Um ano removido do ataque Colonial Pipeline, o que aprendemos?

Várias empresas em infraestrutura crítica foram forçadas a enfrentar algumas verdades duras após o ataque de ransomware de 2021.

Com 7 de maio marcando o aniversário de um ano do ataque de ransomware Colonial Pipeline, refletir sobre algumas das lições que foram coletadas pode ajudar as organizações a estarem mais preparadas para ataques no futuro. Vários especialistas em segurança cibernética deram suas opiniões sobre o que as empresas devem observar e até mesmo o que os cibercriminosos aprenderam após o ataque.

Como uma breve recapitulação, os hackers se infiltraram na infraestrutura de TI da empresa, desativando a operação do pipeline. Os invasores também roubaram quase 100 gigabits de dados resultantes do hack e solicitaram um pagamento de 75 Bitcoins (US$ 4,4 milhões na época) para devolver o o da Colonial ao seu sistema de cobrança. O resgate foi pago pela empresa aos cibercriminosos, e o DarkSide foi identificado como o culpado por trás do ataque.

VEJA: Violação de senha: Por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Que lições de segurança cibernética foram aprendidas com o ataque?

Uma das revelações mais importantes do ataque Colonial Pipeline foi que a segurança cibernética nos setores de operações críticas precisava ser atualizada. Um grande efeito colateral do hack foram os problemas da cadeia de suprimentos que surgiram, já que postos de gasolina e aeroportos começaram a ser afetados pela falta de petróleo do próprio oleoduto.

“As organizações neste setor devem tomar medidas para proteger suas operações, se ainda não o fizeram, pois este é um vetor de ataque seriamente negligenciado que é vital para a segurança nacional dos Estados Unidos”, disse James Carder, diretor de segurança da LogRhythm. “Qualquer organização que aproveite a tecnologia para permitir operações de infraestrutura crítica precisa garantir que protocolos de proteção adequados sejam estabelecidos, desde simples higiene de senhas, detecção de ameaças, controles preventivos e controles de resposta para frustrar e identificar rapidamente possíveis catástrofes.”

A aprovação da Lei de Fortalecimento Americano de Segurança Cibernética do presidente Biden é um caminho a ser seguido para mitigar a gravidade desses tipos de ataques. Por meio da lei, sancionada em 15 de março, as empresas serão obrigadas a denunciar hacks dentro de um determinado prazo ou correm o risco de serem sujeitas a penalidades financeiras.

“Uma grande coisa que aprendemos foi que nossa infraestrutura crítica é realmente menos segura do que pensamos”, disse Matthew Parsons, diretor de gerenciamento de produtos de rede e segurança da Sungard Availability Services. “Acho que aumentou a conscientização sobre o fortalecimento de nossa postura de segurança cibernética no campo de infraestrutura crítica. A Lei de Fortalecimento da Segurança Cibernética de 2022 está tentando aumentar os requisitos em torno da infraestrutura crítica.”

As empresas dos setores de produtos químicos, manufatura crítica, energia, alimentos, serviços de emergência, saúde e TI também devem se engajar em aumentar as defesas não apenas em sua tecnologia, mas também em preparar melhor os funcionários nas melhores práticas quando se trata de evitar esses novos ransomwares ataques.

“Uma lição aprendida após o hack foi que havia uma única senha comprometida com uma conta VPN desatualizada, que era o canal para hackers entrarem na rede e exigirem pagamento”, disse Scott Schober, co-anfitrião do Cyber ​​Coast ao podcast Costa. “Uma rede Zero Trust requer pelo menos um autenticador adicional caso o nome de usuário e a senha sejam comprometidos. O uso de MFA adiciona uma camada de segurança que dificulta significativamente a violação da rede. Com zero confiança, cada conta tem confiança limitada e o segmentado, que no caso de um hacker invadir, eles não podem trabalhar lateralmente em toda a rede porque estão limitados em seu o a esse segmento de conta específico.”

Por outro lado, os hackers também podem ter percebido o quão lucrativo o ransomware pode realmente ser ao analisar os milhões de dólares extorquidos do Colonial Pipeline e outros ataques críticos de infraestrutura. Parsons diz que um ataque dessa escala e a quantidade de dinheiro gerada por trás dele podem ter encorajado grupos semelhantes a investigar operações maliciosas em grande escala.

“Acho que o maior fator de reforço para esses grupos após esse ataque é que ele compensa”, disse Parsons. “Esses caras estão visando especificamente operações que eles sabem que são grandes e terão impacto sobre eles e seus clientes. Pode criar muito pânico e perturbação para a população. Eu penso [hackers] estão percebendo que, se essas grandes corporações forem violadas com sucesso com ransomware, haverá um bom pagamento.”

Embora as circunstâncias por trás do ataque tenham sido infelizes, as informações coletadas do ataque Colonial Pipeline podem ter sido necessárias a longo prazo para todos no campo da segurança cibernética. Ao forçar uma variedade de organizações de vários setores a se autoavaliarem, o próximo grande ataque em áreas críticas de infraestrutura pode evitar um hack caro e desastroso no futuro.