Tento týždeň vyšiel najavo obzvlášť poučný – a alarmujúci – incident v oblasti kybernetickej bezpečnosti: Rumunský národný vodohospodársky úrad zasiahnutý útokom ransomvéru, teda ten Administrația Națională Apele Române organizácie. Útok bol vykonaný pomocou metódy založenej na BitLockeri a hoci OT systémy riadiace vodárenskú infraštruktúru neboli nakoniec ohrozené, poškodenie IT prostredia samo o sebe predstavuje vážne prevádzkové a regulačné riziko.
Podľa dostupných informácií približne 1000 pracovných staníc stala sa nepoužiteľnou a Postihnutých bolo 10 z 11 regionálnych kancelárií. Systémy GIS, databázy, e-mailové služby a webové servery boli nefunkčné, zatiaľ čo útočníci požadovali výkupné. Tento incident opäť jasne ukázal, že pre organizáciu prevádzkujúcu kritickú infraštruktúru stačí samotné zlyhanie IT systémov na ohrozenie vykonávania základných úloh.
Jedným z najdôležitejších ponaučení príbehu však nie je samotný fakt útoku, ale ako sa to stalo. Útočníci nepracovali s klasickým, ľahko rozpoznateľným ransomvérom, ale ako zbraň použili legitímnu systémovú funkciu – šifrovanie disku BitLocker. Po infiltrácii sa v sieti pohybovali laterálne a následne aktivovali šifrovanie lokálne. Tradičné antivírusové a EDR riešenia sú v tejto situácii prakticky bezmocné: „nevidia” skutočný malvér, pretože je spustená vstavaná funkcia systému Windows.
Toto je presne ten scenár, v ktorom reaktívna ochrana založená na podpisoch nie je pripravená. V čase, keď sa spustí upozornenie EDR, sú dáta už zašifrované, obchodné operácie sa zastavili a organizácia stojí pred voľbou: zaplatiť alebo začať zdĺhavý proces obnovy. V prípade inštitúcie prevádzkujúcej kritickú infraštruktúru v rámci NIS2 nejde len o technickú, ale aj regulačné a zodpovednostné otázky tiež.
A tu prichádza skutočná otázka „čo keby”. skutočne preventívna ochrana koncových bodov založená na umelej inteligencii v tomto prípade by zasiahol oveľa skôr. Hlboký inštinkt Napríklad jeho technológia hlbokého učenia nerobí rozhodnutia na základe behaviorálnych vzorcov alebo známych podpisov, ale skôr analyzuje matematické charakteristiky kódu a... blokuje útok pred jeho vykonaním. To znamená, že neznámy ransomvér s nulovou ochranou – vrátane útokov, ktoré zneužívajú BitLocker – jednoducho nedosiahne bod, kedy by spôsobil akékoľvek škody.
Ďalšou výhodou riešenia je, že NGAV a EDR v jednom, s extrémne nízkou mierou falošných poplachov, ktorá nepreťažuje tímy SOC a je schopná robiť rozhodnutia aj v offline prostredí. Ak toto všetko robíte v Hviezdna kybernetika Ak ho doplníme webovou platformou XDR, získame kompletný obraz o pokusoch o útok nielen na koncových bodoch, ale aj na strane siete a servera.
Prípad rumunského vodohospodárskeho úradu je dokonalým príkladom toho, ako Ak BitLocker už šifruje, je už neskoro. V tomto prípade neexistujú žiadne dáta, žiadny systém, žiadna prevádzka – iba krízový manažment. Pri preventívnom prístupe však nedochádza k strate dát, k výkupnému ani k nútenému vypnutiu.
Otázkou dnes už nie je, či je organizácia pod útokom. Otázkou je, či Všimneme si to včas – alebo sa to nestane vôbec?. Pre kritické infraštruktúry a organizácie ovplyvnené NIS2 to nie je technologický luxus, ale základná požiadavka.