Джерело довіри ФБР щойно зламали
Saryu Nayyar є генеральним директором компанії Gurucul, постачальника технологій поведінкової аналітики безпеки та визнаного експерта з управління кіберризиками.
Гетті
Саботаж на початку грудня та подальше закриття двох електропідстанцій у Північній Кароліні є нагадуванням про те, наскільки вразливими є наші об’єкти критичної інфраструктури (CI). Пошкодження від пострілів призвели до вимкнення станцій, залишивши десятки тисяч клієнтів у темряві на кілька днів.
Ця подія стала лише останнім проявом атак на CI у США. Лише кілька років тому Colonial Pipeline зазнав атаки програм-вимагачів, що призвело до закриття основного трубопроводу майже на тиждень. А два роки тому хакер зламав системи каліфорнійської водоочисної станції та видалив програми, які використовувалися для очищення води. На щастя, атаку було виявлено, і файли були відновлені до того, як було завдано реальної шкоди.
Успішні атаки можуть траплятися не так часто, але це не означає, що загрози немає. Насправді щороку здійснюються мільйони спроб фізичних і кібератак на КІ країни.
Через занепокоєння такими загрозами Федеральне бюро розслідувань (ФБР) створило InfraGard, державно-приватний альянс для захисту національної інфраструктури. Місія програми полягає в тому, щоб «збільшити колективну здатність нашої країни вирішувати та пом’якшувати загрози критичній інфраструктурі Сполучених Штатів шляхом сприяння співпраці, освіті та обміну інформацією через надійне партнерство між приватним сектором і урядом».
Члени InfraGard переважно походять із 16 різних секторів CI, починаючи від енергетики та фінансових послуг до систем водопостачання та водовідведення. Понад 80 000 самостійно зареєстрованих членів беруть участь у галузевій соціальній мережі, яка покликана стати джерелом довіри для тих, хто відповідає за захист національної КІ від усіляких загроз.
Коли довіра перетворюється на іржу
Але довіру можна порушити, оскільки нещодавно хакер виявив, що він спотворив свою особу, щоб приєднатися до InfraGard, а згодом викрав і виставив на продаж базу даних учасників.
За словами дослідника безпеки Браяна Кребса, хакер, який називає себе USDoD, використав особу генерального директора фінансових послуг, щоб зареєструватися, щоб стати членом InfraGard. Він надав справжнє ім’я, номер соціального страхування, дату народження та номер телефону законного генерального директора. Хакер також вказав електронну адресу, яку він контролював. Потім ФБР провело звичайну перевірку потенційного члена, щоб переконатися, що ця особа має право на членство. Протягом кількох місяців USDoD отримав електронний лист на фальшиву адресу, який підтверджував членство «генерального директора» в InfraGard. Йому надали початкові інструкції щодо входу.
Увійшовши в систему лише для учасників, хакер використовував загальний API для доступу до інформації про інших учасників. Він попросив друга написати сценарій для перекачування цих даних через API. Зараз він продається в Dark Web.
Що викликає занепокоєння в цьому транші даних, це те, що він містить імена та контактну інформацію найвищих співробітників служби безпеки у великих компаніях і агентствах, які складають критично важливу інфраструктуру країни. Тепер ці люди можуть бути піддані фішингу, або ці дані можуть бути іншим чином використані, скажімо, національними державами, які хочуть проникнути на енергетичні об’єкти, фінансові системи, хімічні заводи, очисні споруди тощо. Ще більше тривоги: незважаючи на те, що ФБР знало про злом, члени InfraGard дізнавалися про це (поки що) з новин, а не безпосередньо від ФБР.
Давайте навчитися з цієї події
Крім того, що це порушення стало незручним для ФБР, є деякі уроки для всіх нас, які можна винести з цього інциденту.
Для чутливої системи, яка дозволяє самореєстрацію членів, заявники повинні бути добре перевірені. У цьому випадку вони пройшли перевірку — не менше ФБР, — але процесу все одно не було. Лазівкою була адреса електронної пошти, яка виглядала законною, але була під контролем хакера. Якби InfraGard був справді важливим джерелом інформації про безпеку (члени стверджують, що це не так), було б краще використати інший підхід до реєстрації нових учасників — можливо, відмовитися від самостійного вибору для членства або здійснити особисту реєстрацію та перевірка. Зрештою, у ФБР є офіси та агенти по всій країні, які можуть підтвердити особу людини, перш ніж надати облікові дані для доступу.
Повідомлення про порушення є важливим. Насправді це вимагається законом. Браян Кребс є чудовим джерелом інформації, пов’язаної з кібербезпекою, але його не слід вважати джерелом сповіщень про порушення. Деякі члени InfraGard повідомили, що вони спочатку дізналися, що їхню інформацію було скомпрометовано (і продається), прочитавши історію Кребса в Інтернеті, а не отримавши пряме повідомлення від ФБР. Час для планування сповіщення про порушення – до того, як станеться порушення, щоб спілкування було прямим і своєчасним. Учасники InfraGard, чиї дані були вкрадені, тепер повинні бути дуже пильними щодо спроб фішингу та інших видів використання їхніх особистих даних.
Що стосується самих даних, то навколо них потрібен кращий захист. Хоча я не знаю про поточний стан безпеки даних служби, очевидно, що InfraGard може виграти від використання таких рішень, як запобігання втраті даних (DLP) і захист API, як описано OWASP. DLP може виявити та запобігти видаленню великих обсягів даних за певних обставин. Оскільки слабким місцем у цьому випадку був API, призначений для отримання та обслуговування даних учасників, посилення контролю над тим, як працює API, може бути кориснішим. Це має стати тривожним дзвіночком для кожної компанії, оскільки API стали настільки критичними для більшості сучасних програм.
Порушення відбуваються щодня, і ми повинні знайти час, щоб навчитися з них і дізнатися, що можна зробити інакше, щоб запобігти наступним порушенням.
Технологічна рада Forbes — це спільнота для ІТ-директорів, технічних директорів і технічних керівників світового рівня. Чи маю я право?
