Während sich die USA und Russland diese Woche um die Ukraine streiten, haben die US-Cybersicherheitsbehörden Leitlinien zum Umgang mit staatlich geförderten Cyber-Bedrohungen Russlands gegen kritische US-Infrastruktur veröffentlicht.

Die gemeinsame Stellungnahme wurde am Dienstag veröffentlicht von der Cybersecurity and Infrastructure Security Agency (CISA), dem FBI und der National Security Agency (NSA) ist Teil ihrer „fortlaufenden Cybersicherheitsmission, Organisationen vor Cyberbedrohungen zu warnen und der Cybersicherheitsgemeinschaft zu helfen, das Risiko dieser Bedrohung zu verringern“.

Aber – vielleicht zufällig – kam es auch am Tag nach acht Stunden fruchtloser Gespräche zwischen den Vereinigten Staaten und Russland über Moskaus Truppenaufstockung an der Grenze zur Ukraine und Russlands Forderung, die Ukraine nicht in die NATO aufzunehmen. sagt Reuters Russland hat wiederholt erklärt, es habe nicht die Absicht, die Ukraine anzugreifen.

Russische Beamte werden sich am Mittwoch auch mit der NATO in Brüssel und am Donnerstag mit der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) in Wien treffen.

In ihrem Leitfaden bieten die US-Behörden einen Überblick über staatlich geförderte Cyberoperationen Russlands, häufig beobachtete Taktiken, Techniken und Verfahren (TTPs), Erkennungsmaßnahmen, Tipps zur Reaktion auf Vorfälle und Minderungsmaßnahmen.

„CISA, das FBI und die NSA ermutigen die Cybersicherheitsgemeinschaft – insbesondere die Verteidiger kritischer Infrastrukturnetzwerke –, einen erhöhten Bewusstseinszustand anzunehmen und sich an der proaktiven Jagd nach Bedrohungen zu beteiligen“, heißt es in dem Bericht.

Zu den vom Privatsektor kontrollierten kritischen Infrastrukturen gehören Finanzen, Transport, Wasser- und Stromversorgung, Gesundheitswesen, Lebensmittel und Transport.

Der Bericht listet eine Reihe von Angriffen auf, die kürzlich von von Russland gesponserten Bedrohungsakteuren verwendet wurden (z. B. Schwachstellen in Microsoft Exchange, Fortinet FortiGate VPNs, Citrix, Oracle WebLogic und anderen Produkten). Die US-Behörden schreiben den Verstoß gegen den Sicherheitsaktualisierungsmechanismus von SolarWinds Orion – einen der größten Angriffe auf die Lieferkette in der Geschichte – einer in Russland ansässigen Gruppe mit dem Namen „Synchronisiert“ zu Nobelium.

Der Bericht vom Dienstag besagt, dass von Russland unterstützte Bedrohungsgruppen gängige, aber effektive Taktiken anwenden, darunter Spear-Phishing, Brute-Force und das Ausnutzen von Schwachstellen. „Russische staatlich geförderte APT-Akteure haben auch ausgeklügelte handwerkliche und Cyber-Fähigkeiten unter Beweis gestellt, indem sie die Infrastruktur von Drittanbietern kompromittiert, Software von Drittanbietern kompromittiert oder benutzerdefinierte Malware entwickelt und eingesetzt haben. Die Akteure haben auch die Fähigkeit unter Beweis gestellt, in kompromittierten Umgebungen, einschließlich Cloud-Umgebungen, mit legitimen Anmeldeinformationen einen dauerhaften, unentdeckten und langfristigen Zugriff aufrechtzuerhalten“, heißt es in dem Bericht.

In einigen Fällen, fügt der Bericht hinzu, haben staatlich geförderte Cyber-Operationen Russlands gegen Organisationen mit kritischer Infrastruktur gezielt Netzwerke der Betriebstechnologie (OT)/industrielle Kontrollsysteme (ICS) mit zerstörerischer Malware ins Visier genommen.

Aber wenn es darum geht, sich zu wehren, rät der Bericht zu geeigneten Methoden beliebig Bedrohungsakteur: Wenden Sie Best Practices in den Bereichen Identitäts- und Zugriffsmanagement, Kontrollen und Schutzarchitektur sowie Schwachstellen- und Konfigurationsmanagement an.

Sie beinhalten:

  • Erstellen, Pflegen und Implementieren eines Plans zur Reaktion auf Cybervorfälle und zur Geschäftskontinuität;
  • sicherstellen, dass Sicherungsdaten offline und sicher sind;
  • über einen Resilienzplan verfügen, der erklärt, wie Sie vorgehen müssen, wenn Sie den Zugriff auf oder die Kontrolle über die Computer- und/oder OT-Umgebung (Operational Technology) verlieren;
  • Testen Sie regelmäßig manuelle Kontrollen, damit kritische Funktionen weiterhin funktionieren können, wenn industrielle Kontrollsysteme (ICS) oder OT-Netzwerke offline geschaltet werden müssen;
  • die Forderung nach Multi-Faktor-Authentifizierung für alle Benutzer ausnahmslos und Anwendung des Prinzips der geringsten Rechte (Zugriff auf sensible Daten oder Geräte nur denjenigen zu gewähren, die ihn benötigen);
  • Identifizieren, erkennen und untersuchen Sie anomale Aktivitäten, die auf eine seitliche Bewegung eines Bedrohungsakteurs oder von Malware hinweisen können;
  • Segmentierung von IT- und OT-Netzwerken;
  • strenge Konfigurationsmanagementprogramme implementieren;
  • Deaktivieren Sie alle unnötigen Ports und Protokolle.

“Hier gibt es einige gute Ratschläge von den Agenturen”, sagte Tim Helming, Sicherheitsevangelist bei DomainTools, “Obwohl es verlockend ist, es als Mutterschaft und Apfelkuchen zu betrachten: Die überwiegende Mehrheit der Eigentümer und Betreiber kritischer Infrastrukturen ist sich der Bedrohungen bewusst und kennt auch viele der grundlegenden Schritte zur Stärkung ihrer Vermögenswerte gegen diese Bedrohungen. Viele in Die Community kritischer Infrastrukturen nimmt bereits eine Haltung ein, die auf dem basiert, was wir über die Fähigkeiten dieser Akteure wissen: die Verfahren und Tools zur Verbesserung der Asset-Sichtbarkeit und des Schwachstellenmanagements, des Identitäts- und Zugriffsmanagements, des Protokollmanagements, der Ein- und Ausgabe Filterung, Erkennung von Anomalien und Verhaltensanalysen werden alle als grundlegende Notwendigkeiten anerkannt, und man kann mit Sicherheit sagen, dass sie in den meisten Einrichtungen mehr oder weniger aktiv verbessert werden.

“Warum haben CISA et al. das Advisory herausgegeben? Zum Teil, weil es eine krasse Abkehr gewesen wäre, wenn sie nicht registriert worden wären und ein Kompromiss bestätigt worden wäre. Es gibt auch Eigentümern und Betreibern, die mit Ressourcenengpässen konfrontiert sind, mehr Unterstützung bei ihren Anträgen, und es Es ist wichtig, nicht zu unterschätzen, wie wichtig dies sein kann.