Kibernetska varnost v drzavnih institucijah

Lansko leto so napadalci uspešno odtujili občutljive podatke iz HSE, letos pa še iz UM.

Dve kar veliki drzavni instituciji. Je res uporabnik samo premalo vešč? Ali uporabljamo mi zastarele metode?

Lahko se predvideva, da bo teh poskusov vsako leto vec. Kaj sploh storiti?

Verjemi mi, da NOČEŠ vedeti, kako je to vzdrževano....

Saj sedaj jim bodo plačilne razrede dvignili. Bo bolje :D

Dober primer tega je LTH k je bil napaden z "izsiljevalskim virusom". Preko enega od zaposlenih ki je zavestno poklikal tisto kar nebi smel in skoraj so bili ob 10M € če nebi bilo backupa.

Xserces je 24. okt 2024 ob 20:26 izjavil:

ogromno se pogovarjam z ITjevci saj sem v takem poslu. In vsi se najbolj pritožujejo nad neizobraženim kadrom/sodelovci. Sploh glede phishinga.

Xserces je 24. okt 2024 ob 20:34 izjavil:

Dober primer tega je LTH k je bil napaden z "izsiljevalskim virusom". Preko enega od zaposlenih ki je zavestno poklikal tisto kar nebi smel in skoraj so bili ob 10M € če nebi bilo backupa.

Ne pozabit, da so uporabniki samo vstopna točka. Enako bi lahko krivil developerje, ki na SSL VPN naredijo ranljivost in ponesreči povzročijo RCE.

Z 10 leti izkušenj na področju odziva na incident in forenziki lahko rečem, da ja, uporabniki so vstopni vektor - ampak da pride do deploya ransomware-a se mora kriminalec dokopati po navadi do domenskih krmilnikov ali direkno do ESXi. To v povprečju traja od enega tedna do nekaj mesecev, zraven pa mora izkoristiti še ducat ranljivosti in/ali pomankljivosti v arhitekturi omrežja ali identitah. In tu ima sposoben IT ogromno možnosti za zaznati/preprečiti napad.

Tisti, ki krivijo uporabnike za vse to žal nimajo pojma. Z izjemo Wannacry in drugih ransomware-ov ki so izkoriščali ethernalblue v SMBv1, je zelo zelo malo primerov, da bi "uporabnik nekaj kliknil in boom celo omrežje je šifrirano".

temni_princ je 24. okt 2024 ob 21:18 izjavil:

Xserces je 24. okt 2024 ob 20:26 izjavil:

ogromno se pogovarjam z ITjevci saj sem v takem poslu. In vsi se najbolj pritožujejo nad neizobraženim kadrom/sodelovci. Sploh glede phishinga.

Xserces je 24. okt 2024 ob 20:34 izjavil:

Dober primer tega je LTH k je bil napaden z "izsiljevalskim virusom". Preko enega od zaposlenih ki je zavestno poklikal tisto kar nebi smel in skoraj so bili ob 10M € če nebi bilo backupa.

Ne pozabit, da so uporabniki samo vstopna točka. Enako bi lahko krivil developerje, ki na SSL VPN naredijo ranljivost in ponesreči povzročijo RCE.

Z 10 leti izkušenj na področju odziva na incident in forenziki lahko rečem, da ja, uporabniki so vstopni vektor - ampak da pride do deploya ransomware-a se mora kriminalec dokopati po navadi do domenskih krmilnikov ali direkno do ESXi. To v povprečju traja od enega tedna do nekaj mesecev, zraven pa mora izkoristiti še ducat ranljivosti in/ali pomankljivosti v arhitekturi omrežja ali identitah. In tu ima sposoben IT ogromno možnosti za zaznati/preprečiti napad.

Tisti, ki krivijo uporabnike za vse to žal nimajo pojma. Z izjemo Wannacry in drugih ransomware-ov ki so izkoriščali ethernalblue v SMBv1, je zelo zelo malo primerov, da bi "uporabnik nekaj kliknil in boom celo omrežje je šifrirano".

Ja definitivno se strinjam. Ampak veliko je narejenega z uporabnikovo napako. Je pa logično da to ni oneclick napad. Seveda se pripravljajo več časa. Zanimivo je to da pri LTH tega niso zaznali pa se je dogajalo kar nekaj časa (priprava na napad) mislim.

Segmentacija pomaga oziroma vsaj upočasni vse skupaj. Ampak na koncu dneva, bo vsaka Windows mašina v domeni imela dostop do domenskega krmilnika, katerega lahko napadejo s kerberoasting, NTLM relay itd.

Po navadi manjka proper zaščita na nivoju aktivnega imenika, avtentikacije in pravic. Veliko se prepreči z:
- odvzemom lokalnega admina navadnim domenskim uporabnikom
- podpisovanje NTLM ali kar komplet izklop kjer je mogoče
- uporabo ločenih računov za domenske admine, in da se jih uporablja samo z določenih mašin "jumphostov".
itd..

To so osnove, ki bodo upočasnile napad. Ko maš te stvari urejene in imaš dober baseline, pa se greš lahko zaznavo anomalij, ki te opozarjajo, da je nekdo notri.

Dejstvo je, da je preveč fokusa na perimeter in preprečitev inicialnega vdora (ki ga ne moreš 100% ustaviti), premalo pa na urejenosti znotraj, dobrih praks, politikah, spremljanja anomalij itd.

delavec44 je 24. okt 2024 ob 19:44 izjavil:

Saj sedaj jim bodo plačilne razrede dvignili. Bo bolje :D

Zares ne... razen ce jim jih bodo dvignili za ene 100x. Pred casom sem cisto za zajebancijo sel pogledat razpis, ki ga je dala ven ena od drzavnih ustanov za senior network inzenirja... S taksno placo ni niti najmanjse sanse da dobijo kogarkoli, ki bi vsaj na pogled vedel kaj je firewall ali router, kaj sele da bi kaj znal skonfigurirati. In potem pac je kot je.
Na prvo zogo reces da je kriv nesposoben folk, ampak zares so krivi tisti nad njim, ker sposobnih ljudi s taksnimi pogoji pac ne dobis, pa ne glede na to kako len je nekdo lahko. Ko je bruto placa manj kot petino moje neto, potem si lahko magari 3 leta pred penzijo ko se ti verjetno niti ziveti ne da vec, pa vseeno ne bos sel tja.

Problem je način investiranja v opremo, ki je na voljo institucijam. Največji idiotizem brez primere.

@delavec44 tisti, ki nekaj pametnega vedo in znajo, imajo. Za jurja (ali pa magari 2, pa 2 je bolj mission impossible v JU) neto nihce od ljudi, ki so sposobni dobro furati (vecje) omrezje, ne bo niti pomislil da bi sel tja.

Tako kot karkoli drugega v inžineringu je varnost večplasten in multidisciplinaren problem, bolj stvar kulture kot pa tehnologije in tehnike. Največ sem se o tem naučil v aviaciji: Swiss cheese model @ Wikipedia