في وقت سابق من هذا العام ، جامعة إيندهوفن للتكنولوجيا (TU/E) ، واحدة من الجامعات التقنية الرائدة في هولندا ، مُبَرهن الحقيقة غير المريحة التيفين المنظمات يمكن أن تقع جميع صناديق الأمن السيبرانية على ضحية هجمات متطورة ، متى حصل المهاجمون على مستوى المؤسسات إلى شبكته وبدأوا في إعداد ما خلص فيه المحققين الجنائيين في وقت لاحق إلى هجوم فدية مدمر.
كان استجابة الجامعة مثيرة: أناقام T بفصل جميع الطلاب الـ 14000 و 4700 موظف من الإنترنت لمدة أسبوع كامل. الذي – التي القرار ، الذي اتخذ في غضون ساعات من اكتشاف الخرق ، منع ما كان يمكن أن يكون أشهر من العمليات المعطلة والملايين في مطالب الفدية.
بدأ الحادث في 6 يناير ، عندما استخدم المهاجمون بيانات اعتماد شرعية موجودة على شبكة الويب المظلمة للوصول إلى نظام الشبكة الافتراضية (VPN) الخاصة بـ TU/E. بعد خمسة أيام ، أطلقوا هجومًا ، وخلال ساعات ، حصلوا على أعلى امتيازات إدارية على وحدات التحكم في المجال – لديهم سيطرة كاملة بشكل فعال على الشبكة – وبدأوا في تثبيت أدوات الثبات النموذجية لإعداد الفدية. هذا أثار مراقبة الأمن.
مواجهة المفارقة مارتن دي فريس، كبير مسؤولي أمن المعلومات في TU/E (CISO) ، يوضح و حقيقة غير مريحة حول الأمن السيبراني الحديث: الوقاية المثالية بقايا بعيد المنال ، حتى بالنسبة للاستعداد جيدًا المنظمات. لكن، عندما جاءت دعوة الأزمة مساء السبت ، فإن استجابة فريقه السريعة ستثبت الفرق بين أسبوع من الاضطراب والدمار المحتمل.
الوضع دي فريس مواجهة كان كابوسًا للأمن السيبراني: المهاجمون الذين لديهم امتيازات للمؤسسات يقاتلون فريقه التحكم في الشبكة.
“لقد كان يتذكر قائلة: “في كل مرة نقوم فيها بتعطيل حساب أو حاولنا التقسيم الخوادم ، رأيناهم على خادم آخر. لأنهم حصلوا على تلك الامتيازات ، كانوا أيضًا يسلبون حقوق الوصول لدينا أثناء كنا نأخذهم “.
مع فشل تدابير الاحتواء التقليدية ، كان القرار تم صنعه لقطع اتصال الجامعة تمامًا ، حيث أخذ طلاب TU/E 14000 و 4700 موظف في وضع عدم الاتصال لما اتضح أنه أسبوع. لكن، تحليل الطب الشرعي بواسطة Fox-It أكد هذا القرار لاحقًا منع هجوم رانسومواري مدمر.
فجوات التنفيذ
تعرض تجربة TU/E الفجوة بين الوعي الأمني والتنفيذ الذي لا تشوبه شائبة والذي يطارد حتى أكثر الدهقة المنظمات. في نهاية عام 2024 ، الجامعة تم تحديدها بيانات الاعتماد المعرضة للخطر التي تنتمي إلى العديد من حسابات المستخدمين ، وإعلامها بأنها “مستخدمين محفوظة” من خلال أدوات المراقبة. “نعترف بأن هذه الحسابات تم تسريبها. حددهم في نهاية العام الماضي وأرسلوا تعليمات المستخدمين حول التغيير كلمات المرور الخاصة بهم. لكن خطأ التكوين سمح لهم بإعادة إدخال نفس كلمة المرور. “
قوضت هذه الإشراف الفردي ما كان ينبغي أن يكون عملية علاج ناجحة.
وبالمثل ، تم بالفعل تخطيط مصادقة متعددة العوامل لـ VPN بالجامعة. “كان على الجدول الزمني يقول: “ليتم تنفيذها بحلول الصيف. كان من الممكن نشره في هذا الوقت”.
بدلاً من ذلك ، استغل المهاجمون غيابهم للوصول الأولي باستخدام بيانات اعتماد الويب المظلمة.
الاستجابة عرض النهج التعاوني لهولندا في التعليم العالي الأمن السيبراني. تستفيد TU/E من Surfsoc، خدمة مراقبة الأمن التي تقدمها Fox-It وتديرها ركوب الأمواجو ال التعاون منظمة توفير خدمات تكنولوجيا المعلومات للجامعات الهولندية ومؤسسات البحث. اكتشف تصفح النشاط الضار في 9:55 مساءً ونبه TU/E بواسطة 10:48 مساءً، حتى كجامعة الجامعة ورد فريق الأمن إلى التنبيهات الداخلية. قام نظام الكشف الزائد هذا بتسريع الجدول الزمني للاستجابة.
“كنا بالفعل على دراية بالنشاط الضار المحتمل عندما Fox-it ، التشغيل Surfsocو اتصل بنا.
عندما تسمى TU/E خط الاستجابة لحالات الطوارئ لـ FOX-IT على 11:50 مساءًو Fox-it دعم قرار TU/E افصل الشبكة في الحال. ذهبت الشبكة في وضع عدم الاتصال في 1:17 أكون في يوم الأحد ، قطع المهاجمين الذين كانوا يقومون بتثبيت أدوات الإدارة عن بُعد ، وإنشاء حسابات مميزة و محاولة لتعطيل أنظمة النسخ الاحتياطي – جميع السمات المميزة لإعداد الفدية.
اضطراب مقابل الضرر
لم يتم اتخاذ قرار اتخاذ 20،000 مستخدم في وضع عدم الاتصال لمدة أسبوع ، لكن البديل كان سوءًا. استنتج التحقيق الجنائي في الثعلب “أن” “أظهر الخصم العديد من الخصائص النموذجية لهجوم الفدية “، مع تصعيد سريع لامتيازات مسؤول المجال و محاولات لتعطيل أنظمة النسخ الاحتياطي بعد كتب اللعب الفدية المعمول بها.
يقول دي فريس: “كان أكبر تأثير للجامعة على الطلاب والموظفين”. “كان علينا تأجيل الاختبارات؛ الأكاديميون اضطرار إلى وضع علامة على الأوراق على مدى فترات طويلة. لا يمكن التعبير عن هذا التأثير باليورو “. ومع ذلك ، كان الحساب المالي صارخًا. ظلت التكاليف المباشرة للاستجابة قابلة للإدارة – “لا يمكن مقارنتها بما نقضيه سنويًا على الأمن” ، وفقًا لـ De Vries. لو تم نشر برامج الفدية بنجاح ، “ربما كان ذلك بالملايين”.
التكلفة البشرية ، على الرغم من أنها كبيرة ، كانت مؤقتة. تم إعادة ترتيب جداول الامتحانات ، وتوقفت الأنشطة البحثية ، وتعطل العمليات العادية، لكن وظائف الجامعة الأساسية ظلت سليمة. يمكن أن يكون هجوم فدية ناجح من الفدية قد شل العمليات لعدة أشهر تتطلب مدفوعات فدية كبيرة مع عدم وجود ضمان لاسترداد البيانات.
تنبع قدرة TU/E على الاستجابة بشكل حاسم من إعداد الأزمات العادية. الجامعة يشارك في ممارسة الأزمة السيبرانية على مستوى الأوزون في قطاع الأمواج كل عامين إلى جانب التدريبات الداخلية السنوية ، مما يضمن أن فرق الأزمات تعرف أدوارها قبل الإضرابات في الكوارث. “الجميع في الأزمة منظمة يقول دي فريس: “عرفوا دورهم ، فأنت لا تريد أن تنظر إلى بعضكما البعض يسألون ،” كيف عمل هذا مرة أخرى؟ ” عندما تضرب الأزمة الحقيقية “.
تم تنشيط بنية إدارة الأزمات بسلاسة ، مع بروتوكولات اتصال واضحة ومسؤوليات محددة. هذا تنظيمي مكّن الاستعداد من اتخاذ القرار السريع الواردة الهجوم.
امتدت هذا التحضير إلى ما وراء جدران TU/E. قرار الجامعة نشر تعكس تقارير الطب الشرعي التفصيلية النهج التعاوني لقطاع التعليم العالي الهولندي في الأمن السيبرانيو تناقض بشكل صارخ سرية الشركات حول الانتهاكات. تم تعيين سابقة من قبل جامعة ماستريخت، الذي عانى من هجوم كبير من الفدية في عام 2019 وشاركت تجاربها علانية لمساعدة المؤسسات الأخرى. “نحن جامعةIES – يقول دي فريس: “نحن على وشك الحصول على المعرفة ومشاركتها. هناك ثقافة في قطاع التعليم في مشاركة هذه التجارب حتى يتمكن الآخرون من التعلم منها”.
التعاون منهجي: يلتقي CISO الجامعي شهريًا من خلال تصفح لتبادل الذكاء وأفضل الممارسات. “لا توجد جامعة لا تحتوي على هذا على رادارهم” ، كما يلاحظ.
مخاطر مستمرة
بيئات البحث المعقدة تخلق نقاط الضعف المستمرة. يدعم TU/E مجموعات البحث باستخدام معدات Windows 7 ، يستلزم بروتوكولات المصادقة القديمة التي يمكن للمهاجمين استغلالها.
يقول De Vries: “لدينا مشهد تكنولوجيا المعلومات الذي يجب أن يدعم كل من أنظمة قديمة وجديدة لأن مجموعات الأبحاث لديها معدات لا تزال تعمل بشكل مثالي لأبحاثها ولكنها تستخدم أنظمة التشغيل القديمة”.
منذ استئناف العمليات ، TU/E أجرت تقييمات أمنية فردية قبل إعادة توصيل أنظمة البحوث بالإنترنت.
على الرغم من الرد الناجح ، هو بقايا واقعية حول التهديدات المستقبلية. يقول دي فريس: “إنها ليست مسألة إذا ، ولكن متى”. “عليك أن تستعد ك منظمة لكي يحدث ذلك ، بغض النظر عن مدى جودة أمنك. “
نصيحته لزملائه من قادة الأمن عملية: حفر فرق الاستجابة بانتظام وضمان عمل أنظمة الكشف على مدار الساعة. “أنت بحاجة إلى اكتشاف جيد لذلك أنت على علم بشكل صحيح عندما تسوء الأمور ، وأزمة منظمة يمكن أن يتصرف على الفور ،“ يقول دي فريس.
تثبت تجربة TU/E أنه حتى جاهزة جيدًا المنظمات يبقى مُعَرَّض. لكن الكشف السريع والقيادة الحاسمة وقبول الاضطراب على المدى القصير يمكن أن يمنع أضرارًا طويلة الأجل. متى الأمن المثالي بقايا مستحيل، إجابة جودة يحدد تأثير.
