Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 05 maart 2022

Cisco ondersteunt klanten en organisaties in Oekraïne

Netwerken Security Oekraine
Cisco ondersteunt klanten en organisaties in Oekraïne image

Terwijl de door Rusland geleide invasie intensiveert, wordt Oekraïne aangevallen door bommen en bytes. Cisco werkt de klok rond aan een wereldwijde, bedrijfsbrede inspanning om onze klanten daar te beschermen en ervoor te zorgen dat niets donker wordt. Dit meldt Matt Olney, Directeur Threat Intelligence en Interdiction Talos Intelligence Group bij Cisco.

Olney meldt:

Het is je misschien niet opgevallen, maar Cisco is de afgelopen maand op een andere plek geweest. De onrechtvaardige invasie van Oekraïne en het gevoel van hulpeloosheid dat we allemaal hebben gevoeld, heeft geleid tot een gemotiveerde verzameling Cisco-medewerkers die werken om het leven een beetje veiliger en gemakkelijker te maken in een deel van de wereld dat velen nog nooit zijn geweest. Teams hebben hun normale taken opzij gezet en waken nu over Oekraïense netwerken, sommigen hebben zich gericht op de zorg voor en bescherming van vluchtelingen en anderen hebben hun obsessie met sociale media tot een cruciaal onderdeel van ons open-source inlichtingenwerk gemaakt. De plannen waren creatief en hoewel velen een week geleden nog ondenkbaar waren, zijn de goedkeuringen snel gekomen en heeft iedereen zijn normale werklast ver overschreden.

In de huidige situatie in Oekraïne zijn levens en middelen van bestaan afhankelijk van de uptime van systemen. Treinen moeten rijden, mensen moeten benzine en boodschappen kopen, de overheid moet berichten naar de burgers sturen voor het moreel en voor de veiligheid. Achter dit alles kan cybersecurity onzichtbaar zijn. In deze blog praten we over een klein deel van Cisco's reactie op deze crisis. Het is slechts een van de vele verhalen over hoe de mensen die Cisco hebben gemaakt tot wat het is, hebben gereageerd op een ongekende crisis. Er zijn hier ook lessen voor de verdediger, over wat een inlichtingenteam van wereldklasse kan doen wanneer het een netwerk krijgt om te verdedigen en een capabele set beveiligingstools. Maar meestal is dit een verhaal over de mensen – van de werkplek tot de C-Suite – die zouden doen wat ze konden.

Stilte voor de storm

Deze inspanning strekte zich uit over alle onderdelen van Cisco en begon meer dan een maand geleden met Talos, Cisco's threat intelligence-tak, toen we een intern proces startten om grootschalige evenementen te beheren. We begonnen met het verhogen van het toezicht in Oekraïne naarmate de Russische troepenopbouw voortduurde. Telemetrie van Oekraïense klanten werd nauwkeurig onderzocht door inlichtingenanalisten en ons SecureX Hunting-team. Op dat moment werkten we niet rechtstreeks met klanten, maar waakten we stilletjes over hen.

Toen duidelijk werd dat er een reële mogelijkheid was dat Rusland zou binnenvallen, begon ons inlichtingenteam zijn stille werk. We praten hier niet veel over, maar in het algemeen gesproken, zal bij elk groot evenement veel kleine groepen onderzoekers zijn die elkaar zijn gaan vertrouwen en samenwerken en informatie delen die niet openbaar beschikbaar is. De meeste van deze groepen zijn informeel, maar een van de nieuwere, de Joint Cyber Defense Collaborative (JCDC), die werkt vanuit het Cybersecurity and Infrastructure Security Agency (CISA), is openbaar dat het dient als een platform voor samenwerking tussen partners uit de publieke en private sector. Of ze nu georganiseerd of informeel, publiek of privaat zijn, al deze groepen wilden graag samenwerken om Oekraïne en de wereld online te beschermen tegen Russische agressie.

Toen zowel de website-defacements als de eerste WhisperGate -malware-implementaties medio januari plaatsvonden, werden we benaderd door drie Oekraïense overheidsinstanties waarmee we in het verleden hebben samengewerkt. Vanaf dat moment zijn we de speciale staatscommunicatiedienst van Oekraïne (SSSCIP), de cyberpolitie-afdeling van de nationale politie van Oekraïne en het nationaal coördinatiecentrum voor cyberbeveiliging (NCCC bij de NSDC van Oekraïne) blijven ondersteunen. Deze ondersteuning heeft grotendeels de vorm aangenomen van respons op incidenten en we hebben de lessen die uit die reacties zijn geleerd, omgezet in bescherming voor al onze klanten.

Onze onderzoeken met onze overheidspartners in Oekraïne hebben geleid tot extra bescherming voor onze klanten wereldwijd, evenals tot een blogpost om de wereld te informeren over de bedreigingen waarvan wij ons bewust waren en onze kijk op die bedreigingen. Dit is een veelvoorkomende cyclus die zowel voor als na de WhisperGate-implementaties is herhaald: Oekraïne maakt een gebeurtenis mee, we helpen bij het onderzoeken, we publiceren nieuwe beveiligingen op basis van wat we hebben geleerd en delen ons begrip van wat er is gebeurd.

Een groeiende bedreiging

Toen de invasie naderde, waren er andere kleine gebeurtenissen, maar geen enkele die een merkbare impact had. Dit waren gedistribueerde denial-of-service (DDoS) of mislukte wiper-aanvallen en een onbevestigde manipulatie van Border Gateway Protocol (BGP)-routering. Onze inschatting is dat het beste van de Russische cybercapaciteit elders was geconcentreerd, waarschijnlijk in spionageactiviteiten die probeerden de wereldwijde reactie op de Russische invasie te begrijpen. Ongeacht de reden waren er in de dagen voorafgaand aan de invasie geen grote cyberincidenten tegen Oekraïne.

Toen de invasie begon, ging het heel snel. De hoeveelheid informatie die moest worden verwerkt over wat er in Oekraïne gebeurde, explodeerde. Talos wil de meer dan 500 Cisco-medewerkers met verschillende achtergronden en met veel verschillende vaardigheden bedanken die zich hebben aangesloten bij een ruimte die is gewijd aan het delen van open source-informatie over Oekraïne om ervoor te zorgen dat het inlichtingenteam niets over het hoofd heeft gezien.

In het begin hebben we Secure Endpoint geïmplementeerd in een aantal nieuwe omgevingen onder een demo-licentie die zou verlopen. Toen we naar het bedrijf gingen om het te verlengen, werd de beslissing genomen om alle beveiligingslicenties voor alle Cisco-klanten in Oekraïne te verlengen. Tijdens deze chaotische periode zou geen enkele klant bescherming verliezen omdat ze te maken hadden met belangrijkere zaken dan licentieverlengingen.

Kritieke netwerken verdedigen

Daarnaast hebben we een nieuw aanbod uitgebreid naar kritieke organisaties in Oekraïne: Talos zou hun Secure Endpoint-configuraties bewaken, deze aanpassen op basis van onze informatie en in hun omgevingen agressief en kosteloos jagen op bedreigingen. Voor elke organisatie die dit aanbod heeft geaccepteerd, hebben we een set technici toegewezen om de beveiligingen en configuraties te beheren en twee jagers van Talos om met die specifieke dataset te werken.

Een van onze frequente aanbevelingen aan volwassen organisaties is om een inlichtingenoperatie te hebben die materiële bescherming in hun verdedigingsmiddelen drijft. Hier is een voorbeeld van waarom we deze aanbeveling doen: bij het beoordelen van verschillende soorten malware hebben we meerdere command and control (C2) -servers in een bepaald netwerk gevonden. Meestal zouden we die IP's blokkeren en verder gaan. Maar in de context van een land met een existentiële dreiging, blokkeerden we voor Secure Endpoint-installaties die we beheren het hele netwerk, zodat als er extra C2's werden geopend, deze al waren geblokkeerd. Dit is wereldwijd niet gepast – we hebben geen idee wat de connectiviteitsbehoeften zijn voor al onze klanten – maar wanneer alleen de taak is om beslissingen te nemen voor Oekraïense kritieke infrastructuur, is het een makkelijke beslissing.

Een ander voorbeeld is het geval van HermeticWiper . Als onderdeel van zijn activiteit laat de malware een van de verschillende stuurprogramma's vallen om zijn wisacties te ondersteunen. In Oekraïne hebben we ervoor gekozen om voor netwerken die we actief beschermen, al deze stuurprogramma's te blokkeren. Nogmaals, wereldwijd kunnen we dat niet doen - sommige van onze klanten gebruiken misschien de software waaruit die stuurprogramma's zijn gestolen. Maar als we alleen vanuit het perspectief van Oekraïne kijken, kunnen we het netwerk snel controleren om te bevestigen dat die hashes niet in gebruik zijn en ze blokkeren.

In beide gevallen bouwen we aan onze verdediging in de diepte. Idealiter blokkeren we HermeticWiper of een variant wanneer deze uitvalt, maar als we dat niet doen, worden de stuurprogramma's geblokkeerd. Hopelijk blokkeren we elke trojan die het netwerk gebruikt dat we hierboven hebben beschreven wanneer het door een loader wordt verwijderd, maar als we dat niet doen, wordt de C2-communicatie zelf geblokkeerd. We zijn altijd op zoek naar manieren om verdedigingswerken op te bouwen, dus als de tegenstander ons te slim af is in één gebied, hebben we bescherming die op hen wacht.

Tot dusverre is deze activiteit succesvol geweest in het beschermen van onze klanten, inclusief het zeer vroeg in de aanvalsketen blokkeren van wat volgens ons wisseraanvallen zijn. Het werk van onze inlichtingengroep - en laat me duidelijk zijn dat dit ook onze samenwerking met organisaties en individuen buiten Cisco omvat - heeft ons in staat gesteld inzicht te krijgen in verschillende aanvalsketens. Hoewel we deze informatie niet kunnen publiceren vanwege beperkingen op het delen van informatie (voornamelijk om de operationele veiligheid te beschermen), kunnen we die informatie gebruiken in specifieke netwerken, bepaalde dingen blokkeren of geavanceerde inhoudhandtekeningen schrijven die op zoek zijn naar bepaalde patronen. Dit inlichtingenwerk heeft direct geleid tot een succesvolle verdediging in Oekraïne. Daarvoor danken we alle niet nader genoemde partners - bedrijven en individuen - die stilletjes met ons hebben samengewerkt.

Begeleiding voor klanten

Dit is niet het moment om elk verhaal te vertellen, maar we hebben deze voorbeelden gedeeld vanwege het risico dat dit conflict zich buiten de grenzen van Oekraïne zal uitstrekken. Organisaties over de hele wereld moeten naar hun inlichtingenteams kijken en eraan werken om ervoor te zorgen dat ze direct de defensieve houding van de organisatie aansturen. Organisaties moeten overwegen hoe hun tolerantie voor valse positieven is veranderd gezien de huidige bedreigingsomgeving en hun teams indien mogelijk agressiever moeten laten optreden.

De wereld is op dit moment gevaarlijker dan in decennia, en organisaties moeten creatief zijn in het herstructureren van hun verdediging. We zeggen vaak dat de mens uiteindelijk het meest cruciale onderdeel van je verdediging is. Dit is het soort dreigement dat we in gedachten hebben als we die uitspraak doen.

Van onze kant zal Cisco naast onze klanten blijven staan bij het bouwen van veerkrachtige netwerken om de vele mogelijke toekomsten die voor ons liggen het hoofd te bieden.

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events