Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydała pilne ostrzeżenie dla firm dotyczące bezpieczeństwa ich systemów zarządzania urządzeniami. Nastąpiło to po poważnym cyberataku na producenta urządzeń medycznych Stryker, w którym hakerzy wspierani przez Iran zdalnie zniszczyli dane na tysiącach urządzeń kontrolowanych przez firmę.
Atak Strykera: typowy przykład zagrożeń dla punktów końcowych
11 marca firma Stryker potwierdziła cyberatak, który spowodował „globalne zakłócenia” w firmie. W przeciwieństwie do typowych ataków ransomware, hakerzy nie wdrażali złośliwego oprogramowania. Zamiast tego wykorzystali dostęp do systemu Microsoft Intune Stryker, który służy do zarządzania urządzeniami pracowników, aby zdalnie czyścić dane z dziesiątek tysięcy telefonów, tabletów i komputerów. Dotyczyło to zarówno urządzeń należących do firmy, jak i urządzeń osobistych podłączonych do sieci.
Dlaczego to ma znaczenie: Ten incydent uwydatnia krytyczną lukę w sposobie, w jaki wiele firm zarządza dostępem do urządzeń. Systemy zarządzania punktami końcowymi, takie jak Intune, zapewniają administratorom potężną kontrolę, ale w przypadku naruszenia bezpieczeństwa mogą zostać wykorzystane do spowodowania poważnych szkód.
Wytyczne CISA: wzmacnianie bezpieczeństwa punktów końcowych
Wytyczne CISA koncentrują się na wzmocnieniu kontroli administracyjnych na platformach zarządzania urządzeniami. W szczególności agencja zaleca, aby działania o dużym wpływie, takie jak zdalne czyszczenie urządzenia, wymagały zgody drugiego administratora. To podejście oparte na „dwukierunkowej integralności” dodaje kluczową warstwę ochrony przed nieautoryzowanymi lub zagrożonymi kontami.
Podstawowe zalecenia dla administratorów:
– Ogranicz wrażliwe działania do wielopoziomowych przepływów pracy związanych z zatwierdzaniem.
– Regularnie sprawdzaj uprawnienia użytkownika.
– Monitoruj pulpit nawigacyjny usługi Intune pod kątem nieautoryzowanych działań.
Grupa haktywistów stojąca za atakiem
Do odpowiedzialności przyznała się proirańska grupa haktywistów nazywająca się Handala, twierdząc, że atak był odwetem za amerykański nalot w Iranie, w którym zginęli cywile. Grupa stwierdziła, że pobrała dane z sieci Stryker, ale nie przedstawiła jeszcze dowodów.
Firma Stryker powstrzymała atak i pracuje nad przywróceniem systemów, ale jej łańcuch dostaw, zamówienia i dostawy pozostają w trybie offline. Firma nie podała ram czasowych renowacji.
Wniosek
Atak na firmę Stryker uwydatnia rosnące zagrożenie manipulacją punktami końcowymi. Firmy powinny priorytetowo traktować ochronę systemów zarządzania urządzeniami za pomocą silnych kontroli administracyjnych, aby zapobiec występowaniu podobnych incydentów. Ignorowanie tego ryzyka naraża organizacje na ryzyko katastrofalnych awarii, które mogą mieć wpływ na krytyczne operacje.
