Wengi wetu hatufikirii sisi wenyewe au mashirika yetu kuwa yanavutia kiasi cha kulengwa na watendaji tishio wa serikali, lakini kama tathmini zingine nyingi za usalama, hii inaweza kuwa sio kweli tena. Kama tulivyoeleza kwa kina katika ripoti yetu, “Ukingo wa Pasifiki: Ndani ya Kinga ya Kuzuia – TTP Zinazotumiwa Kupunguza Vitisho vya Uchina,” washambuliaji wanaofadhiliwa na Uchina wamekuwa kwenye vita vinavyoendelea na Sophos kuhusu udhibiti wa vifaa vya mzunguko. Malengo ya washambuliaji yalijumuisha matumizi mabaya ya kifaa yaliyolengwa na yasiyobagua. Shughuli hii ya uhasama haielekezwi kwa kampuni moja pekee. Tumeona malengo mengine yanayohusiana na mtandao chini ya kuzingirwa, na tumeunganisha wengi wa watendaji tishio wanaohusika na mashambulizi dhidi ya wachuuzi wengine wa usalama wa mtandao, ikiwa ni pamoja na wale wanaotoa vifaa kwa matumizi ya nyumbani na ofisi ndogo. Kuelewa ni kwa nini kampeni hii ya uvamizi imekuwa kipaumbele cha muda mrefu kwa adui kunaweza kusaidia walengwa, mara moja tukiwa mbali na uchokozi wa aina hii, kuona jinsi sheria za zamani za kutathmini hatari za biashara zinavyobadilika – na hiyo inamaanisha nini kwa barabara iliyo mbele. Mabadiliko ya kimsingi katika muundo Kwa nini watendaji tishio wanaofanya kazi katika mataifa makubwa ya taifa wanajali walengwa wadogo? Wataalamu wengi wa usalama hufikiria wapinzani wao wakuu kama wahalifu wanaohamasishwa kifedha kama vile magenge ya waokoaji, ambao mara nyingi hutafuta matunda ya chini kabisa ya kunyakua. Ingawa magenge hayo yanajulikana kwa kutumia vifaa vya mtandao ambavyo vimesalia bila viraka, mara nyingi hawana talanta ya kutafuta mara kwa mara na kugundua ushujaa mpya wa siku sifuri ili wajiandikishe. Kinyume chake, na Pacific Rim tuliona – kwa imani kubwa katika uchunguzi na uchambuzi wetu – mstari wa mkusanyiko wa maendeleo ya matumizi mabaya ya siku sifuri yanayohusiana na taasisi za elimu huko Sichuan, Uchina. Ushujaa huu unaonekana kushirikiwa na washambuliaji wanaofadhiliwa na serikali, jambo ambalo linaeleweka kwa taifa-taifa ambalo linaamuru ugavi kama huo kupitia sheria zao za kufichua uwezekano wa kuathirika. Zaidi ya hayo, tuliona washambuliaji wakilenga upya ulenga wao katika miaka yote ya Pacific Rim. Kwa ujumla, mashambulizi ya mapema yalionekana iliyoundwa kuathiri kila kifaa ambacho kilikuwa hatarini. Tuliporudi nyuma kwa nguvu zaidi dhidi ya juhudi zao, wapinzani walitulia katika mashambulizi yaliyolengwa zaidi. Hata hivyo, hiyo si picha nzima; kulikuwa na hatua muhimu ya awali kabla ya awamu ya mashambulizi-kila kitu. Kama tulivyoona tulipochunguza visa hivi vilivyoingiliana, si kawaida kwa washambuliaji kama hawa kwanza kutumia hatari ya juu ya siku sifuri katika mashambulizi lengwa kwa njia isiyoonekana. Baada ya kufikia lengo lao kuu, au kushuku kuwa wanaweza kutambuliwa, basi wanaanzisha mashambulizi dhidi ya vifaa vyote vinavyopatikana ili kuleta mkanganyiko na kufunika nyimbo zao. Huku mashambulizi mengi yanayoingiliana yamejaribiwa, kulingana na washambuliaji wameweka macho yao, kifaa chochote kinaweza kuwa na manufaa kwao. Washambuliaji wanaohusika katika Pacific Rim, na wengine kama wao, si tu baada ya siri za kijeshi na mali miliki; pia wanatafuta kuficha juhudi zao za thamani ya juu zaidi, na kuwachanganya wale ambao wanaweza kutaka kuwazuia. Kwa madhumuni ya kusimama “mitandao ya upotoshaji” na kusababisha shida kwa ujumla, kuathiri na kutumia vibaya idadi kubwa zaidi ya vifaa vinavyofaa malengo ya washambuliaji vyema. (Kwa mfano mahali pengine katika tasnia, tunaweza kuangalia shambulio la ProxyLogon, lililohusishwa na Microsoft kwa kikundi chenye makao yake Uchina kiitwacho HAFNIUM, ambacho kinaonekana kutumika kwa njia iliyolengwa kabla ya kutolewa ulimwenguni kote. HAFNIUM iliathiri seva za Exchange duniani kote. kwa miaka baada ya matumizi yake ya mapema, yaliyolengwa.) Huku malengo ya mashambulizi na mifumo ikibadilika, mitazamo kuhusu udumishaji wa mfumo lazima pia ibadilike. Kujiondoa si chaguo tena Kama lengo la kupendezwa, Sophos alitumia nyenzo nyingi ili kutetea mfumo wetu kikamilifu na kuharakisha si tu marekebisho ya dosari, lakini uboreshaji ili kusaidia katika kutambua na kuzuia mapema. Hata hivyo, wateja wetu wachache waliokuwa wakisumbua hawakuchagua kutumia marekebisho haya kwa wakati ufaao. Msururu huu wa matukio, na athari za chaguo za wateja hao kwa afya ya mtandao kwa ujumla, vilimchochea Mkurugenzi Mtendaji wa Sophos Joe Levy kutoa wito wa mabadiliko katika muundo wa sasa wa uwajibikaji wa pamoja wa matengenezo ya kifaa cha usalama wa mtandao. Katika mashambulizi makubwa tuliyoyaona – yale ambayo hayakuwa ya kibaguzi na yalijaribu kuambukiza kila ngome inayoweza kugundulika – athari kwa mashirika yaliyoathiriwa yalikuwa mara tatu. Kwanza, zinaweza kutumika kuficha trafiki ya mshambuliaji kama nodi ya seva mbadala katika wavuti ya vifaa vilivyoathiriwa kwa kutumia rasilimali za mwathiriwa. Pili, walitoa ufikiaji wa kifaa chenyewe, ikiruhusu wizi wa sera zinazoonyesha mkao wa usalama na vile vile vitambulisho vyovyote vilivyohifadhiwa ndani. Tatu, walikuwa hatua ya kuruka-ruka kwa mashambulizi zaidi kutoka kwa kifaa yenyewe, ambayo ni sehemu muhimu zaidi ya mzunguko wa mtandao. Hii si hali ambayo mtu yeyote anayewajibika au biashara inataka kuwamo. Ni sababu moja ambayo ni muhimu sana sio tu kukubali na kutumia masasisho makuu ya bidhaa ambayo yanaendelea kuboresha uimara wa ulinzi ulioundwa katika usanifu wa ngome, lakini pia kuruhusu matumizi ya kiotomatiki ya hotfixes za usalama ambazo zinatumika kwa udhaifu wa usalama wa ukarabati wa dharura unaotumiwa au ambao unahitaji masasisho ya haraka ili kuzuia unyonyaji. Ulinzi wa kina hutumika kwa marekebisho-hotfixes, na huwekwa kwa kiwango cha chini kabisa kutokana na asili yao ya kiotomatiki. Matukio ya 2024 yameweka wazi kuwa wachuuzi lazima wachukue jukumu hili kwa uzito, ambayo ni pamoja na kutumia tahadhari katika mchakato wa majaribio na usambazaji na uwazi mwingi iwezekanavyo kuhusu wanachofanya, lakini hiyo haiondoi hitaji la viraka kutumika kwa haraka zote za makusudi, kila wakati, kila mahali. Kiukweli ni muhimu Eneo lingine kwa wateja na washirika wetu kuchanganya juhudi ni kupunguza uso wa mashambulizi. Baadhi ya udhaifu uliolengwa katika mashambulizi haya ulikuwa katika tovuti za watumiaji na wasimamizi ambazo hazikuundwa kamwe kukabili intaneti iliyo wazi. Tunapendekeza sana kufichua kiwango cha chini kabisa cha aina zote za huduma kwenye mtandao. Zile ambazo lazima zifichuliwe hulindwa vyema nyuma ya lango la ufikiaji wa mtandao wa sifuri (ZTNA) kwa kutumia uthibitishaji thabiti wa vipengele vingi unaoendana na FIDO2 (MFA). MFA ni ushauri wa shule za zamani (tulizungumza hivyo katika Ripoti ya Adui Anayeishi mapema-2024), lakini ni Usalama 101 na inapunguza uwezekano wa mashambulizi. Katika Pacific Rim, mashambulizi yaliingia katika hali ya “adui hai” inayoendeshwa na binadamu; baadhi ya vifaa vilivyoathiriwa vilifikiwa kupitia kitambulisho kilichoibiwa, si udhaifu wa uthibitishaji wa awali. Zaidi ya hayo, pindi tu ufikiaji ulipopatikana kwa kifaa kilichoathiriwa, baadhi ya wavamizi wangeiba vitambulisho vilivyohifadhiwa ndani kwa matumaini kwamba manenosiri haya yatatumika tena kwenye mitandao ya mashirika. Hata wakati ngome yenyewe si sehemu ya utaratibu mmoja wa kuingia (SSO), watumiaji mara kwa mara watatumia nenosiri lile lile wanalotumia kwa akaunti yao ya Entra ID. Hii ni sababu nyingine ni muhimu kwamba mifumo haiwezi kufikiwa tu na nenosiri, lakini inathibitishwa na sababu ya pili kama vile cheti cha mashine, tokeni, au changamoto ya programu. Hii inaunganisha nyuma kwa shida ya kiraka-yako-yako iliyojadiliwa hapo juu. Kwa mfano, katika kesi ya CVE-2020-15069, marekebisho yalipotolewa tarehe 25 Juni, 2020, bado tulikuwa tukiwaona wavamizi wakihatarisha ngome ili kuiba vitambulisho vya ndani na kuweka amri na udhibiti wa mbali kufikia tarehe 18 Februari 2021. Inafaa masasisho hutumiwa mara moja, lakini utendakazi huo ukizimwa inaweza kutoa fursa kwa wapinzani wetu kwa muda mrefu katika siku zijazo. Mambo madogo yana maana kubwa Somo moja zaidi la kuchukua kutoka kwa uzoefu wetu ni kwamba hakuna kitu kama maelewano yasiyo muhimu. Baada ya uchunguzi wa awali wa kile kinachoweza kuonekana kuwa zana na mbinu zisizo za kisasa, unaweza kugundua kofia isiyoisha, yenye mikunjo na mizunguko ambayo inakushangaza. Ingawa kompyuta ndogo iliyoundwa ili kuendesha mfumo wa mikutano ya video (mahali pa kuingilia kwa wote waliofuatwa katika Pacific Rim) inaweza kuwa imetupiliwa mbali na kufutwa, hatimaye ilituongoza kupata shughuli zaidi. Uwindaji huo ulifikia kilele cha ugunduzi wa kifaa cha kisasa zaidi tulichoipa jina la Cloud Snooper, baadhi ya mbinu mpya za kutumia vibaya Huduma za Wavuti za Amazon (AWS) – na miaka mitano ya uwindaji wa kukabiliana, uwindaji wa kukabiliana – au vitendo vya paka na panya. Vifaa visivyo na upendeleo kama vile vifaa vya mikutano ya video vinapendwa sana na wapinzani katika enzi ya kisasa kwani mara nyingi havifuatiliwi, vinaundwa kwa kusudi, na vina nguvu kupita kiasi. Wanafanya kitu rahisi kama kuendesha onyesho, lakini wana uwezo kamili wa kompyuta wa kituo chenye nguvu cha kazi kutoka miaka kumi iliyopita. Nguvu ya ziada, pamoja na ukosefu wa ufuatiliaji na programu ya usalama inayopatikana, ni mchanganyiko kamili wa kubaki siri, kupata uvumilivu, na kufanya utafiti katika mali nyingine muhimu zaidi. Simu inatoka ndani ya nyumba… Wakati mwingine hitilafu hutoka kwa msururu wa usambazaji na inaweza kuwa ngumu zaidi kushughulikia. Wadudu hao hasa huhitaji kwamba watetezi wachukue matatizo kama wajibu wa pamoja. Kwa mfano, mnamo Aprili 2022 tuligundua kuwa wavamizi walikuwa wakitumia dosari isiyojulikana hapo awali katika OpenSSL, maktaba maarufu ya usimbaji wa programu huria. Tuliripoti kwa timu ya OpenSSL mnamo Aprili 2, 2022; ilipewa CVE-2022-1292 (alama ya msingi ya CVSS: 9.8) na kurekebishwa Mei 3 na timu ya OpenSSL. Ingawa Pacific Rim yenyewe ilikuwa na shughuli nyingi wakati huo, hakukuwa na swali lolote kwamba tungechukua muda kuarifu timu ya OpenSSL na kuunga mkono juhudi zao wenyewe za kuweka kiraka; ni kile tu wanajamii wazuri hufanya. Katika hali hiyo, pamoja na upimaji wa usalama wa maombi ya ndani na ukaguzi, Sophos hutumia tathmini za watu wengine na kuendesha programu ya fadhila ya hitilafu, wigo (na ufadhili) ambao umeendelea kuongezeka tangu kuzinduliwa kwake mnamo Desemba 2017. Ingawa juhudi hizi zinaendelea kwa kiwango fulani cha kuzuia, wengine kwa asili yao ni tendaji. Na tena, zinahitaji wateja na washirika wetu kufanya kazi nasi ili kutekeleza marekebisho mara moja au, kwa hakika, kuwezesha marekebisho ya dharura kutumwa kiotomatiki. Na sasa? Wale ambao wamesoma kitabu cha The Cuckoo’s Egg cha Clifford Stoll wanajua vyema kwamba masuala makubwa ya usalama wakati mwingine hujidhihirisha kama mambo madogo madogo. Kitabu hicho kinaandika labda kesi ya kwanza kabisa ya “udukuzi” uliofadhiliwa na serikali katikati ya miaka ya 1980. Sophos amekuwa akicheza mchezo uleule wa paka na panya ambao Stoll alicheza na kushinda (kama vile mtu yeyote anaweza kushinda kitu hiki) zaidi ya miaka 35 iliyopita, wakati kampuni yetu ilikuwa na umri wa miaka michache tu. Tofauti yake ya uhasibu ya 75 ni gia yetu ya mkutano wa video, na kile kilichoanza kidogo katika visa vyote viwili kikawa uzoefu dhahiri kwa waliohusika. Mbinu nyingi za Stoll alizotumia katika uchunguzi wa Mayai ya Cuckoo bado ni sehemu ya zana ya ulinzi leo. Kwa kuelewa kwamba kazi ya watetezi haifanyiki kamwe, tunachagua kutumia uzoefu wa Pacific Rim kama njia ya kutathmini upya na kupanua uwezo wa watetezi kushirikiana na kuboresha. Sophos X-Ops inafurahi kushirikiana na wengine na kushiriki IOC za kina zaidi kwa msingi wa kesi baada ya kesi. Wasiliana nasi kupitia pacific_rim[@]sophos.com. Kwa habari kamili, tafadhali tazama ukurasa wetu wa kutua: Sophos Pacific Rim: Operesheni ya kujihami ya Sophos na ya kukabiliana na wapinzani wa taifa nchini Uchina. URL ya Chapisho Asilia: https://news.sophos.com/en-us/2024/10/31/pacific-rim-whats-it-to-you/Category & Tags: Operesheni za Usalama,Pasifiki Rim,Uongozi wa mawazo wa Pacific Rim ,Sophos X-Ops – Operesheni za Usalama,Pasifiki Rim,Uongozi wa fikra wa Pacific Rim,Sophos X-Ops
Leave a Reply