Zagrożenie tuż za rogiem: Jak niedociągnięcia w cyberhigienie mogą otworzyć drzwi hakerom
Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wraz ze Strażą Wybrzeża Stanów Zjednoczonych (USCG) przeprowadziły rutynowe, proaktywne działania mające na celu wykrycie potencjalnych zagrożeń w kluczowej amerykańskiej organizacji infrastruktury krytycznej. Choć w wyniku przeprowadzonego „polowania na zagrożenia” (threat hunt) nie znaleziono dowodów na obecność złośliwego oprogramowania czy aktywność cyberprzestępców, to jednak odkryto szereg niepokojących luk w zabezpieczeniach. Ich istnienie może stanowić idealny grunt dla przyszłych ataków.
Lista problemów: Od haseł w pliku tekstowym po brak separacji sieci
Raport z tej akcji ujawnia listę obszarów wymagających natychmiastowej poprawy. Do najważniejszych zidentyfikowanych problemów należą:
- Niewystarczające logowanie: Brak szczegółowych zapisów zdarzeń uniemożliwia skuteczne wykrywanie anomalii i analizę incydentów.
- Niezabezpieczone przechowywanie danych uwierzytelniających: Hasła i inne poufne dane były przechowywane w formie jawnego tekstu, co jest niedopuszczalne z punktu widzenia bezpieczeństwa.
- Współdzielenie danych uwierzytelniających administratorów: Lokalne konta administratorów były współdzielone między wieloma stacjami roboczymi, a co gorsza, często posługiwały się tym samym, łatwym do odgadnięcia hasłem.
- Nieograniczony dostęp zdalny dla administratorów: Konta z uprawnieniami administracyjnymi miały zbyt swobodny dostęp zdalny.
- Niewystarczająca segmentacja sieci IT/OT: Brak wyraźnego podziału między sieciami informatycznymi (IT) a sieciami technologii operacyjnych (OT), które sterują fizycznymi procesami, stwarza ryzyko rozprzestrzeniania się ataków.
- Błędy w konfiguracji urządzeń: Zidentyfikowano szereg innych drobniejszych, ale potencjalnie groźnych błędów konfiguracyjnych.
Co dalej? Rekomendacje dla wzmocnienia obrony
CISA i USCG nie tylko wskazują problemy, ale również oferują konkretne rozwiązania. Kluczowe zalecenia obejmują:
- Eliminacja jawnego tekstu haseł: Zastosowanie menedżerów haseł, szyfrowanych oprogramowań lub innych bezpiecznych rozwiązań do zarządzania danymi uwierzytelniającymi. Hasła powinny być szyfrowane zarówno w spoczynku, jak i w transporcie.
- Unikalne hasła administratorów: Wdrożenie rozwiązań takich jak Microsoft LAPS, które automatyzują tworzenie i rotację silnych, unikalnych haseł dla lokalnych kont administratorów.
- Wzmocniona segmentacja sieci IT/OT: Bardziej rygorystyczne oddzielenie sieci IT od OT, często poprzez wdrożenie stref DMZ (demilitaryzowanej) i stosowanie zapór sieciowych z zaawansowanymi funkcjami filtrowania.
- Wzmocnione bastion hosty: Wykorzystanie dedykowanych, silnie zabezpieczonych serwerów (bastion hostów) jako jedynych punktów dostępu do sieci OT, z obowiązkowym stosowaniem uwierzytelniania wieloskładnikowego (MFA).
- Szczegółowe logowanie i długoterminowe przechowywanie danych: Wdrożenie kompleksowego systemu logowania obejmującego wszystkie kluczowe zdarzenia, z przechowywaniem danych w bezpiecznej, scentralizowanej lokalizacji (np. SIEM) na potrzeby analizy.
Choć w tym konkretnym przypadku nie odnotowano faktycznego włamania, dane z tej akcji stanowią cenną przestrogę dla wszystkich organizacji zarządzających infrastrukturą krytyczną. Luki w podstawowej cyberhigienie mogą okazać się najgroźniejszymi drzwiami otwartymi dla cyberprzestępców. Warto już dziś zastanowić się, czy własne systemy są odpowiednio zabezpieczone.