האירוע
בחברת קמעונאות גדולה התקבלה התראה בזמן אמת על גישה לא מזוהה לחשבון Admin במערכת הניהול של חומת האש. ניסיון הגישה בוצע בשעה חריגה ומכתובת IP לא מוכרת. בנוסף, התקבלה התראה עוקבת על שינוי מדיניות שכלל הקמה ומחיקה של שני משתמשי VPN בחומת האש.
ממצאים
- באמצעות חיבור WAN, התוקף הצליח לחדור למערכת הניהול של חומת האש.
- סיסמת ה-Admin הייתה גנרית ולא הוחלפה במשך שנים.
- התוקף הכיר את תשתית הרשת הארגונית.
פעולות שננקטו
- התרענו על החדירה והדרכנו את צוות החקירה והטיפול של החברה לאורך האירוע כולו.
- בוצעה חסימה מידית לניהול חומת האש דרך חיבור WAN.
- בוצע ניטור רציף של כניסות משתמשי admin מכתובות IP זרות ו-ICOs.
התוצאה
התוקף אמנם השיג גישה למערכת הניהול של חומת האש הארגונית במטרה לפרוץ למערכות ברשת הארגונית, אך בזכות הפעולות המהירות שננקטו הגישה שלו נחסמה והמתקפה לא הצליחה. בנוסף, ננקטו אמצעים חדשים על מנת למנוע אירועים דומים בעתיד.
ואיך הלקוח סיכם את האירוע…
“מתקפה בעל פוטנציאל נזק גדול שנמנעה ברגע האחרון בזכות בקרה איכותית ותגובה מהירה בזמן אמת. הליווי וההנחיה של אקספריס היו מקצועיים ביותר והם עבדו עם הצוות האורגני כתף אל כתף ומנעו מתקפה משמעותית”.