Hlavní navigace

Postřehy z bezpečnosti: (kybernetickým) cvičením ke zdraví

13. 6. 2022
Doba čtení: 4 minuty

Sdílet

Ilustrační obrázek Autor: Depositphotos.com, podle licence: Rights Managed
V dnešním díle Postřehů se podíváme na cvičení Cyber Europe 2022, nový rámec pro řízení rizik dodavatelských řetězců MITRE SoT i netradiční přístup ke komunikaci ze strany ransomwarové skupiny LockBit…

Proběhlo bezpečnostní cvičení Cyber Europe 2022

Ve dnech 8. a 9. června se konal letošní ročník Cyber Europe – jednoho z největších evropských cvičení zaměřených na kybernetickou bezpečnost. Tento rok bylo cvičení zaměřené na zvládání útoků na zdravotnické instituce a zúčastnilo se jej přes 760 hráčů z 29 zemí. Testovány byly operativní, technické i komunikační kapacity v rámci jednotlivých států i na mezinárodní úrovni.

Česká účast byla, jako obvykle, relativně silná – pod taktovkou CSIRT.CZ se v různých rolích do cvičení zapojilo přes 50 bezpečnostních specialistů z 9 CSIRT týmů a řady institucí z akademické, veřejné i soukromé sféry.

MITRE publikovalo nový rámec pro řízení rizik dodavatelských řetězců

Na konferenci RSA konané v uplynulém týdnu představili zástupci organizace MITRE Corporation rámec System of Trust (SoT) zaměřený na identifikaci a zvládání rizik spojených s dodavatelskými řetězci. Rámec se specificky zabývá problematikou rizik spojených s dodavateli, dodávanými produkty a komponentami a službami, přičemž tyto oblasti dělí do 14 samostatných kategorií, na něž jsou mapována konkrétní rizika.

Vzhledem k tomu, že SoT je (resp. do budoucna bude – aktuálně jsou některé jeho prvky stále ve stádiu beta verzí) k dispozici zdarma, lze jej po uvolnění finální podoby souvisejících nástrojů a metodik doporučit i pozornosti českých specialistů, kteří se věnují problematice řízení rizik.

NÚKIB publikoval novou verzi doporučení pro oblast kryptografických algoritmů

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal ve středu druhou verzi dokumentu popisujícího doporučení pro užívaní kryptografických prostředků.

Jde o první aktualizaci dokumentu původně publikovaného koncem roku 2018 a jedinou významnou změnou je doplnění doporučení/požadavků týkajících se algoritmů pro bezpečné ukládání hesel – specificky jsou pro tuto oblast za „schválené“ (v případě korektně nastavených parametrů/počtů iterací) považovány algoritmy Argon2, Scrypt a PBKDF2.

Netradiční forma komunikace ransomwarové skupiny

Skupina za ransomwarem LockBit v pondělí na portálu užívaném pro zveřejňování dat obětí informovala o plánovaném pozdějším uveřejnění dat firmy Mandiant, významného poskytovatele služeb v oblasti kybernetické bezpečnosti.

Předpokládalo se, že případný útok na Mandiant ze strany skupiny LockBit mohl být pomstou za zprávu publikovanou jmenovanou společností v předminulém týdnu, v níž její analytici upozorňují že jmenovaný ransomware začala používat skupina „Evil Corp“ ve snaze vyhnout se sankcím, které jsou na ni uvaleny ze strany ministerstva financí USA. Vzhledem k tomu, že uvedená zjištění by mohla mít pro skupinu za ransomwarem LockBit citelné negativní dopady, zejména pokud by se na ni rovněž citelněji zaměřily relevantní orgány v USA, nebyla možnost odvetného útoku zcela nerealistická.

Vyšetřování společnosti Mandiant však nevedlo k odhalení žádných důkazů o úspěšné kompromitaci jejích systémů ze strany jmenované skupiny a data, která později na portálu pro zveřejňování dat tato skupina publikovala, neměla na první pohled žádnou souvislost se společností Mandiant s výjimkou souboru „mandiantyellowpress.com.txt“, v němž se daná skupina vyhrazuje proti závěrům výše zmíněné zprávy a popírá jakoukoli vazbu na Evil Corp.

Zdá se tak, že ze strany ransomwarové skupiny byla celá aféra pouze pokusem o velmi hlasité distancování LockBitu od Evil Corp a snahou o vyhnutí se drobnohledu amerických federálních úřadů.

Kritická zranitelnost v Confluence aktivně zneužívána útočníky

V návaznosti na publikování PoC exploitu pro počátkem měsíce záplatovanou kritickou RCE 0-day zranitelnost v Atlassian Confluence (CVE-2022–26134), k němuž došlo koncem předminulého týdne, začaly různé skupiny útočníků v průběhu minulého týdne zmíněnou zranitelnost aktivně využívat.

Cílem některých útočných kampaní bylo „pouze“ využívání zranitelných systémů pro těžení kryptoměn avšak vybrané skupiny začaly zmíněnou zranitelnost využívat rovněž pro ransomwarové útoky.

Jakékoli instituci, která využívá platformu Confluence, je tak na místě doporučit její co nejrychlejší záplatování, zejména pokud je jí provozovaná instance publikovaná do internetu.

Zapojení USA do konfliktu na Ukrajině v rámci kybernetických operací

Zástupci RuskaČíny zareagovali na vyjádření velitele kybernetických sil USA z počátku měsíce, v němž médiím potvrdil že Spojené státy podnikly na podporu Ukrajiny v rámci aktuálně probíhajícího konfliktu řadu operací, včetně těch orientovaných ofenzivně.

Ze strany obou států byla pochopitelně slyšet na adresu USA silná kritika a ruský zástupce varoval před potenciálním vznikem přímého vojenského konfliktu v případě pokračující „militarizace kyberprostoru ze strany západu“.

CS24_early

V souvislosti se zmíněnými vyjádřeními stojí za zmínku vystoupení ředitelky CISA, agentury zodpovědné za oblast kybernetické bezpečnosti v USA, na konferenci RSA v průběhu uplynulého týdne, v němž mj. upozornila na pokračující potřebu ostražitosti před možnými útoky ze strany Ruska na západní organizace.

Další zajímavosti

Pro pobavení

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Byl pro vás článek přínosný?

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.