Angrep på strømforsyning i Ukraina

Denne hendelsen er beskrevet er mer detalj i min bloggpost.

Russland angrep strømforsyningene i Ukraina 23. desember 2015 og slo ut strømmen for over 225.000 mennesker. Russland gjorde nye suksessfulle angrep på infrastrukturen 10. og 12. oktoner 2022. Et meget avansert og godt planlagt angrep som vedvarte uoppdaget i infrastrukturen i flere måneder.

Kritisk infrastruktur, snart underlagt NIS2, er noe annet enn tradisjonell IT infrastruktur, og burde ha sikkerhet på en mye høyere nivå. Men dette er ikke alltid tilfelle, og jeg anbefaler derfor å lese blogg artikkelen for mer detaljer, inkludert en Mandiant artikkel.

Her beskrives som vanlig noen tiltak og deres relevans for dette angrepet. I blogg artikkelen beskrives ytterligere tiltak.

DAAS

DAAS er et akronym som står for Data, Applications, Assets og Services, som definerer de sensitive ressursene. DAAS-elementer inkluderer:

Data – Dette er sensitive data som kan få en organisasjon i trøbbel hvis blir eksfiltrert eller misbrukt. Eksempler på sensitive data inkluderer betalingskortinformasjon (PCI), beskyttet helseinformasjon (PHI), personlig identifiserbar informasjon (PII) og intellektuell eiendom (IP)

Applikasjoner – Vanligvis er dette applikasjoner som bruker sensitive data eller kontrollerer kritiske eiendeler.

Eiendeler – Eiendeler kan inkludere IT (informasjonsteknologi), OT (operativ teknologi) eller IIoT (Internet of Things) enheter som for eksempel terminaler for salg, SCADA-kontroller, produksjonssystemer og medisinsk utstyr i nettverk.

Tjenester – Dette er sensitive tjenester som er svært skjøre som virksomheten din er avhengig av. De vanligste tjenestene som bør beskyttes på en Zero Trust-måte inkluderer DNS, DHCP, Active Directory og NTP.

Her er en oversikt over tiltak som ville bidratt til å avverge hendelsen

MFA på eksterne DAAS

Hendelsen i 2015 involverte VPN som mest sannsynlig hadde manglende MFA. Men hendelsen i 2022 startet via en webtjeneste og hadde ikke noe med MFA og gjøre

Segmentering med Least Privilege

Artikkelen fra Mandiant som jeg refererer til i blogg artikkelen beskriver viktigheten av god segmentering med god tilgangskontroll. Dette hadde mest sannsynlig bidratt til å forhindre hendelsen

MFA på interne DAAS

Interne bevegelser til forskjellige systemer skjedde, og MFA ville vanskeliggjort aktivitetene.

VG testen (Least Privilege)

Dette kommer opp som et relevant punkt veldig tidlig i angreps tidsforløpet, og adressering av VG testen ville vanskeliggjort videre suksess for russerne.

Sentralisert logging med SOC

Med tanke på at angrepet foregikk i flere måneder før skaden var et faktum, sier det seg selv at selv om russerne var flinke, vil de legge igjen flere spor som burde oppdages med god logging og overvåking.

Klienter ut av ‘nettet med Always-On VPN

Dette er nok ikke relevant for denne saken og de fleste kritiske infrastrukturer.

Konklusjon

Bloggartikkelen min forklarer mer utdypende, samt viser til en meget bra Mandiant artikkel. Med mennesker som antar suksessfulle innbrudd, antar at uvedkommende er på innsiden og deretter tenker Zero Trust, vil man kunnet avverge denne hendelsen. Det handler om mennesker mer enn teknologi. Suksessfulle hendelser skjer i tillatt trafikk.