La Biblioteca Británica ha publicado amplios detalles de su devastadora experiencia a manos de la banda de ransomware Rhysida, revelando cómo los ciberdelincuentes probablemente accedieron a sus sistemas en primer lugar, los efectos del ciberataque, su respuesta y las lecciones que ha aprendido. Los sistemas de la Biblioteca Británica fueron atacados por un afiliado de la banda de ransomware como servicio (RaaS) Rhysida en el otoño de 2023, lo que provocó una interrupción significativa de los servicios de la organización, que aún no se ha resuelto por completo. La pandilla también robó 600 GB de datos, incluidos detalles de los usuarios del servicio, que se filtraron cuando la Biblioteca Británica se negó a participar. Roly Keating, director ejecutivo de la Biblioteca Británica, dijo que la organización esperaba que abrirse y optar por una transparencia total sobre el incidente ayudaría a otras organizaciones a planificar y protegerse contra ataques cibernéticos similares. «La amenaza de ataques cibernéticos agresivos y disruptivos es mayor que nunca, y las organizaciones detrás de estos ataques son cada vez más avanzadas en sus técnicas y despiadadas en su voluntad de destruir sistemas técnicos completos», dijo. “Esto es de especial importancia para las bibliotecas y todas aquellas instituciones que comparten nuestra misión de recopilar y hacer accesible el conocimiento y la cultura en forma digital, y preservarlos para la posteridad. Aunque el motivo del ataque a la Biblioteca Británica parece haber sido puramente monetario, funcionó, efectivamente, como un ataque al acceso al conocimiento. “Siempre que fue posible… hemos tratado de pecar de abiertos, y no todo lo que hay aquí resulta cómodo para nosotros como organización”, dijo Keating. “Tenemos lecciones importantes que aprender. «También somos conscientes de nuestro deber como responsables del tratamiento de datos y lamentamos profundamente la pérdida de control de algunos datos personales, por lo que pedimos disculpas de todo corazón a todos los afectados», afirmó. «Si el resultado es una mayor resiliencia y protección contra ataques para el sector de cobranzas del Reino Unido y otros, entonces al menos algo bueno habrá surgido de este ataque criminal profundamente dañino». Cronología de un ataque Tal fue la escala de la destrucción que causaron que es posible que nunca se sepa con precisión cuándo la pandilla Rhysida obtuvo acceso a sus sistemas, pero la Biblioteca Británica dijo que, según el análisis forense, pudo haber sido el 25 de octubre de 2023. seis días antes confirmó un ciberataque. Reveló que su gerente de seguridad recibió una alerta sobre posible actividad sospechosa en las primeras horas del 26 de octubre, pero que esta actividad fue bloqueada. El gerente de seguridad intensificó esto para investigarlo, pero no se encontró más actividad maliciosa y luego la cuenta se desbloqueó luego de restablecer la contraseña. En retrospectiva, parece haber sido Rhysida realizando un reconocimiento. El punto de entrada exacto de Rhysida a la red tampoco ha sido identificado gracias al daño que causaron y la ofuscación que emplearon, pero el primer acceso detectado fue en el servidor de Terminal Services, implementado en 2020 para permitir a los socios externos y proveedores de soporte de TI acceder a la red, que reemplazó un sistema de acceso remoto inseguro en los primeros días de la pandemia de Covid-19. Por lo tanto, los investigadores creen que Rhysida probablemente comprometió una cuenta privilegiada que pertenecía a alguien ajeno a la Biblioteca Británica mediante un ataque de phishing o phishing. La Biblioteca Británica dijo que era consciente del riesgo de que sucediera algo así y que había estado en el proceso de revisar y reforzar sus disposiciones de seguridad relacionadas con el acceso de terceros, pero que este trabajo no se había completado en octubre de 2023. Además, no había aplicado la autenticación multifactor (MFA) al servidor de Terminal Services; aunque había introducido MFA en 2020 en todo su conjunto, por razones de costo y practicidad, la conectividad a su dominio estaba fuera de alcance. de ese proyecto. La Biblioteca Británica se enteró por primera vez de que había sido afectada por un ataque de ransomware la mañana del sábado 28 de octubre, cuando un miembro del equipo de TI descubrió que no podían acceder a la red. Durante las horas siguientes, el incidente se intensificó rápidamente y los planes de gestión de crisis se pusieron en marcha. Esa tarde, el Centro Nacional de Seguridad Cibernética (NCSC) había estado involucrado y estaba ayudando con el manejo de incidentes y las comunicaciones. También se enteró de que Jisc había identificado volúmenes de tráfico de datos inusuales que salían de la propiedad de la biblioteca a la 1:30 am del 28 de octubre, probablemente debido a la filtración de datos en curso. Un día después, en la tarde del 29 de octubre, confirmó a través de X que estaba experimentando una interrupción, y dos días después, el 31 de octubre, reveló que esto era el resultado de un incidente cibernético, momento en el que el incidente comenzó a empeorar. cobertura de los principales medios de comunicación. En cuanto a su relación con Rhysida, la Biblioteca Británica confirmó en su informe la especulación generalizada de que no había cooperado con sus atacantes. «La Biblioteca no ha realizado ningún pago a los actores criminales responsables del ataque, ni se ha comprometido con ellos de ninguna manera», se lee en el informe. «Las bandas de ransomware que contemplan futuros ataques como este a instituciones financiadas con fondos públicos deben ser conscientes de que la política nacional del Reino Unido, articulada por el NCSC, es inequívocamente clara de que no se deben realizar tales pagos». Gestión eficaz de crisis En general, dijo la Biblioteca Británica, sus planes de gestión de crisis funcionaron bien, con una práctica estructura de comando Oro/Plata que convocó a personal técnico superior, asesores externos y el oficial de protección de datos y la alta gerencia de la Biblioteca. todos los cuales se unieron para coordinar la respuesta técnica, soluciones temporales cuando fuera posible y comunicaciones de crisis. A lo largo del proceso, se brindó un amplio apoyo tanto a través del Departamento de Cultura, Medios y Deportes (DCMS) como del NCSC, que ayudó a la Biblioteca Británica a mantener informados a los lectores, el personal y las partes interesadas, incluidos los periodistas, sin compartir ningún detalle que pudiera ayudar a Rhysida. . Para las comunicaciones internas, esto significó recurrir a información en cascada a través del correo electrónico o WhatsApp, mientras que las actualizaciones externas se produjeron en gran medida en forma de actualizaciones de las redes sociales. Una vez que se determinó que era seguro hacerlo, los equipos de la Biblioteca Británica comenzaron a contactar a lectores, simpatizantes y otras personas en sus listas de correo, indicando orientación del NCSC e incorporando comentarios de los usuarios para crear preguntas frecuentes más efectivas y mantener actualizado su sitio web provisional. También pudo mantener un estricto control sobre lo que se le dijo a quién y cuándo, y se aseguró de que todo el personal tuviera vista las comunicaciones externas antes de hacerlas públicas. Dijo que el compromiso proactivo con la administración y los sindicatos de la Biblioteca también ayudó a abordar las preocupaciones del personal y a difundir eficazmente información y asesoramiento a nivel de base externamente. Reconstrucción de la Biblioteca Británica Con un patrimonio tecnológico diverso y complejo y, como hemos visto, una gran cantidad de productos heredados, la Biblioteca Británica siempre se enfrentaría a una tarea de reconstrucción compleja en el caso de un evento importante y, francamente, Esto parece haber sido algo de lo que la organización estaba consciente antes del ataque, pero a menudo carecía de la financiación o el ímpetu para hacer mucho al respecto. Ahora cree que la naturaleza peculiar de su patrimonio de TI contribuyó significativamente a la gravedad del ataque, otorgando a Rhysida más acceso del que debería haber podido tener en un diseño más moderno, entre otras cosas. Para empeorar las cosas, además de la exfiltración de datos y el cifrado de servidores, Rhysida también destruyó servidores para inhibir la recuperación del sistema, y ​​fue esta etapa del ataque la que causó el mayor daño a la Biblioteca Británica, que ahora cree que aunque será posible para restaurar todos los datos, no tiene una infraestructura viable para poder hacerlo; se espera que la reconstrucción de este sistema se complete en abril de 2024. Admitió que su vulnerabilidad a un ataque de este tipo se había visto exacerbada por la dependencia de aplicaciones heredadas antiguas que pueden Ahora no se pueden arreglar, ya sea porque están completamente obsoletos, han llegado al final de su vida útil o no se pueden ejecutar de forma segura. Muchos sistemas deben reconstruirse desde cero. Pero mirando el lado positivo, la Biblioteca Británica dijo que tenía una oportunidad de oro para transformar la forma en que utiliza y gestiona la tecnología, adoptando e incorporando las mejores prácticas de seguridad e implementando políticas y procesos adecuados para una organización pública en la década de 2020. De hecho, podría convertirse en un modelo de buenas prácticas para sus pares. Entre muchas otras cosas, la Biblioteca Británica quiere que su nuevo parque de TI incorpore las mejores prácticas en el diseño de redes, incluidos enfoques de segmentación y defensa en profundidad; un panorama informático híbrido; controles de acceso basados ​​en roles y políticas de privilegios mínimos; un servicio de respaldo más sólido y resistente con copias inmutables, aisladas y externas; una suite de seguridad holística e integrada que cubre toda la organización, con servicios de seguridad gestionados para la detección y respuesta a incidentes; Ministerio de Asuntos Exteriores; mejoras en la gestión de incidentes, eventos y vulnerabilidades; y una mejor gestión del ciclo de vida de TI y de la entrega de software. En cuanto a lo que verán los lectores, también propone consolidar una serie de sistemas clave con aplicaciones más centradas en el usuario, centralizando y reemplazando una plataforma antigua y catálogos heredados, registro de lectores, preservación digital y gestión de consultas. También se consolidarán múltiples sistemas de datos de clientes en una nueva arquitectura de informes y gestión de datos. Lecciones aprendidas De cara al futuro, la Biblioteca Británica dijo que aún quedaba mucho trabajo por hacer y nuevos riesgos que tener en cuenta. Su programa de cambio y su nuevo enfoque en la seguridad cibernética aumentarán la necesidad de fomentar una cultura de seguridad mejorada internamente, con la aceptación de la administración y el apoyo continuo, por ejemplo. En otros lugares, sus equipos de TI, ya sobrecargados, necesitarán más capacidad, y existen riesgos inherentes al trasladar más sistemas a la nube, como propone hacer. Una gestión adecuada del cambio tendrá que ser la consigna durante los próximos meses, y esto en un contexto de mayor riesgo por parte de pandillas como Rhysida: habiendo sido un objetivo una vez, muchas organizaciones con frecuencia descubren que otros grupos criminales se interesan. La Biblioteca Británica dijo que muchas de las otras instituciones supervisadas por DCMS y el sector cultural en general probablemente tendrían riesgos similares en términos de inversión en seguridad, sistemas heredados y personal de TI con exceso de trabajo. lo más seguros que podamos estar contra esta amenaza, ya que el costo de invertir en prevención es mayor que el riesgo de no prevenir”, se lee en el informe. “Aunque las medidas de seguridad que teníamos implementadas el 28 de octubre de 2023 eran amplias y habían sido acreditadas y sometidas a pruebas de resistencia, en retrospectiva, hay muchas cosas que desearíamos haber entendido mejor o haber priorizado de manera diferente”. Como tal, la Biblioteca Británica ha compartido una lista de lecciones tempranas que otros tal vez deseen incorporar a su pensamiento: Mejorar el monitoreo de redes antiguas. La Biblioteca Británica contaba con un sistema moderno, pero no podía monitorear ni proteger adecuadamente porque la topología de la red heredada obstaculizaba su efectividad; Retener experiencia externa para mejorar la resiliencia, la velocidad de respuesta y las capacidades de análisis de incidentes desde el principio; Implementar y hacer cumplir MFA en todos los sistemas, especialmente aquellos utilizados por los proveedores; Mejorar los procesos de respuesta a intrusiones, realizando revisiones en profundidad incluso después de los signos más pequeños de una intrusión; Implementar una segmentación de red adecuada. Si la Biblioteca Británica hubiera hecho esto, Rhysida probablemente habría causado muchos menos daños; Implementar y practicar planes de continuidad del negocio; Intente pensar de manera más integral sobre el riesgo, señalando todos y cada uno de los riesgos de seguridad de TI en los niveles apropiados. La Biblioteca Británica dijo que había estado haciendo esto bien para los riesgos de seguridad por falta de apetito, pero que se había perdido muchas señales de bajo nivel; Manténgase al tanto de los sistemas heredados y la gestión del ciclo de vida, y priorice la solución de problemas que surjan del kit heredado; Invierta con entusiasmo en copias de seguridad y capacidades de recuperación; Informar a la junta sobre los riesgos para permitirles tomar mejores decisiones de compra y garantizar que haya una representación ciberespecífica en la junta; Formar adecuadamente al personal y actualizar periódicamente sus conocimientos; Gestionar el bienestar del personal y de los usuarios; Revisar el uso personal aceptable de TI. Durante la investigación, la Biblioteca Británica descubrió que Rhysida había estado escaneando la red específicamente en busca de palabras clave como «pasaporte» o «personal» para identificar artículos personales almacenados por el personal, lo cual estaba permitido en ese momento. Colabora y comparte información con otros en tu sector; Y finalmente, implementar estándares y políticas gubernamentales. De hecho, la Biblioteca Británica obtuvo la certificación Cyber ​​Essentials Plus en 2019, pero los cambios en el esquema en 2022 significaron que dejó de cumplir porque necesitaba reemplazar algunos sistemas heredados.

Source link