Cybertrusler i en tid med økte spenninger i Midtøsten: Hva britiske IT-sjefer kan forvente

Når det gjelder verst tenkelige scenarioer, blir de ikke mye verre enn en sletting av alle tilkoblede enheter i hele selskapet. Likevel er det realiteten det amerikanske medteknologifirmaet Stryker står overfor etter å ha blitt truffet av pro-iranske hackere 11. mars. Handala-gruppen hevdet å ha slettet 200 000 endepunkter og stjålet 50 TB med data. Tiden vil vise om dette er nøyaktig eller ikke, men i skrivende stund, Stryker innrømmet at angrepet «resulterte i en global forstyrrelse av selskapets Microsoft-miljø».

Spørsmålet er i hvilken grad britiske organisasjoner vil bli eksponert etter hvert som cyberkrigen eskalerer. Hvis det nåværende regimet gir seg i kast med det lange spillet og begynner å slå ut på nettet, kan det varsle starten på en farlig ny periode.

Er det på tide å bekymre seg?

National Cyber ​​Security Center (NCSC) utstedt veiledning 2. mars, kort tid etter at amerikanske og israelske bomber begynte å falle over Iran. Den tror ikke det har vært en «betydelig endring i den direkte cybertrusselen fra Iran». Selv om Stryker-angrepet tilsynelatende ikke har endret denne kalkulen, kan denne vurderingen endre seg i fremtiden. Droner har allerede blitt avfyrt mot en RAF-flybase på Kypros. Så det er ikke utenkelig at cyberangrep også kan bli iverksatt mot britiske firmaer, spesielt de med israelske koblinger (slik Stryker har gjort).

Organisasjoner som trenger å være mer bekymret er de som har en tilstedeværelse (f.eks. avdelingskontorer) eller forsyningskjeder i Midtøsten. Risikoen kan stamme fra fysiske eller digitale angrep. Tre AWS-datasentre i De forente arabiske emirater og Bahrain har allerede blitt truffet av droner noe som for eksempel fører til strømbrudd. Samtidig kan cyberangrep på avdelingskontorer eller regionale forsyningskjeder teoretisk sett gi inntrengere mulighet til å få fotfeste i systemer med sikte på å bevege seg inn i tilkoblede nettverk andre steder.

For å forsterke bekymringen har Den islamske revolusjonsgarden (IRGC) nå utnevnt flere amerikanske teknologiselskaper som mål på grunn av israelske bånd eller skytjenester, ifølge Flashpoint. Disse er AWS, Google, Microsoft, Oracle og IBM, samt Nvidia og Palantir. Regionale banksentre knyttet til USA og Israel har også blitt trukket frem av regimet.

Hva kan man forvente

Hva kan britiske firmaer og/eller deres partnere forvente hvis de blir utpekt av iranske hackere? analyse av Halcyon, trusselen kommer potensielt fra statsstøttede hackere og tilknyttede hacktivistgrupper:

«Vi forventer at Iran kan komme til å bruke forsøk på tilsløring, stedfortredere og destruktive verktøy mot amerikanske nettverk i løpet av de kommende ukene:»

• Bruk av distribuert tjenestenekt (DDoS) mot hostingleverandører.

• Implementering av ransomware før sletting av en organisasjons data og/eller bruk av destruktiv programvare eller skadelig skadevare som gjør systemgjenoppretting umulig

• Utnytte langsiktig tilgang for spionasje og datautvinning for destruktive angrep og/eller for å lokalisere dissidenter for videre målretting.»

Det burde være en viss bekymring at iranske trusselaktører allerede kan være forhåndsposisjonert i noen bedriftsnettverk, i henhold til denne rapportenTenketanken Senter for strategiske og internasjonale studier (CSIS) sier«Finansielle tjenester, vannforsyning og transportinfrastruktur, hvorav mange er avhengige av utdaterte kontrollsystemer, er fortsatt attraktive mål for iranske aktører etter hvert som den kinetiske konflikten intensiveres.»

Michael Crean, senior visepresident for administrerte tjenester i SonicWall, forteller IO (tidligere ISMS.online) at trusselaktører beveger seg bort fra «storskala skanning og DDoS-aktivitet» og over til utnyttelse av sårbarheter.

«Angripere retter seg i økende grad mot webapplikasjoner, databaser og servere ved hjelp av teknikker som SQL-injeksjon, sti-traversering og ekstern kodekjøring. Disse typene angrep er ofte utformet for å få initial tilgang til systemer før de beveger seg dypere inn i et nettverk», fortsetter han.

«Hvis spenningene fortsetter, kan vi se forstyrrende aktivitet som nettstedsdefaceringer, datatyveri og lekkasjer, eller DDoS-angrep mot offentlige tjenester. Destruktiv skadevare som wipers er mulig under eskalering, selv om nåværende data hovedsakelig indikerer undersøkelser og utnyttelse snarere enn omfattende destruktive angrep.»

På tide å bygge motstandskraft

Ødeleggelse var navnet på spillet med Stryker, og ifølge rapporter det krevde ikke engang levering av skadelig programvare – bare kompromittering av en Intune-administratorkonto. Det viser hvorfor helhetlig innsats for robusthet må prioriteres.

NCSC oppfordrer britiske CISO-er til å konsultere tidligere utstedte råd om DDoS angrep, phishing-aktivitet og målretting av industrielle kontrollsystemer (ICS). For de med forsyningskjeder eller kontorer i regionen, anbefaler den at veiledning til motstandskraft i tider med økte trusler. Leverandører av kritisk infrastruktur (CNI) er oppfordres til å forberede seg nå. 

SonicWalls Crean sier at IT-sjefer bør fokusere på synlighet, oppdateringer og forberedelser.

«Bedrifter bør også gjennomgå sin eksponering mot forsyningskjeden og vurdere nettsikkerhetssituasjonen til viktige leverandører og partnere. Forbedret overvåking av uvanlig autentiseringsaktivitet, avvik i nettapplikasjoner og sideveis bevegelse kan bidra til å oppdage tidlige tegn på kompromittering», legger han til.

«Til slutt bør planer for hendelsesrespons testes og være klare, slik at organisasjoner kan reagere raskt hvis cyberaktivitet knyttet til geopolitiske spenninger begynner å spre seg.»

James Shank, direktør for trusseloperasjoner hos Expel, oppfordrer sikkerhetsledere til å holde hodet kaldt og fokusere på det «grunnleggende» for å forbedre sikkerhetsstillingen.

«Understrek viktigheten av å være mistenksom overfor kommunikasjon, og bruk dette også på servicedesken din. Vurder å legge til ekstra kontroller for ting som tilbakestilling av passord eller endringer av MFA», sier han til IO. «Stramme inn autentiseringen ved å øke utfordringsfrekvensen, redusere tidsavbrudd for økter og håndheve strengere kontroller av tilgangspolicyer. Håndhev færrest rettigheter og lås tilgangsadministrasjon.»

CISO-er bør også revidere loggaktivitet for mistenkelige pålogginger, lateral bevegelse og eskalering av rettigheter, med tanke på muligheten for forhåndsplassert tilgang. OT-observabilitet er også viktig, så OT/ICS bør inkluderes i disse revisjonene.

«Til slutt, øk kommunikasjonen på tvers av teamene dine», råder Shank. «Kontekstdeling mellom sikkerhet, IT, OT og virksomheten bremser angripere mer enn folk forventer.»

Disiplin midt i kaos

Standarder som ISO 27001 kan spille en viktig rolle i slike tider for å håndheve disiplin, fortsetter Shank. «Kriseøyeblikk kan føre til kaos, overdrevent prioritering og mangel på klarhet i prioriteringer», sier han. «Rammer gir veiledning for å opprettholde tydelig og konsekvent ansvarlighet, noe som betyr at kaos blir håndtert og at flid råder.»

Crean fra SonicWall er enig og argumenterer for at rammeverk for beste praksis gir sårt tiltrengt struktur for håndtering av cyberrisiko.

«ISO 27001 er et globalt rammeverk for å bygge et styringssystem for informasjonssikkerhet som hjelper organisasjoner med å identifisere kritiske eiendeler, vurdere risikoer og implementere passende kontroller. Det dekker områder som tilgangsstyring, hendelsesrespons, leverandørsikkerhet og forretningskontinuitet», avslutter han.

«Selv om standarder ikke kan forhindre cyberangrep alene, bidrar de til å sikre at organisasjoner har styringen, prosessene og motstandskraften som trengs for å reagere effektivt når truslene øker i perioder med geopolitisk spenning.»

Utvid din kunnskap

Podcast: Phishing for Trouble Episode #04: Er du i frontlinjen av forsvaret?

Blogg: Fra perimetersikkerhet til identitet som sikkerhet

Blogg: Bygg én gang, overhold overalt: Håndboken for samsvar med flere rammeverk