CISA Alerta (AA22-011A): Entendendo e mitigando ameaças cibernéticas patrocinadas pelo Estado russo à infraestrutura crítica dos EUA

A CISA, o FBI e a NSA incentivam todas as organizações a implementar as seguintes recomendações para aumentar sua resiliência cibernética contra essa ameaça.

Esteja preparado

Confirme os processos de relatório e minimize as lacunas de cobertura

• Desenvolver listas de contatos internos. Atribua os principais pontos de contato para um incidente suspeito, bem como funções e responsabilidades, e garanta que o pessoal saiba como e quando relatar um incidente.
• Minimize as lacunas na disponibilidade da equipe de segurança de TI/OT identificando suporte de pico para responder a um incidente. Atores cibernéticos maliciosos são conhecidos por atacar organizações nos fins de semana e feriados quando há falhas na segurança cibernética organizacional – as organizações de infraestrutura crítica devem se proteger proativamente, minimizando as lacunas na cobertura.
• Garanta que a equipe de segurança de TI/OT monitore os principais recursos de segurança interna e possa identificar comportamentos anômalos. Sinalize quaisquer IOCs e TTPs identificados para resposta imediata. (Consulte a tabela 1 para TTPs comumente observados).

Criar, manter e exercer uma resposta a incidentes cibernéticos, um plano de resiliência e um plano de continuidade de operações

• Criar, manter e exercer uma resposta a incidentes cibernéticos e um plano de continuidade de operações.
• Certifique-se de que os funcionários estejam familiarizados com as principais etapas que precisam tomar durante um incidente e estejam posicionados para agir de maneira calma e unificada. Principais perguntas:
  • Os funcionários têm o acesso de que precisam?
  • Eles conhecem os processos?
• Para ativos/redes OT,
  • Identifique um plano de resiliência que aborde como operar se você perder o acesso ou o controle do ambiente de TI e/ou TO.
    • Identifique as interdependências da rede OT e de TI e desenvolva soluções alternativas ou controles manuais para garantir que as redes ICS possam ser isoladas se as conexões criarem risco para a operação segura e confiável dos processos OT. Teste regularmente os planos de contingência, como controles manuais, para que as funções críticas de segurança possam ser mantidas durante um incidente cibernético. Certifique-se de que a rede OT possa operar na capacidade necessária, mesmo que a rede de TI esteja comprometida.
  • Teste regularmente os controles manuais para que as funções críticas possam ser mantidas em execução se as redes ICS ou OT precisarem ser desligadas.
  • Implemente procedimentos de backup de dados nas redes de TI e OT. Os procedimentos de backup devem ser realizados com frequência e regularidade. Teste regularmente os procedimentos de backup e garanta que os backups sejam isolados das conexões de rede que possam permitir a disseminação de malware.
  • Além de fazer backup de dados, desenvolva documentos de recuperação que incluam definições de configuração para dispositivos comuns e equipamentos OT críticos. Isso pode permitir uma recuperação mais eficiente após um incidente.

Melhore a postura cibernética da sua organização

A CISA, o FBI e a NSA recomendam que as organizações apliquem as práticas recomendadas abaixo para gerenciamento de identidade e acesso, controles e arquitetura de proteção e gerenciamento de vulnerabilidade e configuração.

Gerenciamento de identidade e acesso

• Exija autenticação multifator para todos os usuários, sem exceção.
• Exija que as contas tenham senhas fortes e não permita que senhas sejam usadas em várias contas ou armazenadas em um sistema ao qual um adversário possa ter acesso.
• Credenciais seguras. Atores de APT patrocinados pelo estado russo demonstraram sua capacidade de manter a persistência usando credenciais comprometidas.
  • Use soluções de virtualização em hardware e software modernos para garantir que as credenciais sejam armazenadas com segurança.
  • Desabilite o armazenamento de senhas de texto não criptografado na memória LSASS.
  • Considere desabilitar ou limitar o NTLM (New Technology Local Area Network Manager) e a autenticação WDigest.
  • Implemente o Credential Guard para Windows 10 e Server 2016 (consulte Microsoft: Gerenciar o Windows Defender Credential Guard para obter mais informações). Para Windows Server 2012R2, habilite a Luz de Processo Protegido para Autoridade de Segurança Local (LSA).
  • Minimize a superfície de ataque do Active Directory para reduzir a atividade maliciosa de concessão de tíquetes. Atividades maliciosas como “Kerberoasting” tiram proveito do TGS do Kerberos e podem ser usadas para obter credenciais com hash que os invasores tentam decifrar.
• Defina uma política de senha forte para contas de serviço.
• Audite os controladores de domínio para registrar solicitações bem-sucedidas do Kerberos TGS e garantir que os eventos sejam monitorados quanto a atividades anômalas.
  • Contas seguras.
  • Aplicar o princípio do privilégio mínimo. As contas de administrador devem ter a permissão mínima necessária para realizar suas tarefas.
  • Certifique-se de que haja contas administrativas exclusivas e distintas para cada conjunto de tarefas administrativas.
  • Crie contas não privilegiadas para usuários privilegiados e certifique-se de que eles usem as contas não privilegiadas para todos os acessos não privilegiados (por exemplo, navegação na web, acesso a e-mail).

Controles de proteção e arquitetura

• Identifique, detecte e investigue atividades anormais que possam indicar movimento lateral de um agente de ameaça ou malware. Use ferramentas de monitoramento de rede e logs baseados em host e ferramentas de monitoramento, como uma ferramenta de detecção e resposta de endpoint (EDR). As ferramentas de EDR são particularmente úteis para detectar conexões laterais, pois têm informações sobre conexões de rede comuns e incomuns para cada host.
• Ative filtros de spam fortes.
  • Habilite filtros de spam fortes para evitar que e-mails de phishing cheguem aos usuários finais.
  • Filtre e-mails contendo arquivos executáveis ​​para evitar que cheguem aos usuários finais.
  • Implemente um programa de treinamento de usuários para desencorajar os usuários de visitar sites maliciosos ou abrir anexos maliciosos.

Observação: a CISA, o FBI e a NSA também recomendam, como um esforço de longo prazo, que as organizações de infraestrutura crítica implementem a segmentação de rede para separar os segmentos de rede com base na função e na funcionalidade. A segmentação de rede pode ajudar a evitar o movimento lateral controlando os fluxos de tráfego entre – e o acesso a – várias sub-redes.

• Implemente adequadamente a segmentação de rede entre as redes de TI e OT. A segmentação de rede limita a capacidade dos adversários de migrar para a rede OT, mesmo que a rede de TI esteja comprometida. Defina uma zona desmilitarizada que elimine a comunicação não regulamentada entre as redes de TI e OT.
• Organize os ativos de OT em zonas lógicas, levando em consideração a criticidade, a consequência e a necessidade operacional. Defina condutas de comunicação aceitáveis ​​entre as zonas e implemente controles de segurança para filtrar o tráfego de rede e monitorar as comunicações entre as zonas. Proibir protocolos ICS de atravessar a rede de TI.

Gerenciamento de Vulnerabilidade e Configuração

• Atualize o software, incluindo sistemas operacionais, aplicativos e firmware em ativos de rede de TI, em tempo hábil. Priorize a correção de vulnerabilidades exploradas conhecidas , especialmente aquelas CVEs identificadas neste CSA e, em seguida, vulnerabilidades críticas e altas que permitem a execução remota de código ou negação de serviço em equipamentos voltados para a Internet.
  • Considere usar um sistema de gerenciamento de patches centralizado. Para redes OT, use uma estratégia de avaliação baseada em risco para determinar os ativos e zonas da rede OT que devem participar do programa de gerenciamento de patches.
  • Considere inscrever-se nos serviços de higiene cibernética da CISA , incluindo verificação de vulnerabilidades, para ajudar a reduzir a exposição a ameaças. O serviço de varredura de vulnerabilidades da CISA avalia a presença de rede externa executando varreduras contínuas de endereços IP públicos e estáticos para serviços acessíveis e vulnerabilidades.
• Use programas antivírus recomendados pelo setor.
  • Defina programas antivírus/antimalware para realizar verificações regulares de ativos de rede de TI usando assinaturas atualizadas.
  • Use uma estratégia de inventário de ativos baseada em risco para determinar como os ativos de rede OT são identificados e avaliados quanto à presença de malware.
• Implemente programas rigorosos de gerenciamento de configuração. Garanta que os programas possam rastrear e mitigar ameaças emergentes. Revise as configurações do sistema quanto a configurações incorretas e falhas de segurança.
• Desabilite todas as portas e protocolos desnecessários
  • Revise os logs de dispositivos de segurança de rede e determine se deve desligar portas e protocolos desnecessários. Monitore portas e protocolos comuns para atividades de comando e controle.
  • Desative ou desative quaisquer serviços desnecessários (por exemplo, PowerShell) ou funcionalidade nos dispositivos.
• Certifique-se de que o hardware OT esteja no modo somente leitura.

Aumentar a vigilância organizacional

• Revise regularmente os relatórios sobre essa ameaça. Considere se inscrever para receber notificações CISA para receber informações oportunas sobre problemas de segurança atuais, vulnerabilidades e atividades de alto impacto.

Recursos

• Para obter mais informações sobre atividades cibernéticas maliciosas patrocinadas pelo Estado russo, consulte cisa.gov/Russia.
• Consulte o Relatório de análise CISA Fortalecendo as configurações de segurança para se defender contra invasores direcionados aos serviços de nuvem para obter orientações sobre como fortalecer as práticas de segurança de nuvem de sua organização.
• Líderes de pequenas empresas e agências governamentais pequenas e locais devem consultar o Cyber ​​Essentials da CISA para obter orientação sobre como desenvolver um entendimento acionável da implementação de práticas organizacionais de segurança cibernética.
• Os proprietários e operadores de infraestrutura crítica com redes OT/ICS devem revisar os seguintes recursos para obter informações adicionais:
  • NSA e CISA em conjunto CSA NSA e CISA recomendam ações imediatas para reduzir a exposição em tecnologias operacionais e sistemas de controle
  • Ficha informativa CISA Rising Ransomware Threat to Operational Technology Assets para recomendações adicionais.

Programa Recompensas pela Justiça

Se você tiver informações sobre operações cibernéticas russas patrocinadas pelo Estado visando a infraestrutura crítica dos EUA, entre em contato com o Programa de Recompensas pela Justiça do Departamento de Estado. Você pode ser elegível para uma recompensa de até US$ 10 milhões, que o DOS está oferecendo por informações que levem à identificação ou localização de qualquer pessoa que, agindo sob a direção ou controle de um governo estrangeiro, participe de atividade cibernética maliciosa contra ataques críticos dos EUA. infra-estrutura em violação do Computer Fraud and Abuse Act (CFAA). Entre em contato com +1-202-702-7843 no WhatsApp, Signal ou Telegram, ou envie informações pela linha de dicas seguras do Rewards for Justice, localizada na Dark Web. Para mais detalhes, consulte rewardsforjustice.net/malicious_cyber_activity.

Ressalvas

As informações que você acessou ou recebeu estão sendo fornecidas “no estado em que se encontram” apenas para fins informativos. A CISA, o FBI e a NSA não endossam nenhum produto ou serviço comercial, incluindo quaisquer objetos de análise. Qualquer referência a produtos, processos ou serviços comerciais específicos por marca de serviço, marca registrada, fabricante ou de outra forma não constitui ou implica endosso, recomendação ou favorecimento por parte da CISA, FBI ou NSA.