Cyberataki mogą pochodzić z dowolnego miejsca i przez lata pozostawać niewykryte — mówi Peter Dempsey z Axis Communications — dlatego konieczne jest, aby centra danych uzbroiły się w odporne zabezpieczenia sprzętowe, co pozwoli uniknąć łamania coraz bardziej rygorystycznych przepisów.
Dla cyberprzestępców centra danych stanowią lukratywną i atrakcyjną nagrodę, niezależnie od tego, czy celem ataku jest kradzież danych, zakłócenie krytycznych systemów czy wdrożenie oprogramowania ransomware. Centrum danych obejmuje ogromną liczbę systemów, procesów i urządzeń, a każdy z tych elementów może okazać się słabym punktem. Jeśli można go wykorzystać, tak się stanie — potencjalnych dróg wejścia jest wiele.
Wykryto, że w ponad 20 000 systemów zarządzania infrastrukturą centrów danych (DCIM), które są publicznie dostępne, atakujący może zakłócić pracę centrum danych poprzez zmianę progowych wartości temperatury i wilgotności. Niektóre systemy zasilania awaryjnego (UPS) również zostały uznane za podatne na zagrożenia i umożliwiające dostęp hakerów do systemów zasilania w centrach danych. Centra danych są pełne urządzeń Internetu rzeczy (IoT), które mogą stanowić wektory ataku. Centra danych powinny mieć świadomość swoich podatności i dążyć do ochrony każdej części swojej infrastruktury.
APT31 — Przygotuj się na ataki typu „pod przykrywką”
W wielu centrach danych mogło już dojść do cichych naruszeń zabezpieczeń. Atakujący coraz częściej wdrażają wyrafinowane ataki typu „living off the land” (LOTL), które wykorzystują podstawowe narzędzia systemów komputerowych, zamiast instalować własne złośliwe pliki. Ten rodzaj infiltracji jest trudny do namierzenia i może pozostać niewykryty przez wiele lat, aż haker będzie gotowy do ataku.
Ci hakerzy mogą należeć do dużych organizacji. W wielu przypadkach ładunki LOTL pochodzące od agentów sponsorowanych przez obce państwo znajdowano w krytycznych sieciach. Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego powiązało sponsorowaną przez obce państwo grupę hakerską APT31 z próbami ataku na brytyjskich parlamentarzystów. Na liście innych celów APT31 znalazła się gospodarka Wielkiej Brytanii, krytyczna infrastruktura krajowa i łańcuchy dostaw.
Podkreśla to potrzebę aktywnego podejścia menedżerów centrów danych do bezpieczeństwa, które nie tylko opiera się na znanych zasadach bezpieczeństwa cybernetycznego, ale wykorzystuje aktywne monitorowanie i przestrzeganie należytej staranności. Jest to szczególnie ważne we współczesnym środowisku legislacyjnym.
NIS2 — wykrywanie anomalii danych w infrastrukturze krytycznej
Dyrektywa NIS 2 i Ustawa o odporności cybernetycznej przeklasyfikowały centra danych w infrastrukturę krytyczną. Obecnie należą do tej samej kategorii co opieka zdrowotna, energia i transport, a zarządzanie nimi będzie podlegać takiej samej kontroli. Operatorzy centrów danych, niezależnie od tego, czy podlegają jurysdykcji takiego ustawodawstwa, nie mają innego wyboru, jak tylko wzmocnić swoje mechanizmy obronne.
Zachowanie każdego elementu sprzętu i oprogramowania w sieci musi być regularnie analizowane, aby wykryć każdą nietypową aktywność, nawet tę pozornie najbardziej nieszkodliwą. Ta detektywistyczna praca musi również wykraczać poza granice centrum danych, ponieważ NIS2 ma zastosowanie do działań współpracowników, a także podmiotów krytycznych. Dotyczy to dostawców sprzętu i, co najważniejsze, każdego etapu ich łańcucha dostaw.
Wykrywanie luk w łańcuchu dostaw
Jeśli osoba atakująca nie może przeniknąć bezpośrednio do centrum danych, może spróbować wstrzyknąć szkodliwy ładunek na sprzęt, który nie został jeszcze wdrożony. Urządzenia IoT stanowią żyzny grunt dla cyberprzestępczości: są one domyślnie podłączone do sieci i często nie są sprawdzane tak szczegółowo, jak bardziej oczywiste wektory ataku. Podobnie jak w przypadku ładunków LOTL, zainfekowane urządzenia IoT mogą po prostu zostać przeoczone jako nie wzbudzające podejrzeń i pozwolić atakującym wykorzystać domniemane zaufanie.
Ataki w łańcuchu dostaw są niezwykle niebezpieczne i przybierają na sile, przewyższając bezpośrednie ataki złośliwego oprogramowania o 40% w 2022 r. Nie można już w żaden sposób usprawiedliwiać domniemanego zaufania: dostawcy muszą drobiazgowo wykazać bezpieczeństwo i czystość swojego łańcucha dostaw oraz podejmować działania, aby zapobiec nieautoryzowanym modyfikacjom. Centra danych z kolei muszą ponownie ocenić relacje z każdym dostawcą, aby upewnić się, że nie zostaną one wykorzystane do ataku.
Na szczęście nowoczesna technologia pozwala dostawcom demonstrować poprawność swojego sprzętu w przejrzysty sposób. Zaufany moduł platformy chroni opragormowanie sprzętowe, które uwiarygadnia integralność urządzenia w całym łańcuchu. Niektóre urządzenia mogą bezpiecznie przechowywać klucze kryptograficzne i certyfikaty, wzmacniając swoje poświadczenia bezpieczeństwa, jednocześnie upraszczając proces zarządzania obroną.
Radzenie sobie z presją regulacyjną
Przepisy takie jak NIS2 zasadniczo nie dają centrom danych żadnego wyboru: muszą od razu podjąć działania lub zaakceptować ogromne kary finansowe. Zawarte w nich postanowienia nakładają na dyrektorów centrów danych odpowiedzialność nie tylko za naruszenia wewnętrzne, ale także za naruszenia spowodowane przez niektóre luki bezpieczeństwa zawinione przez osoby trzecie. Konieczny jest ponowny, kompleksowy audyt bezpieczeństwa.
Wysoki poziom bezpieczeństwa fizycznego zapewniany przez kamery, czujki termiczne i radarowe oraz systemy kontroli dostępu jest oczywiście niezbędny, ponieważ atakujący na terenie obiektu może spowodować niewyobrażalne zakłócenia. Jednak równie ważne jest bezpieczeństwo sieciowe, które musi zagwarantować, że atakujący nie dotrą do obiektu wirtualnie. Każdy element sprzętu i oprogramowania, niezależnie od tego, czy jest objęty przepisami, powinien być regularnie katalogowany, analizowany i priorytetyzowany.
Zgodność z przepisami musi być jasno deklarowana na piśmie, w tym również przez dostawców. Żaden dostawca, niezależnie od obrotów, nie poświadczyłby nieprawdy w tej kwestii. Współpraca z dostawcami, którzy dbają o swoje produkty, to droga do stworzenia inteligentniejszego i bezpieczniejszego świata dla centrów danych.
