Af Eskil Sørensen, 21/03/24
De fem lande, USA, Storbritannien, Canada, Australien og New Zealand, som sammen har etableret Five-Eyes enheden følger nu op på en advarsel fra CISA, der tidligere på året advarede om en kinesisk APT-gruppe.
Det skriver Security Week.
Det sker i form af en vejledning, der foreslår en række konkrete tiltag. Den gruppe, der er tale om, er Volt Typhoon, der ifølge mediet har angreb på amerikanske virksomheder og organisationer inden for kommunikation, energi, transportsystemer og vand- og spildevand på samvittigheden.
Vejledningen fra Five Eyes kommer, efter at CISA i februar meldte ud, at Volt Typhoon er ved at ”præ-positionere sig selv” i kritiske infrastrukturorganisationers netværk. Dette skulle angiveligt ske henblik på at kunne afbryde eller ødelægge, hvad man må formode er forskellige former for kritisk infrastruktur.
Blandt anbefalingerne i vejledningen står der, at ledere af kritisk infrastrukturorganisationer bør give cybersikkerhedsteams mulighed for at træffe informerede ”resourcing decisions”, herunder at bruge efterretningsorienterede værktøjer. Med dette menes formentlig, at sikkerhedsteams bør have friere rammer til selv at prioritere og træffe beslutninger i tilspidsede situationer.
Det anbefales også, fremgår det af Security Weeks omtale af sagen, at ledere bør give cybersikkerhedsteams mulighed for effektivt at anvende detektion og styrke best practices. Derudover er der de gamle kendinge som løbende træning og kompetenceudvikling og udvikle beredskabsplaner og øve dem.
Angiveligt skal Volt Typhoon bruge de indbyggede funktioner i et system, en teknik der kaldes ”living off the land” til deres aktiviteter, hvorved de ikke er afhængig af malware for at bevare adgangen til netværk. Det er denne teknik, som organisationer ifølge Five Eyes har behov for at bruge flere værktøjer til at beskytte sig i mod. Det må være det, der er det centrale budskab i vejledningen.
Mindre organisationer, der ikke har et cybersikkerhedsteam tilknyttet, bør få administrerede sikkerhedstjenester, anbefaler Five Eyes.
Derudover anbefales det også at organisationer sikrer deres forsyningskæde, at der udvises due diligence i forbindelse med indkøb, og at brugen af produkter, der bryder princippet om ”least privilege”, begrænses. Princippet om least privilege er et sikkerhedskoncept, hvor en bruger ikke får flere privilegier eller adgange end han/hun har brug for for at løse sine opgaver. Det er også kendte beskyttelsesprincipper, der har været gældende længe.
Links:
https://www.securityweek.com/five-eyes-agencies-issue-new-alert-on-chinese-apt-volt-typhoon/