Sophos sio mchuuzi wa kwanza wa usalama wa mtandao kupata bidhaa zake za mzunguko lengo la shambulio endelevu la taifa. Iwapo kuna jambo lolote maalum kuhusu mfululizo wa matukio tunayofichua katika “Pasifiki Rim: Ndani ya Kukabiliana na Kukera—TTPs Zinatumika Kupunguza Vitisho vya China”, ni kwamba tunaripoti shughuli hii ya uwindaji/uwindaji kwa ukamilifu kama uchunguzi unaoendelea. kuruhusu kuonyesha kwa usahihi kile ambacho sekta ya usalama inakabiliwa nayo katika suala la uamuzi na uchokozi wa washambuliaji fulani. Kupitia hilo, tumejifunza mengi kuhusu hatua za kukabiliana nazo. Insha hii inawasilisha seti tatu za uchunguzi ambazo watetezi wengine wanaweza kutumia. Ili kuongeza gharama ya adui, choma uwezo wa adui. Sophos ni kubwa vya kutosha kuweza kukusanya rasilimali kubwa wakati wa dharura, lakini bado ni mahiri vya kutosha kujibu haraka na kwa ubunifu ili kuweka madhara kwa mshambuliaji. Katika hali hii, tulikuwa na faida ya uwanja wa nyumbani ya ngome kuwa mazingira yanayoweza kutabirika. Ikilinganishwa na shughuli kwenye ncha za madhumuni ya jumla, washambuliaji wanalazimika kufanya kazi kwa bidii ili kuwa watulivu na wasiovutia kwenye ngome. Pima hiyo kulingana na thamani ya juu inayolengwa ya ngome – vifaa vya Linux vyenye nguvu, vilivyowashwa kila wakati, muunganisho mzuri, vilivyo katika maeneo yanayoaminika kwenye mtandao – na unaweza kuona kwa nini mvamizi angetaka kuwepo na kwa nini tuliweza. kukutana na mshambuliaji kwa ufanisi kwenye uwanja huo. Kwa hakika, kulikuwa na matukio machache ya ajabu (na ya wasiwasi) tulipomtazama mshambuliaji akikuza uwezo wao wa ubunifu; bootkit ya UEFI – tunaamini kuwa ni mfano wa kwanza kabisa wa bootkit kutumika kwa uvumilivu kwenye ngome – inakuja akilini. Lakini ubunifu kama huo unakuja kwa gharama kubwa. Ulimwengu ambao washambuliaji wanalazimika kutafuta njia za kukaa katika kumbukumbu na kutumia buti za UEFI kwa ustahimilivu ni ulimwengu ambao mabeki wengi wangeweza, tena, kusema walikuwa na faida ya uwanja wa nyumbani. (Na kisha wanaweza kuendelea na mchakato wa kugundua na kujibu mbinu hizo maalum.) Telemetry imekuwa sababu kuu katika faida yetu ya uwanja wa nyumbani tangu kuanza kwa shughuli. Mojawapo ya hatua zetu za kwanza mapema katika shughuli ya Asnarök (spring 2020) ilikuwa kutoa suluhu iliyotumwa kiatomati sio tu kurekebisha hitilafu ya CVE-2020-12271 lakini kuboresha uangalizi wa meli, kuongeza kiasi na aina za telemetry zilizorejeshwa. kwetu kwa uchambuzi. Katika miaka iliyofuata, telemetry, na michakato inayohusiana ya kugundua-na-majibu, ikawa nguzo muhimu ya mpango wetu wa Usalama wa Bidhaa. Maswala ya faragha bila shaka yalikuwa mbele na katikati katika fikra zetu (ingawa aina ya data ya kiufundi ya mfumo wa ndani tuliyohitaji haikugusa, kwa mfano, PII), kwa hivyo kusawazisha maswala hayo na faida za usalama wa mteja za kuongezeka kwa ukusanyaji wa data. ulikuwa ni mchakato mgumu, hasa pale watekelezaji wa sheria walipohusika. Bila shaka, vifaa vya kutetea vilivyo kwenye majengo katika mazingira ya wateja vina vikwazo vyake. Katika hali nyingi, hizo huchukua muundo wa programu dhibiti iliyopitwa na wakati au maunzi ya mwisho ya maisha ambayo bado “yanatumika” zaidi ya manufaa halisi. Somo la pili lililopatikana katika kipindi cha mfululizo huu wa uchunguzi linaweza kuonekana kuwa lisilofaa au lisilotekelezeka, lakini mnamo 2024, lina mjadala mzito. Kwa manufaa ya watumiaji na ya mtandao kwa ujumla, marekebisho-hotfixes na mwisho wa maisha lazima ziwe zisizo za hiari kwa ngome. Firewall ambayo inanunuliwa na kisha haijasasishwa kwa miaka mitano, kusema ukweli, sio ngome tena. Firewall ya zamani sana haiwezi kuchukua hotfixes mpya, kusema ukweli, sio ngome tena. Kuna majadiliano mazuri ya kuwa karibu na masuala ya mwisho wa maisha na maunzi, lakini hebu tujiulize swali la hotfix kwanza. Tunajua kuwa wasimamizi wengi, haswa wale ambao bado wanafuata mazoea na mazoea yaliyotengenezwa katika enzi ya programu ya sanduku, wanaogopa kutumia viraka ambavyo wenyewe hawajajaribu (ingawa enzi ya * -as-a-Service imerekebisha mchakato huo. kwa kiwango kikubwa). Ingawa tunakubali kwamba umakini wa kushughulikia viraka na viboreshaji moto ni sawa na halali kwa vifaa vingine vingi kwenye mifumo ya uzalishaji, tunabisha kuwa wasimamizi wa ngome wanapaswa kutambua umuhimu wa wakati wa masasisho ya mifumo hii iliyobobea sana, na kuamini wachuuzi wao haraka kurekebisha masuala kwa ajili yao. Bila shaka, uaminifu huu lazima upatikane; matukio ya hivi majuzi yameweka wazi uzito wa kuamini masasisho ya kiotomatiki, hasa kwa programu zilizobahatika sana. Wachuuzi wanahitaji kuchukua jukumu lao la kusasisha kwa uzito kwa kupima kwa ukali, utumaji kwa mpangilio, uwazi katika mabadiliko yote na, kwa umakini, michakato ya ugunduzi na majibu iliyoundwa ili kuhakikisha kuwa wanaweza kujibu kwa njia ambayo itapunguza madhara kwa wateja wao wote. Baada ya muda, jinsi mtandao unavyoendelea kukua, hata maunzi yaliyosasishwa kwa bidii zaidi yatafikia mwisho wa uwezo wake wa kusaidia kwa gharama nafuu masasisho na vipengele muhimu. Wakati fulani, vifaa hivi vya zamani havikufa tu, bali havikufa na kuwa hatari, kama matukio yaliyofafanuliwa katika kalenda ya matukio ya Pacific Rim: Taarifa kwa watetezi kutoka kwa msuko wa kampeni za mashambulizi zinazoingiliana zinaonyesha vizuri sana. Firewall inakuwa aina ya “detritus ya kidijitali,” maunzi sawa na data ya zamani na ambayo haijashughulikiwa iliyoelezwa na Jillian Burrowes miaka mingi iliyopita – imepitwa na wakati na iliyokusudiwa kutumiwa vibaya. Mazungumzo kuhusu jinsi ya kupunguza eneo la mashambulizi ya vifaa vile vilivyopo ni mazungumzo magumu, makubwa na muhimu – ambayo tunaamini jumuiya yetu ya wachuuzi, na jumuiya kubwa ya watetezi, inapaswa kufanya mapema badala ya baadaye. Usalama ni mchezo wa timu. Kukera ni juhudi ya timu. Ulinzi unahitaji kuwa juhudi za timu. Na “timu” ndio mtendaji, wigo muhimu hapa. Hadithi ya Sophos ni hadithi ya kila mtu. Sio tu kwamba sisi sio walengwa pekee, ushahidi (wote wa umma na unaoshikiliwa kwa karibu zaidi) unaonyesha kuwa hata sisi sio wasiwasi wa infosec kupata mbaya zaidi. Kama hadithi yetu inavyoonyesha, mashambulizi kwenye vifaa vyetu vya mzunguko yalikuwa ni juhudi za timu zenye pande nyingi, mbinu za kuingilia na kuendelea kupitishwa kutoka kundi la wahalifu hadi kundi la wahalifu. Kwa pande zote, biashara lazima zitafute ushirika na wenzao wa tasnia, na serikali na vyombo vya kutekeleza sheria, na hata na watafiti huru au hata wasiojulikana. Makampuni yaliyoko Ulaya na Magharibi yanaweza kupata miundo ya mahusiano ya sekta ya umma na ya kibinafsi tofauti sana na yale ya mataifa kama vile Uchina, lakini hii ni kilio cha hadhara kwa sisi sote kutumia akili zetu za pamoja ili kupigana. Katika mwendo wa matukio haya, tumefanya kazi na idadi kubwa na anuwai ya washirika wa serikali; tunaorodhesha idadi yao mwishoni mwa kifungu kikuu. Sophos hushiriki katika mashirika kama vile JCDC kwa sababu ni jambo sahihi kufanya, lakini katika miaka michache iliyopita tunazidi kuona manufaa halisi, kushiriki habari halisi, uchambuzi wa kweli, misuli halisi ikiwekwa katika uondoaji. Kadiri kasi inavyoongezeka, watetezi wanahitaji kutafuta njia mwafaka zaidi ambazo mashirika yao yanaweza kuketi kwenye meza zinazoleta maana kwa biashara zao. Kama sakata yetu inavyoonyesha, wapinzani hawasiti. Lakini ushirika wa watetezi sio tu kwa wale walio na beji au kadi za biashara. Fadhila za hitilafu – zilizokuwa na utata, na bado hazithaminiwi kama aina ya ushirikiano wa beki – pia hushiriki katika jumuiya ya beki imara. Mara nyingi katika matukio haya, tulilipa fadhila kwa watafiti wanaoripoti udhaifu unaofanana, au unaofanana na, unaopatikana kuwa unatumiwa na washambuliaji. Angalau katika kisa kimoja uwezekano wa kuathiriwa ulikuwa tayari unatumiwa dhidi ya malengo ya thamani ya juu, na hivyo kusababisha maswali yanayoweza kutokea kuhusu jinsi hilo lilifanyika na jinsi mtafiti anavyoweza kuwa alihusiana na washambuliaji. Hapa kuna jibu letu kwa maswali hayo: Nani anajali. Je, tunajua jinsi, au kama, mtafiti na washambuliaji wanahusiana? Hapana. Je, tunaweza? Haiwezekani sana. Je, inajalisha? Si kweli – jambo pekee ambalo ni muhimu, na jambo linalofanya iwe na thamani ya kulipa fadhila, ni kwamba tuliweza kutatiza kwa kiasi kikubwa operesheni inayoendelea na kuwasaidia waathiriwa kupona kutokana na shambulio baya. Je, ni waathiriwa wangapi zaidi ambao adui angeweza kuathiri, kama suala la (CVE-2022-1040) lisingekuja kwetu kupitia mpango wetu wa fadhila za hitilafu? Kama ilivyoelezwa mahali pengine, sakata hili linaendelea. Magurudumu ya utekelezaji wa sheria wakati mwingine husonga polepole, na mashirika tunayoamini kuwa nyuma ya juhudi hii ya miaka mingi bado yanafanya kazi sana. (Kwa hakika, migogoro ya kimataifa imekuwa ngumu zaidi tangu haya yote yalipoanza nusu muongo uliopita.) Ndani ya Sophos, juhudi za timu nyingi zinazohitajika ili kupunguza haraka mawimbi ya mashambulizi zimetuongoza kuboresha na kuboresha michakato ya ndani hapa – baadhi kubwa. , nyingine ndogo sana. Maboresho hayo pia ni mchakato unaoendelea. Sasa tunatoa hoja yetu kwa sekta nyingine: Jiunge nasi katika kufanya kazi ya kuongeza gharama za wapinzani kwa kuchoma uwezo wao; kutafuta njia ya kufagia detritus ya usalama ambayo hapo awali ilisaidia kulinda mtandao, lakini sasa inaumiza tu; na katika kutibu ulinzi wa mtandao kama juhudi za timu, kama wapinzani wanavyofanya. Sophos X-Ops inafurahi kushirikiana na wengine na kushiriki IOC za kina zaidi kwa msingi wa kesi baada ya kesi. Wasiliana nasi kupitia pacific_rim[@]sophos.com. Kwa habari kamili, tafadhali tazama ukurasa wetu wa kutua: Sophos Pacific Rim: Operesheni ya kujihami ya Sophos na ya kukabiliana na wapinzani wa taifa nchini Uchina. URL ya Chapisho Asilia: https://news.sophos.com/en-us/2024/10/31/from-the-frontlines-our-cisos-view-of-pacific-rim/Kategoria & Lebo: Operesheni za Usalama,Pasifiki Uongozi wa mawazo wa Rim, Pacific Rim, Sophos X-Ops – Operesheni za Usalama, Pacific Rim, Pacific Rim uongozi wa mawazo, Sophos X-Ops
Leave a Reply