W głównej filii Seattle Public Library w centrum Seattle. Jeden z ekspertów ds. cyberbezpieczeństwa powiedział, że kluczowe jest „ciągłe aktualizowanie i testowanie planów odzyskiwania”, aby móc szybko reagować na ataki. (Zdjęcie z archiwum GeekWire / Kurt Schlosser)

Wszystkie systemy i usługi wykorzystujące technologię ponownie działają w Bibliotece Publicznej w Seattle w tym tygodniu, około trzy miesiące po atak ransomware częściowo sparaliżowało instytucję i jej 27 oddziałów w całym mieście. A eksperci ds. cyberbezpieczeństwa chwalą niektóre kroki podjęte w celu ochrony przed przyszłymi atakami.

Naruszenie bezpieczeństwa cybernetycznego, do którego doszło w weekend związany ze świętem Memorial Day, wpłynęło na dostęp do komputerów pracowników i komputerów publicznych, internetowego katalogu i systemów wypożyczania książek, e-booków i e-audiobooków, sieci Wi-Fi w budynku, witryny internetowej biblioteki i innych.

W trakcie odzyskiwania SPL podawała stopniowe aktualizacje dotyczące tego, jakie usługi zostały przywrócone i jakie prace pozostały do ​​wykonania. Eksperci ds. cyberbezpieczeństwa wcześniej również wypowiedzieli się na temat dlaczego biblioteka była celem i co takie organizacje mogą zrobić, aby wzmocnić obronę.

Biblioteka stwierdziła w oświadczenie Wtorek, że pracuje nad przeprowadzeniem oceny swojej odpowiedzi na atak i wyda publiczny raport w tym roku. Ale SPL ujawniło GeekWire niektóre kroki, które podjęło, aby zapobiec przyszłym atakom.

„Prace nad wzmocnieniem naszych systemów rozpoczęły się przed atakiem, ale pozostałe elementy planu pracy IT zostały przyspieszone po ataku” — powiedziała Laura Gentry, szefowa komunikacji biblioteki. „Od weekendu Memorial Day biblioteka przyspieszyła migrację do SharePoint Onlineoraz wdrożenie uwierzytelniania wieloskładnikowego w systemach pracowniczych — co odbyło się w ciągu trzech dni, a nie, jak planowaliśmy, trwającego kilka tygodni procesu”.

Gentry powiedział, że SPL rozszerzył również wykorzystanie narzędzi Microsoft opartych na chmurze, które niedawno wdrożył do zarządzania plikami i potrzeb komunikacyjnych. Personel IT wykorzystał również możliwości infrastruktury opartej na chmurze i wycofał niektóre starsze usługi lokalne, aby „odbudować je lepiej” po ataku.

Według Gentry’ego biblioteka przeprowadziła również ponowną instalację obrazów około 1000 komputerów (obsługujących zarówno pracowników, jak i publiczność), wymusiła aktualizację haseł w całym systemie i zaostrzyła wymagania dotyczące haseł.

Znaki „Nieczynne” wiszą na publicznych komputerach w filii Broadview Biblioteki Publicznej w Seattle w maju, krótko po cyberataku na infrastrukturę techniczną SPL. (Zdjęcie GeekWire / Kurt Schlosser)

Jim Alcovedyrektor generalny startupu zajmującego się cyberbezpieczeństwem z siedzibą w Seattle Oleriapochwalił bibliotekę za wdrożenie uwierzytelniania wieloskładnikowego i migrację do usług w chmurze, nazywając oba te działania niezbędnymi do przywrócenia działalności i wzmocnienia systemów bibliotecznych na przyszłość.

Choć uwierzytelnianie wieloskładnikowe znacznie zwiększa bezpieczeństwo, Alkove stwierdził, że jest ono najskuteczniejsze, gdy jest wdrażane kompleksowo i wykorzystuje silne, odporne na phishing metody, takie jak FIDO2 klucze i klucze dostępu.

„Innym krytycznym aspektem zapobiegania atakom ransomware jest łatanie” — powiedział Alkove. „Przechodząc na środowiska SaaS i chmurowe, SPL skutecznie przerzuciło odpowiedzialność za zarządzanie poprawkami krytycznych zasobów serwera na dostawców, którzy zazwyczaj mają lepsze zasoby, aby utrzymać zgodność z poprawkami”. Dodał, że zmniejszyło to powierzchnię ataku starszych systemów lokalnych, które mogą być częstym celem atakujących.

Sunila Gottumukkaliwspółzałożyciel i dyrektor generalny startupu z siedzibą w Seattle zajmującego się cyberbezpieczeństwem Averlonpochwalił również przejście na MFA dla personelu. Było to coś, na co miał nadzieję biblioteka wdroży, gdy rozmawiał z GeekWire krótko po ataku w maju.

„Jeśli chodzi o przejście na usługi w chmurze od Microsoftu, aby „odbudować lepiej”… to jest dobre w ogólnym rozrachunku, ale może nie być istotne w kontekście obrony przed przyszłymi atakami ransomware” – powiedział Gottumukkala w czwartek w wiadomości e-mail. „Powinni wprowadzić plan „odzyskania i odbudowy”, który jest okresowo testowany, o czym nie wspomnieli”.

Dodał, że brak przygotowania może wyjaśniać, dlaczego biblioteka tak długo czekała na odzyskanie danych po ataku, ale ostrzegł, że nie są jeszcze znane wszystkie szczegóły dotyczące tego, jak SPL spędziło czas w procesie odzyskiwania danych.

Alkove zgodził się, że protokoły bezpieczeństwa biblioteki muszą być regularnie testowane, monitorowane i utrzymywane. Częścią tego jest rozwiązywanie uporczywych problemów związanych z „nadmiernym zaopatrzeniem” — co oznacza zapewnianie użytkownikom tylko dostępu i uprawnień, których potrzebują, i niczego więcej. Alkove powiedział, że większość organizacji zmaga się ze znacznym nadmierną aprowizacją dostępu użytkowników — co tworzy „dużą powierzchnię ataku dla złego aktora” — i Raporty Microsoftu że 95% dostępu pozostaje niewykorzystane.

Alkove powiedział, że harmonogram odzyskiwania danych może się znacznie różnić w zależności od organizacji, ale prawdziwa odporność to coś więcej niż tylko przywrócenie działania systemów.

„Incydent w SPL, podobnie jak ostatni Incydent z udziałem tłumupodkreśla potrzebę skupienia się każdej organizacji na cyberodporności”, powiedział Alkove. „Dlatego planowanie ciągłości działania jest tak kluczowe. Organizacje muszą stale aktualizować i testować swoje plany odzyskiwania, aby mieć pewność, że będą mogły zareagować szybko i skutecznie następnym razem, gdy dojdzie do ataku”.



Source link