I værste fald bliver det ikke meget værre end en virksomhedsdækkende sletning af alle tilsluttede enheder. Men det er den realitet, som det amerikanske medtech-firma Stryker står over for efter at være blevet ramt af pro-iranske hackere den 11. marts. Handala-gruppen hævdede at have slettet 200,000 endpoints og stjålet 50 TB data. Tiden vil vise, om dette er korrekt eller ej, men på nuværende tidspunkt, Stryker indrømmede at angrebet “resulterede i en global forstyrrelse af virksomhedens Microsoft-miljø”.
Spørgsmålet er, i hvilken grad britiske organisationer vil blive afsløret, efterhånden som cyberkrigen eskalerer. Hvis det nuværende regime giver efter for det lange løb og begynder at angribe online, kan det varsle starten på en farlig ny periode.
Er det tid til at bekymre sig?
National Cyber Security Center (NCSC) udstedt vejledning den 2. marts, kort efter at amerikanske og israelske bomber begyndte at falde over Iran. Den mener ikke, at der har været en "væsentlig ændring i den direkte cybertrussel fra Iran". Selvom Stryker-angrebet tilsyneladende ikke har ændret denne kalkule, kan denne vurdering ændre sig i fremtiden. Droner er allerede blevet affyret mod en RAF-luftbase på Cypern. Så det er ikke uden for muligheden, at cyberangreb også kan blive lanceret mod britiske virksomheder, især dem med israelske forbindelser (som Stryker har gjort).
Organisationer, der skal være mere bekymrede, er dem med en tilstedeværelse (dvs. filialer) eller forsyningskæder i Mellemøsten. Risikoen kan stamme fra fysiske eller digitale angreb. Tre AWS-datacentre i UAE og Bahrain allerede blevet ramt af droner hvilket for eksempel kan føre til strømafbrydelser. Samtidig kan cyberangreb på filialer eller regionale forsyningskæder teoretisk set give ubudne gæster mulighed for at få fodfæste i systemer med henblik på at bevæge sig ind i forbundne netværk andre steder.
For at øge bekymringen har Den Islamiske Revolutionsgarde (IRGC) nu udpeget adskillige amerikanske tech-virksomheder som mål på grund af israelske forbindelser eller cloud-tjenester, ifølge Flashpoint. Disse er AWS, Google, Microsoft, Oracle og IBM, samt Nvidia og Palantir. Regionale bankcentre med tilknytning til USA og Israel er også blevet udpeget af regimet.
Hvad kan man forvente
Hvis britiske virksomheder og/eller deres partnere bliver udpeget af iranske hackere, hvad kan de så forvente? analyse af Halcyon, truslen kommer potentielt fra statsstøttede hackere og tilknyttede hacktivistgrupper:
"Vi forventer, at Iran kan bruge forsøg på tilsløring, stedfortrædere og destruktive værktøjer mod amerikanske netværk i de kommende uger:"
- Brug af distribueret denial of service (DDoS) mod hostingudbydere.
- Implementering af ransomware før sletning af en organisations data og/eller brug af destruktiv software eller malware, der gør systemgendannelse umulig
- Udnyttelse af langsigtet adgang til spionage og dataudvinding med henblik på destruktive angreb og/eller til at lokalisere dissidenter med henblik på yderligere målretning.
Det burde vække en vis bekymring, at iranske trusselsaktører allerede kan være præpositioneret i nogle virksomhedsnetværk, i henhold til denne rapportTænketanken Center for Strategiske og Internationale Studier (CSIS) sigerFinansielle tjenester, vandforsyninger og transportinfrastruktur, hvoraf mange er afhængige af forældede kontrolsystemer, forbliver attraktive mål for iranske aktører i takt med at den kinetiske konflikt intensiveres.
Michael Crean, SVP for administrerede tjenester hos SonicWall, fortæller IO (tidligere ISMS.online), at trusselsaktører bevæger sig væk fra "storskala scanning og DDoS-aktivitet" og hen imod udnyttelse af sårbarheder.
"Angribere angriber i stigende grad webapplikationer, databaser og servere ved hjælp af teknikker som SQL-injektion, sti-traversering og fjernudførelse af kode. Disse typer angreb er ofte designet til at opnå initial adgang til systemer, før de bevæger sig dybere ind i et netværk," fortsætter han.
"Hvis spændingerne fortsætter, kan vi se forstyrrende aktivitet såsom læsning af websteder, datatyveri og lækager eller DDoS-angreb mod offentlige tjenester. Destruktiv malware såsom wipers er mulig under eskalering, selvom de nuværende data primært indikerer undersøgelser og udnyttelse snarere end udbredte destruktive angreb."
Tid til at opbygge modstandskraft
Ødelæggelse var navnet på spillet hos Stryker, og ifølge rapporter Det krævede ikke engang levering af malware – blot kompromittering af en Intune-administratorkonto. Det viser, hvorfor holistiske indsatser for modstandsdygtighed skal prioriteres.
NCSC opfordrer britiske CISO'er til at konsultere tidligere udstedte vejledninger vedr. DDoS-angreb, phishing-aktivitet og målretning af industrielle styresystemer (ICS). For dem med forsyningskæder eller kontorer i regionen anbefaler den sin guide til modstandsdygtighed i tider med øgede trusler. Udbydere af kritisk infrastruktur (CNI) er opfordret til at forberede sig nu.
SonicWalls Crean siger, at CISO'er bør fokusere på synlighed, patching og forberedelse.
"Virksomheder bør også gennemgå deres eksponering i forsyningskæden og vurdere cybersikkerhedssituationen hos vigtige leverandører og partnere. Forbedret overvågning af usædvanlig godkendelsesaktivitet, uregelmæssigheder i webapplikationer og lateral bevægelse kan hjælpe med at opdage tidlige tegn på kompromittering," tilføjer han.
"Endelig bør planer for håndtering af hændelser testes og være klar, så organisationer kan reagere hurtigt, hvis cyberaktivitet forbundet med geopolitiske spændinger begynder at sprede sig."
James Shank, direktør for trusselsoperationer hos Expel, opfordrer sikkerhedsledere til at holde hovedet koldt og fokusere på det "grundlæggende" for at forbedre sikkerhedsstillingen.
"Understreg vigtigheden af at være mistænksom over for kommunikation, og anvend dette også i din servicedesk. Overvej at tilføje yderligere kontroller for ting som nulstilling af adgangskode eller ændringer af MFA," fortæller han IO. "Stram godkendelsen ved at øge hyppigheden af udfordringer, reducere timeouts for sessioner og håndhæve strengere kontroller af adgangspolitikker. Håndhæv færrest rettigheder og lås adgangsstyring."
CISO'er bør også revidere logaktivitet for mistænkelige logins, lateral bevægelse og eskalering af rettigheder, idet der tages højde for muligheden for forudplaceret adgang. OT-observabilitet er også vigtig, så OT/ICS bør inkluderes i disse revisioner.
"Endelig, øg kommunikationen på tværs af dine teams," råder Shank. "Kontekstdeling mellem sikkerhed, IT, OT og virksomheden sinker angribere mere, end folk forventer."
Disciplin midt i kaos
Standarder som ISO 27001 kan spille en vigtig rolle i tider som disse i håndhævelsen af disciplin, fortsætter Shank. "Kriseøjeblikke kan resultere i kaos, overdrevent prioritet og manglende klarhed over prioriteter," siger han. "Rammer giver vejledning til at opretholde en klar og konsekvent ansvarlighed, hvilket betyder, at kaos håndteres, og at omhu sejrer."
SonicWalls Crean er enig og argumenterer for, at rammer for bedste praksis giver den tiltrængte struktur til cyberrisikostyring.
"ISO 27001 er et globalt rammeværk for opbygning af et informationssikkerhedsstyringssystem, der hjælper organisationer med at identificere kritiske aktiver, vurdere risici og implementere passende kontroller. Det dækker områder som adgangsstyring, hændelsesrespons, leverandørsikkerhed og forretningskontinuitet," konkluderer han.
"Selvom standarder ikke i sig selv kan forhindre cyberangreb, hjælper de med at sikre, at organisationer har den nødvendige styring, processer og modstandsdygtighed til at reagere effektivt, når truslerne stiger i perioder med geopolitiske spændinger."
Udvid din viden
Podcast: Phishing for Trouble Episode #04: Er du i forsvarets frontlinje?
Blog: Fra perimetersikkerhed til identitet som sikkerhed
Blog: Byg én gang, overhold alle steder: Håndbogen om overholdelse af regler for flere rammer
