Påstandene til løsepengevirusgruppen Everest om at de hadde brutt sikkerhetsbrudd hos Atlas Air og leverandøren Tsunami Tsolutions viser hvordan moderne løsepengevirusangrep utnytter kompleksiteten i forsyningskjeden for å skape risiko – selv der sikkerhetsbruddene er ubekreftede.
Av Kate O'Flaherty
I februar, Everest ransomware-gruppen hevdet å ha tappet 1.2 TB med data fra fraktflyselskapet Atlas Air. Påstandene som ransomware-kartellet publiserte på et mørkt nettforum, ble støttet av skjermbilder av den angivelig stjålne informasjonen, inkludert tekniske Boeing-flydata.
Dager senere hevdet hackerne at de også hadde kompromittert den USA-baserte leverandøren av luftfartsteknologi og informasjonsløsninger, Tsunami Tsolutions, med henvisning til et mindre datasett i det som så ut til å være et koordinert angrep innen forsyningskjeden.
Atlas Air benektet sikkerhetsbruddet, og Tsunami Tsolutions svarte ikke på Everests påstander, men hendelsene viser hvordan moderne ransomware-angrep utnytter det. kompleksitet i forsyningskjeden og tvetydighet for å skape risiko – selv der brudd er ubekreftet.
Hvordan kan organisasjoner styrke motstandskraft og forsvarsevne i møte med usikre, raskt utviklende trusselscenarier som går utenfor deres direkte kontroll?
Problemer med skjermbilde
Everest hevdet at de hadde bevis for Atlas Air-innbruddet, men dokumentene de fremla kunne lett ha vært forfalsket. I stedet for frigjør fullstendige dataeksempler, publiserte gruppen skjermbilder av det de beskrev som vedlikeholds- og reparasjonsdokumenter, logistikkregistre og delekataloger. Påstander som kun inneholder skjermbilder befinner seg i en bevisst tvetydig sone, sier Sergiu Zaharia, PhD, CISO hos Pentest-Tools.com. «Men den tvetydigheten er poenget», forteller han IO«Everest trenger ikke å bevise bruddet definitivt for å sette i gang press. De ønsker bare å skape nok tvil til at omdømme- og kontraktsrisikoen ved passivitet oppveier kostnadene ved å engasjere seg. Det er en veletablert utpressingsmekanikk.»
Forskerne bemerket avvik i skjermbildene, inkludert en referanse til Malaysia Airlines som ikke så ut til å ha en direkte forbindelse med Atlas Air. Da Everest senere tok på seg angrepet mot Tsunami Tsolutions, viste skjermbildene lignende typer informasjon.
Dette reiser legitime spørsmål om hvorvidt dataene i det hele tatt stammer fra Atlas Airs systemer, eller fra en leverandør. Dataene kan til og med ha kommet fra en delt plattform, eller «en uavhengig kilde som gruppen samlet i ett enkelt krav for maksimal utnyttelse», antyder Zaharia.
Spørsmålet om troverdighet er derfor mindre binært enn det ser ut til, sier Zaharia. «Skjermbildene beviser kanskje ikke et brudd på Atlas Airs kjernesystemer. Men de beviser nesten helt sikkert at noen, et sted i forsyningskjeden, hadde dokumenter av denne typen tilgjengelig på en måte som tillot utrenskning.»
Påstandene som involverer Atlas Air og Everest-ransomware-gruppen illustrerer et tilbakevendende mønster i moderne cyberutpressing: Trusselaktører publiserer skjermbilder og dristige uttalelser, mens den målrettede organisasjonen benekter kompromisser, sier Tracey Hannan-Jones, direktør for informasjonssikkerhetsrådgivning i UBDS Digital.
I sektorer med sterk sammenkobling, som luftfart og luftfrakt, kan den nedstrøms virkningen av disse «uprøvde» hendelsene fortsatt være betydelig, sier hun.
Verifiserbare lekkasjer gir vanligvis sterkere signaler. Disse inkluderer filtrær, eksempelarkiver, hashkoder, tidsstempler, unike interne identifikatorer eller uavhengig bekreftelse fra berørte tredjeparter, sier Hannan-Jones. Skjermbilder «gir sjelden nok til å validere opprinnelsen» uten offerets interne telemetri, sier hun.
Risiko i den virkelige verden
Så selv om det ikke finnes noe definitivt bevis for at et brudd fant sted, skaper påstandene fortsatt reelle risikoer.
Å benekte et sikkerhetsbrudd eliminerer ikke risiko, det endrer bare dens natur, sier Dana Simberkoff, sjef for risiko, personvern og informasjonssikkerhet hos AvePoint. «Når en troverdig trusselaktør offentliggjør en påstand, står organisasjoner overfor driftsmessige, regulatoriske og omdømmemessige konsekvenser – uavhengig av om den er underbygget.»
Benektelse er ikke det samme som forsikring, legger Rob Demain, administrerende direktør i e2e-assure, til. «Atlas Airs uttalelse om at systemene deres ikke ble kompromittert, gjelder bare deres eget miljø», påpeker han. «Det verken bekrefter eller avkrefter om data knyttet til organisasjonen kan finnes andre steder i forsyningskjeden.»
Dette er kjerneproblemet i forsyningskjeden, sier han. «En organisasjon kan hevde kontroll over sine egne systemer, men ikke nødvendigvis over systemene til leverandører som kan lagre, behandle eller få tilgang til dataene deres.»
Forsyningskjedens kompleksitet
Med sammenkoblede datamiljøer på tvers av operatører, produsenter og ingeniørpartnere, gir luftfartssektoren et klart eksempel på hvordan tredjepartsrisiko kan forplante seg på tvers av et økosystem.
Luftfart er en av de mest lærerike sektorene for dette problemet fordi kompleksiteten i forsyningskjeden er «strukturell og uunngåelig», ifølge Zaharia. «Et enkelt flyprogram involverer tusenvis av leverandører på tvers av dusinvis av land, koblet sammen gjennom vedlikeholdssystemer, deledatabaser, logistikkplattformer og tekniske dokumentasjonsarkiv bygget for driftseffektivitet, ikke sikkerhet. Mange av disse forbindelsene bærer implisitt tillit som aldri har blitt eksplisitt validert.»
Det resulterende problemet er ugjennomsiktighet i forsyningskjeden, ifølge Stew Parkin, teknisk direktør hos Assured Data Protection. «Tradisjonell tredjeparts risikostyring – spørreskjemaer, årlige gjennomganger, kontraktsmessige garantier – er rett og slett ikke bygget for sterkt sammenkoblede økosystemer med flere avhengighetslag og delte plattformer.»
Når noe som Atlas-hendelsen skjer, støter organisasjoner på problemet med å bevise noe negativt. «Det er ikke lett å bevise at dataene ikke ble åpnet, spesielt hvis eksponeringen kan ha skjedd via en partner», sier Parkin. «Det er gapet mellom det som er kjent internt og det som trygt kan kommuniseres eksternt, som er der risikoen eskalerer raskest.»
Utviklende regulatoriske forventninger
Problemstillingen settes opp mot et bakteppe av økende regulatorisk gransking av forsyningskjedenes sikkerhet, robusthet og ansvarlighet. Nettverk og informasjonssystemer 2 (NIS2), den Lov om digital operasjonell robusthet (DORA) og den nye bølgen av forskrifter for kritisk infrastruktur over hele EU presser ansvarlighet for sikkerhet i forsyningskjeden fra leverandøren og opp til operatøren.
«Under NIS2 har essensielle og viktige enheter ansvar for å håndtere cybersikkerhetsrisikoer i sine forsyningskjeder, ikke bare sitt eget system», sier Zaharia fra Pentest-Tools.com. «Det er et meningsfullt skifte fra rammeverk som behandlet forsyningskjedesikkerhet som beste praksis til et som behandler det som en samsvarsforpliktelse med håndhevingskonsekvenser.»
Ettersom ansvarlighet strekker seg utover en organisasjons egen perimeter, må bedrifter også bevise at de har effektive tiltak på plass. «Forventningene skifter fra 'vis meg policyen' til 'vis meg hvordan risiko identifiseres, overvåkes og håndteres kontinuerlig'», sier Simberkoff fra AvePoint.
Dette legger press på organisasjoner til å demonstrere en fungerende modell og eksempler på styring, beslutningstaking og responstiltak – spesielt når hendelser involverer tredjeparter eller tvetydige bruddscenarier.
Praktiske trinn
Trusselen fra forsyningskjeden er reell, spesielt når påstander ikke er bevist. For å motvirke dette problemet anbefaler eksperter at organisasjoner går bort fra statiske leverandørsikringsmodeller og heller over til kontinuerlig, systembasert tilsyn som gir oversikt over dataflyter, avhengigheter og hendelsesrespons.
I praksis betyr dette å fokusere på synlighet og integrasjon snarere enn isolerte kontroller, ifølge Simberkoff. Hun anbefaler å kartlegge dataflyter, forstå hvor sensitiv informasjon befinner seg og tilpasse leverandører til felles sikkerhets- og responsforventninger.
I Atlas Air-sammenheng ville forståelsen av hvilke eksterne parter som hadde legitim tilgang til Boeings vedlikeholdsdokumentasjon og gjennom hvilke systemer være «utgangspunktet for enhver meningsfull respons på Everest-påstanden», sier Zaharia.
Det er også viktig å validere hendelsesplanen din mot et spesifikt scenario med en kompromittert forsyningskjede, legger Zaharia til. «De fleste organisasjoner har planer for brudd på sine egne systemer. Langt færre har testet responsen sin på et scenario der bruddet er hos en leverandør, og dataene det gjelder kan være deres eller ikke, og de rettsmedisinske bevisene er ufullstendige.»
Integrerte, rammeverkstilpassede styringssystemer, slik som de som er bygget rundt ISO 27001, hjelper også. De gir et «felles språk og en felles struktur for å håndtere risiko på tvers av komplekse økosystemer», ifølge Simberkoff. «Standarder som ISO 27001 handler ikke om samsvar for samsvarets skyld. De lar team operasjonalisere og muliggjør kontinuerlig synlighet, sikkerhet og ansvarlighet.»
Dette gir en påviselig prosess for å kunne si hva du gjør, og bevise det, sier hun. «I miljøer der risiko i forsyningskjeden er uunngåelig, hjelper disse rammeverkene organisasjoner med å gå fra reaktiv sikring til proaktiv styring, noe som er viktig når man håndterer tvetydighet, krav fra tredjeparter og utviklende trusselmodeller.»
Utvid din kunnskap
Blogg: Forsyningskjeder er komplekse, ugjennomsiktige og usikre: Regulatorer krever bedre
Podcast: Phishing for Trouble Episode #09: Hva man ikke skal gjøre i en katastrofe
