Na 3 pytania firm transportowych dotyczące cyberzagrożeń odpowiada Trellix, wiodący usługodawca w branży cyberbezpieczeństwa

GEODIS przeprowadził rozmowę z Mo Cashmanem, jednym z liderów Trellix w dziedzinie cyberbezpieczeństwa, prosząc o opinie na temat ryzyka cybernetycznego w odniesieniu do firm logistycznych i transportowych oraz sposobów jego kontrolowania. Nasz rozmówca dzieli się również swoimi poglądami na temat suwerenności i bezpieczeństwa danych.
Trellix to nazwa nowego globalnego potentata w branży cyberbezpieczeństwa, który powstał w wyniku połączenia McAfee Enterprise i FireEye (październik 2021 r.).

Jakie środki przeciwko cyberatakom powinna wdrożyć firma logistyczna i transportowa, aby chronić swoich klientów?

Branża transportowa stoi w obliczu wielu takich samych zagrożeń dla towarów jak większość przedsiębiorstw cyfrowych. Jednak ze względu na znaczenie dla infrastruktury i gospodarki, a także dużą ilość wykorzystywanych aplikacji chmurowych, coraz częściej branża ta jest atakowana przez ransomware osłabiające odporność natywnych aplikacji chmurowych.

Ostatnio wykorzystanie oprogramowania ransomware jako usługi okazało się skutecznym sposobem na zakłócenie działalności biznesowej. W ostatnim kwartale sektor transportowy był na drugim miejscu pod względem ilości ataków za pomocą ransomware(źródło: Trellix Threat Intelligence).

Ważne jest, aby zrozumieć, że atak ransomware nie zaczyna się od szyfrowania. Większość współczesnych zagrożeń ze strony ransomware to ataki wieloetapowe. Aby chronić się przed nimi, większość organizacji stosuje już odpowiednie środki kontroli, takie jak Endpoint Security, EDR, bezpieczne serwery proxy sieci Web i zabezpieczenia poczty elektronicznej. Często jednak w SOC nie ma procesów wykrywania zagrożeń i reagowania umożliwiających wykrycie trwającego ataku oraz brakuje inwestycji w możliwości XDR ułatwiające wykrywanie zagrożeń i testowanie procesów reagowania na incydenty, co ma kluczowe znaczenie dla odporności na ataki za pomocą oprogramowania ransomware.

Innym kluczowym wektorem ataku na firmy transportowe są interfejsy API i aplikacje chmurowe. Obecnie ponad 80% całego ruchu internetowego to usługi oparte na interfejsach API. Aplikacje w chmurze (SaaS, PaaS lub IaaS) zmieniły sposób, w jaki interfejsy API są projektowane i wykorzystywane przez programistów. Interfejsy API stały się podstawą większości nowoczesnych aplikacji, które obecnie wykorzystujemy. Zasięg i popularność niektórych z tych aplikacji w chmurze, a także wartość kluczowych danych, które zawierają, sprawiają, że interfejsy API stają się lukratywnym celem dla przestępców. Sieciowa charakterystyka interfejsów API potencjalnie stwarza dodatkowe zagrożenia dla firm, ponieważ stają się one wektorem wejścia dla szerszych ataków na łańcuch dostaw. W większości przypadków ataki na interfejsy API pozostają niezauważone, ponieważ są one uważane za kanały zaufane i nie korzystają z tego samego poziomu kontroli zarządzania i bezpieczeństwa.

Jak reagować? W tym kontekście uzyskanie wglądu w korzystanie z obu aplikacji, z możliwością analizy przejętych interfejsów API powinno być priorytetem dla organizacji, aby ostatecznie uzyskać oparty na ryzyku rejestr używanych interfejsów API i politykę zarządzania kontrolującą dostęp do tych usług, ale także do podmiotów nienależących do użytkowników w infrastrukturze, takich jak konta usług i zasady aplikacji, które integrują interfejsy API z oparty na ryzyku rejestr używanych interfejsów API i politykę zarządzania szerszym ekosystemem przedsiębiorstwa.

Dla programistów priorytetem powinno być opracowanie efektywnego modelu zagrożeń dla ich interfejsów API oraz wdrożenie mechanizmu kontroli dostępu opartego na zerowym zaufaniu, podobnie jak skuteczne rejestrowanie bezpieczeństwa i telemetria w celu poprawy reakcji na incydenty i wykrywania złośliwego użycia.

Firma transportowa musi chronić dane i utrzymywać ich dostępność, aby sprostać potrzebom klientów. W tym celu zwiększenie poziomu ochrony wymaga lepszego kontrolowania bezpieczeństwa w chmurze i zabezpieczenia się przed atakami aplikacji ransomware.

Główna kwestia wymagająca uwagi podczas kodowania:

1. Niewłaściwa konfiguracja interfejsów API powodująca niepożądane ujawnianie informacji
2. Wykorzystanie nowoczesnych mechanizmów uwierzytelniania, takich jak Oauth/Golden SAML, w celu uzyskania dostępu do interfejsów API i utrzymania się w środowiskach docelowych.
3. Istnieją już nowe formy tradycyjnych ataków złośliwego oprogramowania z wykorzystaniem większej liczby interfejsów API chmury, takich jak Microsoft Graph API, do lądowania i rozbudowy i są na to dowody w postaci ataków Solarwinds, czy APT40/ GADOLINIUM.
4. Potencjalne niewłaściwe użycie interfejsów API w celu rozpoczęcia ataku na dane przedsiębiorstwa, na przykład ataku ransomware na usługi przechowywania danych w chmurze, takie jak OneDrive.
5. Korzystanie z interfejsów API dla budowania infrastruktury zdefiniowanej programowo to również potencjalne niewłaściwe użycie prowadzące do całkowitego przejęcia infrastruktury lub utworzenia infrastruktury ukrytej w celu realizacji złośliwych zamiarów.

W obliczu wdrożenia IOT w całym łańcuchu dostaw i w kontekście rozszerzonego ekosystemu, w jaki sposób firma logistyczna i transportowa może kontrolować ryzyko cybernetyczne?

Zero Trust i Cyber Resilience to dwie zasady bezpieczeństwa, które firmy transportowe powinny przyjąć jako strategię zarządzania ryzykiem.

NIST Special Publication definiuje Zero Trust jako rozwijający się zestaw paradygmatów cyberbezpieczeństwa, które przenoszą ochronę ze statycznych obwodów sieciowych na użytkowników i zasoby. Zasada Zero Trust wymaga, aby nie uznawać za zaufane żadnych aktywów wyłącznie w oparciu o fizyczny lub sieciowy segment ich lokalizacji. Dotyczy to na przykład urządzeń IOT.

Z drugiej strony odporność na zagrożenia cybernetyczne to zdolność organizacji do ciągłego dostosowywania swoich zasad bezpieczeństwa, wykrywania zagrożeń i szybkiego reagowania na nie, aby skutecznie działać w trudnych warunkach. W dzisiejszych czasach cyberodporność wymaga architektury zabezpieczeń opartej na zerowym zaufaniu, w połączeniu z innymi rozwiązaniami w zakresie zapewniania bezpieczeństwa, takimi jak ciągłość działalności i ochrona informacji, aby zagwarantować organizacji odporność. Firmy transportowe, takie jak organizacje produkcyjne lub placówki służby zdrowia, są uważane za infrastrukturę krytyczną w wielu krajach na całym świecie. Ich zdolność do działania w warunkach cyberataku na technologię operacyjną lub na usługi hostowane w chmurze będzie miała kluczowe znaczenie zarówno dla sukcesu poszczególnych firm, jak i ich odporności.

Ponieważ Zero Trust jest zasadą i strategią dotyczącą architektury, prawdopodobnie jej wdrażanie będzie procesem wieloetapowym. Oto kilka zalecanych punktów początkowych:

Wdrożenie ciągłego monitorowania we wszystkich systemach przedsiębiorstwa Monitorowanie powinno być nie tylko gromadzeniem i przechowywaniem dzienników, lecz proaktywnym monitoringiem potencjalnej złośliwej aktywności w całym przedsiębiorstwie oraz zmian lub luk w zabezpieczeniach krytycznych lub formie usługi, a także anomalii w aktywności użytkowników.

Pozyskiwanie maksymalnej ilości informacji na temat zasobów i usług przedsiębiorstwa. Poszukiwanie i zrozumienie zasobów powinno wykraczać poza systemy zarządzane przez IT i urządzenia użytkowników końcowych. Zgodnie z zasadami Zero Trust wszystkie źródła danych i usługi obliczeniowe są zasobami. Tak więc odkrycie i zrozumienie zasobów powinno obejmować usługi w chmurze, BYOD, systemy automatyzacji OT należące do wykonawcy oraz systemy pracowników i dostawców uzyskujące dostęp do zasobów i danych przedsiębiorstwa.

Wyeliminowanie stref zaufanych i zasobów mikrosegmentów. Kluczową zasadą Zero Trust jest nie udzielanie dostępu do zasobów przedsiębiorstwa wyłącznie w oparciu o lokalizację lub segment sieci. Jest to szczególnie ważne między systemem miejsca pracy a systemami przemysłowymi, ale także obejmuje sieci zdalnego dostępu dostawców lub pracowników, a także mikrosegmentację między kluczowymi systemami biznesowymi a systemami bezpieczeństwa.

Jak postrzegasz bezpieczeństwo i kontrolę nad danymi, które są coraz częściej przechowywane w infrastrukturze chmurowej, będącej własnością dużych amerykańskich i wkrótce chińskich firm, które nie są ściśle kontrolowane?

To problem, który stanowi wyzwanie i uważam, że musimy przyjąć podejście trójetapowe.

Po pierwsze, ochrona danych klientów przed kradzieżą i zagrożeniami zewnętrznymi, niezależnie od platform hostingowych infrastruktury chmurowej czy własności, jest moim zdaniem priorytetem. Jest to wspólna odpowiedzialność właściciela danych (firmy transportowej) i dostawcy usług w chmurze. Firmy transportowe muszą dopilnować, aby aplikacje stworzone do pracy na platformach chmurowych były bezpieczne, a dostęp był monitorowany pod kątem oznak naruszenia bezpieczeństwa. Dostawcy usług w chmurze muszą dopilnować, aby komponenty Iaas i Paas były bezpieczne i przedstawić niezbędne certyfikaty stron trzecich jako dowód wprowadzenia odpowiednich środków kontroli.

Po drugie, właściciele danych i aplikacji muszą zapewnić prywatność w fazie projektowania i budowy aplikacji napędzających systemy IOT. Minimalizacja gromadzenia danych do niezbędnych elementów, ochrona danych poprzez szyfrowanie i przestrzeganie lokalnych przepisów dotyczących prywatności, takich jak RODO lub Popia będą miały kluczowe znaczenie dla zarządzania ryzykiem.

Wreszcie organy rządowe, dostawcy usług w chmurze i branża powinni współpracować, aby zapewnić wspólne zrozumienie granic cyfrowych i rozwiązań, które mogą spełnić wymogi prawne bez narażania na szwank suwerenności lub prywatności danych.