Cisco stoi na straży naszych klientów na Ukrainie

Kobieta Technologia

Streszczenie

  • W miarę nasilania się inwazji prowadzonej przez Rosję Ukraina jest atakowana za pomocą bomb i bajtów. Firma Cisco pracuje 24 godziny na dobę nad globalnym, ogólnofirmowym przedsięwzięciem mającym na celu ochronę tamtejszych klientów i zapewnienie, że nic nie umknie uwadze.
  • Firma Cisco Talos podjęła nadzwyczajny krok polegający na bezpośredniej obsłudze produktów zabezpieczających 24 godziny na dobę, 7 dni w tygodniu, dla klientów o znaczeniu krytycznym na Ukrainie, podczas gdy ponad 500 pracowników firmy Cisco zebrało się, aby pomóc w gromadzeniu ogólnodostępnych (publicznych) danych wywiadowczych.
  • W krytycznych sieciach ukraińskich wykorzystujemy zaawansowane funkcje produktów do tworzenia zabezpieczeń dostosowanych do potrzeb Ukrainy w oparciu o otrzymane dane wywiadowcze.
  • Ściśle monitorujemy telemetrię i agresywnie zwalczamy zagrożenia, aby chronić zarówno naszych ukraińskich, jak i globalnych klientów.
  • Klienci posiadający dojrzały model bezpieczeństwa powinni opracowywać swoje programy wywiadowcze w taki sposób, aby na podstawie wyników badań wprowadzać zmiany w postawie obronnej organizacji.
  • Dotychczasowe działania na Ukrainie zakończyły się sukcesem i będziemy nadal wspierać naszych partnerów na tym terenie.

Wprowadzenie

Być może nie zauważyliście, ale w ciągu ostatniego miesiąca Cisco zmieniło się. Niesprawiedliwa inwazja na Ukrainę i poczucie bezradności, które wszyscy odczuwaliśmy, spowodowały, że zmotywowani pracownicy Cisco zaczęli pracować nad tym, aby uczynić życie nieco bezpieczniejszym i łatwiejszym w tej części świata, w której wielu z nich nigdy nie było. Zespoły odłożyły na bok swoje zwykłe zadania i pilnują teraz sieci w Ukranie, niektóre skupiły się na opiece nad uchodźcami i ich ochronie, a inne przekształciły swoją obsesję na punkcie mediów społecznościowych w kluczowy element naszej pracy wywiadowczej opartej na otwartych źródłach. Plany były kreatywne i choć wiele z nich byłoby nie do pomyślenia jeszcze tydzień temu, zatwierdzenia przychodziły szybko, a wszyscy pracowali w sposób znacznie wykraczający poza ich normalne obowiązki.

W obecnej sytuacji na Ukrainie życie i środki do życia zależą od sprawności systemów. Pociągi muszą jeździć, ludzie muszą kupować paliwo i artykuły spożywcze, rząd musi przekazywać wiadomości cywilom, aby podtrzymać morale i zapewnić bezpieczeństwo. Bezpieczeństwo cybernetyczne może być za tym wszystkim niewidoczne. W tym blogu omawiamy niewielką część reakcji firmy Cisco na ten kryzys. Jest to tylko jedna z wielu opowieści o tym, jak ludzie, dzięki którym Cisco jest tym, czym jest, zareagowali na bezprecedensowy kryzys. Znajdują się tu również lekcje dla obrońców, dotyczące tego, co może zrobić światowej klasy zespół wywiadowczy, gdy ma do obrony sieć i sprawny zestaw narzędzi bezpieczeństwa. Ale przede wszystkim jest to opowieść o ludziach – od biurka do stanowiska dyrektora generalnego – którzy zrobili to, co było w ich mocy.

Spokój przed burzą

Wysiłki te objęły wszystkie części firmy Cisco i rozpoczęły się w Talos – dziale Cisco zajmującym się badaniem zagrożeń – ponad miesiąc temu, gdy zainicjowaliśmy wewnętrzny proces zarządzania zdarzeniami na dużą skalę. Zaczęliśmy od zwiększenia monitoringu na Ukrainie w miarę gromadzenia się rosyjskich oddziałów. Telemetria od ukraińskich klientów była uważnie analizowana przez analityków wywiadu i nasz zespół SecureX Hunting. W tym momencie nie pracowaliśmy bezpośrednio z klientami, tylko po cichu ich pilnowaliśmy.

Gdy stało się jasne, że istnieje realne prawdopodobieństwo inwazji Rosji, nasz zespół wywiadowczy rozpoczął cichą pracę. Nie mówimy o tym zbyt wiele, ale mówiąc ogólnie, przy każdym większym wydarzeniu wiele małych grup badaczy, którzy nabrali do siebie zaufania, współpracuje ze sobą i dzieli się informacjami.które nie są dostępne publicznie. Większość z tych grup ma charakter nieformalny, ale jedna z nowszych, Joint Cyber Defense Collaborative (JCDC), działająca przy Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), publicznie ogłosiła, że służy jako platforma współpracy między partnerami z sektora publicznego i prywatnego. Niezależnie od tego, czy jest to współpraca zorganizowana czy nieformalna, publiczna czy prywatna, wszystkie te grupy chętnie współpracują na rzecz ochrony Ukrainy i świata przed rosyjską agresją w Internecie.

Kiedy w połowie stycznia doszło do defragmentacji stron internetowych i pierwszego rozprzestrzenienia złośliwego oprogramowania WhisperGate, skontaktowały się z nami trzy ukraińskie agencje rządowe, z którymi współpracowaliśmy w przeszłości. Od tego momentu kontynuujemy wsparcie dla Państwowej Służby Komunikacji Specjalnej Ukrainy (SSSCIP), Departamentu Cyberpolicji Policji Narodowej Ukrainy oraz Narodowego Centrum Koordynacji Bezpieczeństwa Cybernetycznego (NCCC przy NSDC Ukrainy). Wsparcie to w dużej mierze przybrało formę reagowania na incydenty, a wnioski wyciągnięte z tych reakcji przełożyliśmy na ochronę wszystkich naszych klientów.

Nasze dochodzenia prowadzone wspólnie z partnerami rządowymi na Ukrainie zaowocowały dodatkowymi zabezpieczeniami dla naszych klientów na całym świecie, a także wpisem na blogu informującym świat o zagrożeniach, których byliśmy świadomi, oraz o naszym spojrzeniu na te zagrożenia. Jest to wspólny cykl, który powtarzał się zarówno przed, jak i po wdrożeniu WhisperGate: Ukraina doświadcza zdarzenia, my pomagamy w dochodzeniu, publikujemy nowe zabezpieczenia oparte na zdobytych informacjach i dzielimy się naszą wiedzą na temat tego, co się stało.

Rosnące zagrożenie

W miarę zbliżania się inwazji na Ukrainę miały miejsce inne mniejsze zdarzenia, ale żadne z nich nie miało znaczącego wpływu na sytuację. Były to rozproszone ataki typu DDoS (distributed denial-of-service) lub nieudane ataki typu wiper oraz niepotwierdzona manipulacja routingiem w protokole BGP (Border Gateway Protocol). Według naszej oceny najlepsze rosyjskie zdolności cybernetyczne były skoncentrowane gdzie indziej, prawdopodobnie w działaniach szpiegowskich mających na celu zrozumienie globalnej reakcji na inwazję Rosji. Niezależnie od przyczyny, w dniach poprzedzających inwazję nie odnotowano żadnych poważnych incydentów cybernetycznych wymierzonych w Ukrainę.

Gdy inwazja już się rozpoczęła, sprawy potoczyły się bardzo szybko. Ilość informacji, które trzeba było przetworzyć na temat tego, co działo się na Ukrainie, eksplodowała. Talos chciałby podziękować ponad 500 pracownikom Cisco z różnych środowisk i o różnych umiejętnościach, którzy przyłączyli się do przestrzeni poświęconej dzieleniu się informacjami wywiadowczymi z otwartego źródła na temat Ukrainy, aby mieć pewność, że zespół wywiadowczy niczego nie przeoczył.

Na początku wdrożyliśmy Secure Endpoint w kilku nowych środowiskach w ramach licencji demonstracyjnej, która miała wygasnąć. Kiedy zwróciliśmy się do działu biznesowego z prośbą o jej przedłużenie, podjęto decyzję o przedłużeniu wszystkich licencji bezpieczeństwa dla wszystkich klientów Cisco na Ukrainie. W tym chaotycznym okresie żaden klient nie stracił ochrony, ponieważ zajmowano się ważniejszymi sprawami niż odnawianie licencji.

Obrona krytycznych sieci

Dodatkowo, rozszerzyliśmy nową ofertę dla organizacji o znaczeniu krytycznym na Ukrainie: Talos będzie monitorował ich konfiguracje Secure Endpoint, modyfikował je w oparciu o nasze dane wywiadowcze i agresywnie polował w ich środowiskach w poszukiwaniu zagrożeń bez żadnych kosztów. Dla każdej organizacji, która zaakceptowała tę ofertę, przydzieliliśmy grupę inżynierów do zarządzania zabezpieczeniami i konfiguracjami oraz dwóch łowców z Talosa do pracy z konkretnym zbiorem danych.

Jedną z naszych częstych rekomendacjins dla dojrzałych organizacji jest posiadanie operacji wywiadowczej, która wprowadza zabezpieczenia materialne do ich narzędzi obronnych. Oto przykład, dlaczego stosujemy to zalecenie: Podczas sprawdzania kilku rodzajów złośliwego oprogramowania znaleźliśmy w pewnej sieci wiele serwerów dowodzenia i kontroli (C2). Zazwyczaj zablokowalibyśmy te adresy IP i poszli dalej. Jednak w kontekście narodu znajdującego się w sytuacji zagrożenia egzystencjalnego, w przypadku kontrolowanych przez nas instalacji Secure Endpoint zablokowaliśmy całą sieć, aby w przypadku otwarcia dodatkowych serwerów C2 zostały one już zablokowane. Nie jest to właściwe rozwiązanie w skali globalnej – nie mamy pojęcia, jakie są potrzeby łączności wszystkich naszych klientów – ale kiedy mamy podejmować decyzje dotyczące tylko ukraińskiej infrastruktury krytycznej, jest to łatwe.

Innym przykładem jest przypadek HermeticWiper. W ramach swojej działalności złośliwe oprogramowanie upuszcza jeden z kilku sterowników, które wspierają jego działania wiper. Na Ukrainie, w przypadku sieci, które aktywnie chronimy, zdecydowaliśmy się zablokować wszystkie te sterowniki. W skali globalnej nie możemy tego zrobić – niektórzy z naszych klientów mogą używać oprogramowania, z którego wykradziono te sterowniki. Jednak patrząc tylko z perspektywy Ukrainy, możemy szybko sprawdzić sieć, aby upewnić się, że te hasze nie są w użyciu i zablokować je.

W obu przypadkach budujemy głęboką obronę. W idealnej sytuacji blokujemy HermeticWiper lub jego wariant, gdy tylko się pojawi – ale jeśli tego nie zrobimy, to sterowniki są blokowane. Mamy nadzieję, że zablokujemy każdego trojana, który korzysta z opisanej powyżej sieci, gdy zostanie zrzucony przez program ładujący, ale jeśli tego nie zrobimy, wówczas zablokowana zostanie sama komunikacja C2. Zawsze szukamy sposobów na wzmocnienie obrony, więc jeśli przeciwnik wyprzedzi nas w jednej dziedzinie, będziemy mieli zabezpieczenia, które będą na niego czekać.

Jak dotąd działania te okazały się skuteczne w ochronie naszych klientów, w tym w blokowaniu ataków typu „wiper” na bardzo wczesnym etapie łańcucha ataku. Praca naszej grupy wywiadowczej – i chciałbym wyraźnie zaznaczyć, że dotyczy to również naszej współpracy z organizacjami i osobami spoza firmy Cisco – pozwoliła nam uzyskać wgląd w kilka różnych łańcuchów ataków. Chociaż nie możemy publikować tych informacji ze względu na ograniczenia związane z dzieleniem się nimi (głównie w celu ochrony bezpieczeństwa operacyjnego), możemy je wykorzystać w konkretnych sieciach, blokując pewne elementy lub pisząc zaawansowane sygnatury treści, które wyszukują pewne wzorce. Ta praca wywiadowcza bezpośrednio przyczyniła się do skutecznej obrony na Ukrainie. Dziękujemy za to wszystkim niewymienionym z nazwy partnerom – korporacjom i osobom prywatnym – którzy po cichu z nami współpracowali.

Wskazówki dla klientów

Nie czas teraz na opowiadanie każdej historii, ale podzieliliśmy się tymi przykładami ze względu na ryzyko, że konflikt ten rozszerzy się poza granice Ukrainy. Organizacje na całym świecie powinny przyjrzeć się swoim zespołom wywiadowczym i dopilnować, aby bezpośrednio przyczyniały się one do kształtowania postawy obronnej organizacji. Organizacje powinny zastanowić się, jak zmieniła się ich tolerancja na fałszywe wyniki, biorąc pod uwagę obecne środowisko zagrożeń, i w miarę możliwości pozwolić swoim zespołom na bardziej agresywne działania.

Obecny świat jest bardziej niebezpieczny niż przez ostatnie dziesięciolecia, dlatego organizacje muszą kreatywnie podejść do restrukturyzacji swojej obrony. Często powtarzamy, że w ostatecznym rozrachunku to ludzie są najbardziej krytycznym elementem obrony. Właśnie takie zagrożenia mamy na myśli, gdy wypowiadamy to stwierdzenie.

Ze swojej strony firma Cisco będzie nadal wspierać nasze

klienci budują odporne sieci, aby stawić czoła wielu możliwym przyszłościom, które są przed nami

.

Informacje dodatkowe

Cisco Talos, największa pozarządowa organizacja zajmująca się badaniem zagrożeń na świecie, aktywnie odkrywa nowe luki w zabezpieczeniach, tropi złośliwych aktorów i kampanie złośliwego oprogramowania oraz współpracuje z rządami i agencjami wywiadu cybernetycznego na całym świecie, aby uczynić Internet bezpieczniejszą przestrzenią.

Talos dzieli się swoimi ustaleniami związanymi z trwającym konfliktem w Rosji tutaj: Aktualne wytyczne dla władz wykonawczych dotyczące trwających cyberataków na Ukrainie

Share

:

Czytaj dalej: https://blogs.cisco.com/news/cisco-stands-on-guard-with-our-customers-in-ukraine

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.