETL) ataskaitos apžvalgos

Lapkričio 3^rd, Europos Sąjungos kibernetinio saugumo agentūra (ENISA) paskelbė 2022 m. ataskaitą apie kibernetinio saugumo grėsmes.[1] Šioje metinėje ataskaitoje pateikiama naudinga įžvalga apie tai, kas, ES kibernetinio saugumo agentūros nuomone, yra pagrindinės kibernetinės grėsmės, taip pat apie grėsmių subjektų tendencijas ir motyvus. Be to, išsamiame priede pateikiamas išsamus incidentų sąrašas, CVE kraštovaizdžio suskirstymas ir rekomendacijos, susietos su ISO/IEC 27001 ir NIST kibernetinio saugumo sistema (CSF). Nepaisant 150 puslapių ilgio, jis parašytas taip, kad jį iš esmės supras netechninė auditorija. Ataskaita buvo sudaryta iš duomenų, surinktų nuo 2021 m. liepos mėn. iki 2022 m. liepos mėn.

Taigi, į kokius svarbius dalykus verta atkreipti dėmesį?

• - Tiekimo grandinės: Remiantis ETL ataskaita, tiek valstybės remiami grėsmių veikėjai, tiek kibernetiniai nusikaltėliai vis labiau domisi tiekimo grandinės atakomis ir galimybėmis jas vykdyti. ETL pažymi, kad tiekimo grandinės pažeidimai sudarė 17 % įsibrovimų 2021 m., ty 16 procentinių punktų daugiau nei 2020 m. ENISA šį padidėjimą sieja su pamokomis, kurias išmoko grėsmės veikėjai po SolarWinds.

ENISA taip pat įvertina, kad „debesų paslaugų teikėjai (CSP), valdomų paslaugų teikėjai (MSP) ir IT paslaugų organizacijos yra pagrindiniai grėsmės subjektų taikiniai, siekiant išnaudoti savo pasitikėjimo ryšius ir atlikti nesąžiningus veiksmus.[2] Galiausiai ENISA tikisi, kad „kibernetiniai nusikaltėliai artimiausioje ateityje nusitaikys į programinės įrangos tiekimo grandinę ir MSP“ ir „taip pat tikėtina, kad jie bus nukreipti į valdymo įrankius, naudojamus MPT, pvz., profesionalių paslaugų automatizavimo programinę įrangą (PSA) arba nuotolinį stebėjimą. ir valdymo (RMM) įrankiai“.

•  – Geopolitika: 
• ETL ataskaitoje aiškiai nurodoma, kad konfliktas Ukrainoje „performavo grėsmės kraštovaizdį“ ir kad geopolitika ir toliau atlieka svarbų vaidmenį kibernetinėse operacijose.[3] Trys problemos, kurias, jų nuomone, verta pabrėžti, yra padidėjęs įsilaužėlių aktyvumas, įsilaužėlių ir kibernetinių nusikaltėlių elementų mobilizavimas, siekiant padidinti valstybės galimybes, ir DDoS naudojimo padidėjimas.

• – Ransomware prekės ženklo keitimas:
• ENISA pažymi, kad išpirkos reikalaujančių programų grupės vis dažniau bando pakeisti prekės ženklą nuo tada, kai „Colonial Pipeline“ ataka „paskelbė padidėjusias teisėsaugos ir vyriausybių pastangas visame pasaulyje“.[4] ETL ataskaitoje teigiama, kad „ransomware“ grupės vidutiniškai užtrunka 17 mėnesių iki prekės ženklo pakeitimo ir kad pagrindinė jų motyvacija gali būti:

1. 1. Iš naujo paleiskite jų operacijas, jei jų įrankiai, TTP ar infrastruktūra būtų labai pažeisti;
2. 2. Venkite teisėsaugos, žiniasklaidos ir politinio dėmesio;
3. 3. Trukdyti ir atidėti pastangas priskirti užpuolimą, kad aukos galėtų sumokėti išpirką subjektui, kuriam nėra sankcijų; ir
4. 4. Spręsti vidinius ginčus.

• Phishing:

• – Tikėtina, kad nenuostabu, kad ENISA nustatė, kad „sukčiavimas vėl yra labiausiai paplitęs pradinės prieigos vektorius“.[5] Jie taip pat pabrėžė, kad „tokį augimą paskatino pažanga sukčiavimo srityje, vartotojų nuovargis ir tikslinis, kontekstu pagrįstas sukčiavimas“ ir kad grėsmės veikėjai ir toliau pritaiko sukčiavimo kampanijos turinį prie svarbiausių pasaulio įvykių, tikėdamiesi sužadinti smalsumą.

• Operacinė technologija:

• ENISA praėjusių metų vertinime perspėjo, kad „valstybės veikėjų susidomėjimas ypatingos svarbos infrastruktūros ir operatyvinių technologijų (OT) tinklais artimiausiu metu tikrai augs“.[6] Remiantis šių metų atnaujinimu, „vertinimas laikomas galiojančiu kaip kibernetinės operacijos, nukreiptos į tokią infrastruktūrą, visų pirma siekiant žvalgybos informacijos rinkimo, naujai pastebėtų ICS nukreiptų kenkėjiškų programų diegimo ir trikdžių“.[7]

ETL ataskaitoje didelis dėmesys skiriamas grėsmei, kylančiai valstybės remiamiems veikėjams, kurie vis dažniau nori sukurti į OT orientuotus pajėgumus, kurie galėtų būti panaudoti krizės ar konflikto metu. ENISA perspėja, kad tikėtina, kad tie, kurie domisi OT taikymu, „toliau skirs išteklius ir plėtos išplečiamas ICS kenkėjiškų programų sistemas, nes jos yra modulinės ir gali nukreipti kelias aukas ir įvairiose pramonės šakose naudojamą įrangą“.

• Prievartavimo tendencijos:

• Viena tendencija, į kurią verta atkreipti dėmesį, anot ENISA, yra duomenų vagysčių ir turto prievartavimo nenaudojant išpirkos reikalaujančių programų padidėjimas. Prievartavimo metodai per pastaruosius kelerius metus buvo tobulinami, įtraukiant skirtingas taktikas, siekiant maksimaliai padidinti aukų atlyginimą, ir atrodo, kad ši konkreti kartojimas vis dažniau naudojamas. ENISA pažymi, kad kibernetiniai nusikaltėliai išsiaiškino, kad jie gali paprasčiausiai prašyti išpirkos, susijusios su pavogtais duomenimis, nepatirdami problemų diegdami išpirkos reikalaujančią programinę įrangą.

• Mokėjimo draudimas:

• Vienas ypač įdomus įvykis yra ENISA paraginimas dėl išpirkos mokėjimo draudimo įstatymų ir taisyklių. ETL ataskaitoje pažymima, kad 2022 m. JAV Šiaurės Karolinos valstija „paskelbė, kad viešosioms įmonėms draudžiama mokėti išpirkas“, o JAV Floridos valstija pasekė panašaus pavyzdžio vyriausybinėms agentūroms. ENISA toliau teigia, kad „liks pažiūrėti, ar šie įsipareigojimai bus veiksmingi, nes [Ransomware-as-a-Service] (RaaS) grupės neapsiribos dėl vietos įstatymų“.[8] Jie mano, kad „tik globalesniame kontekste šios teisinės priemonės galėtų tapti veiksmingesnės“.

Išsamesnį šių klausimų suskirstymą galima rasti viso ilgio ETL ataskaitoje, kuri yra laisvai prieinama ENISA svetainėje. Norėtume paskatinti suinteresuotus narius peržiūrėti ataskaitą ir ieškoti kitų jiems svarbių skyrių.

Veiksmas ir analizė

*Su H-ISAC naryste* 

Kongresas

Lapkričio 22 d., antradienis:

– Nėra atitinkamų posėdžių

Lapkričio 23 d., trečiadienis:

– Nėra atitinkamų posėdžių

Lapkričio 24 d., ketvirtadienis:

– Nėra atitinkamų posėdžių

tarptautiniu mastuKlausymai/Susitikimai

– Nėra atitinkamų susitikimų

Susisiekite su mumis: sekite @HealthISAC