Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) vydala naléhavé varování společnostem ohledně zabezpečení jejich systémů pro správu zařízení. Stalo se tak po velkém kybernetickém útoku na výrobce zdravotnických zařízení Stryker, při kterém hackeři podporovaní Íránem na dálku zničili data na tisících zařízení ovládaných společností.
Stryker Attack: Typický příklad rizik koncového bodu
- března Stryker potvrdil kybernetický útok, který způsobil „globální narušení“ společnosti. Na rozdíl od typických ransomwarových útoků hackeři nenasadili malware. Místo toho využili přístupu k systému Microsoft Intune Stryker, který se používá ke správě zařízení zaměstnanců, ke vzdálenému vymazání dat z desítek tisíc telefonů, tabletů a počítačů. To zahrnovalo jak firemní zařízení, tak osobní zařízení připojená k síti.
Proč na tom záleží: Tento incident poukazuje na kritickou zranitelnost ve způsobu, jakým mnoho společností spravuje přístup k zařízením. Systémy pro správu koncových bodů, jako je Intune, poskytují správcům mocnou kontrolu, ale mohou být použity k vážnému poškození, když jsou kompromitovány.
Pokyny CISA: Posílení zabezpečení koncových bodů
Pokyny CISA se zaměřují na posílení administrativních kontrol v platformách pro správu zařízení. Agentura zejména doporučuje, aby akce s velkým dopadem, jako je vzdálené vymazání zařízení, vyžadovaly schválení druhého správce. Tento přístup „obousměrné integrity“ přidává kritickou vrstvu ochrany proti neoprávněným nebo kompromitovaným účtům.
Základní doporučení pro administrátory:
– Omezte citlivé akce na víceúrovňové schvalovací pracovní postupy.
– Pravidelně kontrolujte uživatelská práva.
– Sledujte svůj řídicí panel Intune, zda nedochází k neoprávněné aktivitě.
Hacktivistická skupina za útokem
K odpovědnosti se přihlásila proíránská hacktivistická skupina, která si říkala Handala a uvedla, že útok byl odvetou za americký nálet na Írán, který zabil civilisty. Skupina uvedla, že extrahovala data ze sítě Stryker, ale zatím neposkytla důkazy.
Stryker útok zadržel a pracuje na obnově systémů, ale jeho dodavatelský řetězec, objednávkové a dodací operace zůstávají offline. Společnost neposkytla časový rámec pro rekonstrukci.
Závěr
Útok na Stryker zdůrazňuje rostoucí hrozbu manipulace s koncovými body. Společnosti by měly upřednostňovat ochranu systémů správy zařízení pomocí přísných administrativních kontrol, aby se zabránilo podobným incidentům. Ignorování tohoto rizika ponechává organizace zranitelné vůči ničivým selháním, které by mohly ovlivnit kritické operace.
