Агентство з кібербезпеки та безпеки інфраструктури (CISA) повідомило в четвер, що нещодавно провело оцінку червоної команди (RTA) на запит неназваної організації критичної інфраструктури з неоднозначними результатами.

Погана новина: CISA вдалося скомпрометувати бізнес-системи цілі; хороші новини: усі засвоїли деякі уроки безпеки, якими агентство ділиться публічно, щоб допомогти іншим мінімізувати кіберризик.

Під час RTA CISA повідомила, що його червона команда моделює зловмисні кібероперації в реальному світі, щоб оцінити можливості організації щодо виявлення кібербезпеки та реагування.

У цій оцінці CISA заявила, що її червона команда змогла отримати початковий доступ через веб-оболонку, залишену в результаті попередньої оцінки безпеки третьої сторони.

«Червона команда продовжила рух через демілітаризовану зону (DMZ) і в мережу, щоб повністю скомпрометувати домен організації та кілька конфіденційних цілей бізнес-системи (SBS),» – йдеться в повідомленні CISA 21 листопада. звіт деталізація оцінки.

«Оцінювана організація виявила докази початкової активності червоної команди, але не вжила оперативних заходів щодо зловмисного мережевого трафіку через свою DMZ або кинула виклик більшій частині присутності червоної команди в середовищі Windows організації», — додали в ньому.

Червона команда змогла скомпрометувати домен і SBS організації, оскільки їй бракувало достатнього контролю, щоб мати змогу виявляти зловмисну ​​кіберактивність і реагувати на неї. CISA заявила, що навчання допомогло отримати цінні уроки для мережевих захисників і виробників програмного забезпечення для покращення їх стану кібербезпеки.

Деякі з отриманих уроків включають:

• «Здобутий урок: Оцінювана організація мала достатній технічний контроль для запобігання та виявлення зловмисної діяльності. Організація надто покладалася на рішення для виявлення кінцевих точок і реагування (EDR) на основі хоста та не запровадила достатній рівень захисту мережі.
• Отриманий урок: Співробітники організації потребують постійного навчання, підтримки та ресурсів для впровадження безпечних конфігурацій програмного забезпечення та виявлення шкідливих дій. Персонал повинен постійно підвищувати свою технічну компетентність, отримувати додаткові інституційні знання про свої системи та гарантувати, що керівництво надає їм достатні ресурси, щоб мати умови для успішного захисту своїх мереж.
• Отриманий урок: Керівництво організації мінімізувало бізнес-ризик відомих векторів атак для організації. Керівництво втратило пріоритет у лікуванні вразливості, яку виявила їхня власна команда з кібербезпеки, і, приймаючи рішення на основі оцінки ризику, неправильно розрахувало потенційний вплив і ймовірність її використання».

CISA заявила, що отримані уроки актуальні для всіх організацій, і закликала їх застосувати уроки у своїх власних мережах. Хоча 36-сторінковий звіт містить багато рекомендацій для організацій щодо покращення їхньої кібер-позиції, CISA спеціально закликає виробників програмного забезпечення прийняти принципи Secure by Design.

Це включає вбудовування безпеки в архітектуру продукту протягом усього життєвого циклу розробки програмного забезпечення, обов’язкову багатофакторну автентифікацію та скасування паролів за замовчуванням.