I värsta fall blir det inte mycket värre än att hela företaget raderar alla anslutna enheter. Ändå är det den verklighet som det amerikanska medicinteknikföretaget Stryker står inför efter att ha blivit drabbade av pro-iranska hackare den 11 mars. Handala-gruppen hävdade att de hade raderat 200 000 slutpunkter och stulit 50 TB data. Tiden får utvisa om detta är korrekt eller inte, men i skrivande stund, Stryker erkände att attacken ”resulterade i en global störning av företagets Microsoft-miljö”.
Frågan är i vilken utsträckning brittiska organisationer kommer att exponeras när cyberkriget eskalerar. Om den nuvarande regimen ger sig in i det långa loppet och börjar slå ut online, kan det förebåda början på en farlig ny period.
Är det dags att oroa sig?
National Cyber Security Center (NCSC) utfärdat vägledning den 2 mars, strax efter att amerikanska och israeliska bomber började falla över Iran. Man tror inte att det har skett någon "betydande förändring i det direkta cyberhotet från Iran". Även om Stryker-attacken inte verkar ha förändrat denna kalkyl, kan denna bedömning komma att förändras i framtiden. Drönare har redan avfyrats mot en RAF-flygbas på Cypern. Så det är inte uteslutet att cyberattacker också kan utlösas mot brittiska företag, särskilt de med israeliska kopplingar (som Stryker har gjort).
Organisationer som behöver vara mer oroade är de som har närvaro (dvs. filialkontor) eller leveranskedjor i Mellanöstern. Risken kan härröra från fysiska eller digitala attacker. Tre AWS-datacenter i Förenade Arabemiraten och Bahrain har redan blivit träffade av drönare vilket kan leda till avbrott, till exempel. Samtidigt skulle cyberattacker mot filialkontor eller regionala leveranskedjor teoretiskt sett kunna göra det möjligt för inkräktare att få fotfäste i system med syfte att flytta in i anslutna nätverk någon annanstans.
För att ytterligare öka oron har Islamiska revolutionsgardet (IRGC) nu utsett flera amerikanska teknikföretag som måltavlor på grund av israeliska kopplingar eller molntjänster, enligt Flashpoint. Dessa är AWS, Google, Microsoft, Oracle och IBM, samt Nvidia och Palantir. Regionala bankcentra med kopplingar till USA och Israel har också pekats ut av regimen.
Vad du kan förvänta
Om brittiska företag och/eller deras partners pekas ut av iranska hackare, vad kan de förvänta sig? analys av Halcyon, hotet kommer potentiellt från statsstödda hackare och kopplade hacktivistgrupper:
"Vi förväntar oss att Iran kan komma att använda försök till förvirring, ombud och destruktiva verktyg mot amerikanska nätverk under de kommande veckorna:"
- Använda distribuerad överbelastningsattack (DDoS) mot webbhotellleverantörer.
- Implementera ransomware innan en organisations data raderas och/eller använda destruktiv programvara, eller skadlig kod, som gör systemåterställning omöjlig.
- Utnyttja långsiktig åtkomst för spionage och datautvinning för destruktiva attacker och/eller för att lokalisera dissidenter för vidare måltavlor.”
Det borde vara oroande att iranska hotaktörer redan kan vara förplacerade i vissa företagsnätverk, enligt denna rapportTankesmedjan Centrum för strategiska och internationella studier (CSIS) sägerFinansiella tjänster, vattenbolag och transportinfrastruktur, av vilka många är beroende av föråldrade kontrollsystem, är fortfarande attraktiva mål för iranska aktörer i takt med att den kinetiska konflikten intensifieras.
Michael Crean, vice vd för hanterade tjänster på SonicWall, berättar för IO (tidigare ISMS.online) att hotaktörer går bort från "storskalig skanning och DDoS-aktivitet" och istället utnyttjar sårbarheter.
”Angripare riktar sig i allt högre grad mot webbapplikationer, databaser och servrar med hjälp av tekniker som SQL-injektion, sökvägstraversering och fjärrkodkörning. Den här typen av attacker är ofta utformade för att få initial åtkomst till system innan de går djupare in i ett nätverk”, fortsätter han.
"Om spänningarna fortsätter kan vi få se störande aktivitet som webbplatsförstöring, datastöld och läckor, eller DDoS-attacker mot offentliga tjänster. Destruktiv skadlig kod som rutnätsrensare är möjlig under eskalering, även om aktuell data huvudsakligen tyder på undersökningar och utnyttjande snarare än utbredda destruktiva attacker."
Dags att bygga motståndskraft
Förstörelse var spelets namn hos Stryker, och enligt rapporter det krävde inte ens leverans av skadlig kod – bara att ett Intune-administratörskonto komprometterades. Det visar varför holistiska insatser för att förbättra motståndskraften måste prioriteras.
NCSC uppmanar brittiska CISO:er att konsultera tidigare utfärdade råd om DDoS attacker, nätfiskeaktivitet och inriktning av industriella styrsystem (ICS). För de som har leveranskedjor eller kontor i regionen rekommenderas dess guide till motståndskraft vid ökade hot. Leverantörer av kritisk infrastruktur (CNI) är uppmanas att förbereda sig nu.
SonicWalls Crean säger att IT-chefer bör fokusera på synlighet, patchning och förberedelser.
”Företag bör också granska sin exponering mot leveranskedjan och bedöma cybersäkerhetssituationen hos viktiga leverantörer och partners. Förbättrad övervakning av ovanlig autentiseringsaktivitet, avvikelser i webbapplikationer och sidoförflyttning kan hjälpa till att upptäcka tidiga tecken på kompromisser”, tillägger han.
”Slutligen bör planer för incidenthantering testas och vara klara så att organisationer kan reagera snabbt om cyberaktivitet kopplad till geopolitiska spänningar börjar sprida sig.”
James Shank, chef för hotoperationer på Expel, uppmanar säkerhetschefer att hålla huvudet kallt och fokusera på "grunderna" för att förbättra säkerhetsställningen.
”Betona vikten av att vara misstänksam mot kommunikation och tillämpa detta även på din servicedesk. Överväg att lägga till ytterligare kontroller för saker som lösenordsåterställningar eller MFA-ändringar”, säger han till IO. ”Skärp autentiseringen genom att öka frekvensen av utmaningar, minska timeouts för sessioner och genomdriva strängare kontroller av åtkomstpolicyer. Genomdriv lägsta möjliga privilegier och lås åtkomsthanteringen.”
CISO:er bör också granska loggaktivitet för misstänkta inloggningar, sidoförflyttningar och eskalering av privilegier, med beaktande av möjligheten till förpositionerad åtkomst. OT-observabilitet är också viktig, så OT/ICS bör inkluderas i dessa revisioner.
”Slutligen, öka kommunikationen mellan era team”, råder Shank. ”Kontextdelning mellan säkerhet, IT, OT och verksamheten saktar ner angripare mer än folk förväntar sig.”
Disciplin mitt i kaos
Standarder som ISO 27001 kan spela en viktig roll i tider som dessa för att upprätthålla disciplin, fortsätter Shank. ”Krissituationer kan leda till kaos, överdriven omställning och bristande tydlighet kring prioriteringar”, säger han. ”Ramverk ger vägledning för att upprätthålla tydlig och konsekvent ansvarsskyldighet, vilket innebär att kaos hanteras och noggrannhet råder.”
SonicWalls Crean håller med och menar att ramverk för bästa praxis ger en välbehövlig struktur för hantering av cyberrisker.
”ISO 27001 är ett globalt ramverk för att bygga ett ledningssystem för informationssäkerhet som hjälper organisationer att identifiera kritiska tillgångar, bedöma risker och implementera lämpliga kontroller. Det täcker områden som åtkomsthantering, incidenthantering, leverantörssäkerhet och affärskontinuitet”, avslutar han.
”Även om standarder inte ensamma kan förhindra cyberattacker, bidrar de till att säkerställa att organisationer har den styrning, de processer och den motståndskraft som krävs för att reagera effektivt när hoten ökar under perioder av geopolitisk spänning.”
Utöka din kunskap
Podcast: Nätfiske för problem Avsnitt #04: Är du i försvarets frontlinje?
Blogg: Från perimetersäkerhet till identitet som säkerhet
Blogg: Bygg en gång, följ överallt: Handboken för efterlevnad av flera ramverk
