Витончена атака, спрямована на проникнення в SolarWinds Orion і подальшу компрометацію тисяч її клієнтів, вражає своєю масштабністю і потенційними наслідками.
За рік жорстоких уроків, ця атака є дуже гучним і неприємним нагадуванням - будь-якого можна зламати. Будь-кого. Ніякої контроль безпеки, програмне забезпечення, процеси і навчання не можуть блокувати кожну атаку. Ви завжди можете і повинні прагнути знизити ризики, але позбутися від них повністю ніколи не вийде.
Нам також нагадали про те, що ми створили дивовижну цифрову інфраструктуру, яка, в разі її компрометації і захоплення її середовища і секретів, може надати величезний вплив на наш світ, економіку і життя, до якої ми повільно звикали під час пандемії. Для зловмисника ця цифрова інфраструктура також є засобом накопичення величезного багатства за допомогою крадіжки секретів, інтелектуальної власності, вимоги викупу за доступ до даних або шантажу, а також саботування планів противника, будь то конкурент або нація.
Зв'язок атаки SolarWinds і привілеїв додатків
Жоден вендор не може гарантувати, що його рішення повністю запобігло б атаку на SolarWinds, і нам слід остерігатися подібних заяв. При цьому компанії можуть зробити стратегічні кроки щодо запобігання даного типу атак в майбутньому, якщо вони усвідомлюють і вирішать одну з фундаментальних проблем управління успадкованої інфраструктурою. Ця основна проблема безпеки полягає в необхідності того, щоб будь-який додаток мало необмежений доступ до всього, що знаходиться в мережі, або, з точки зору управління привілейованим доступом, глобальний розподілений доступ з правами адміністратора або root.Що таке глобальний розділяється адміністративний доступ? Це необмежений доступ облікового запису (записів) до середовища. Зазвичай це означає, що для роботи програми без обмежень потрібно зробити виключення з політик безпеки. Наприклад, обліковий запис може бути включена в список дозволених в системах контролю додатків і виключена з антивірусного програмного забезпечення, тому вона не блокується і не позначена прапорцем. Обліковий запис може працювати від імені користувача, самої системи або додатки на будь-якому активі або ресурсі в середовищі. Багато фахівців в області кібербезпеки називають цей тип доступу "god privileges", він несе в собі масивний, незнижуваний ризик.
Глобальний розділяється адміністративний доступ зазвичай використовується в успадкованих додатках для моніторингу, управління і автоматизації локальних технологій. Глобальні розділяються облікові записи адміністратора уществует в багатьох інструментах, які встановлені on-premise і працюють в наших середовищах. Сюди входять рішення для управління мережею, рішення для управління уразливими, інструменти для виявлення активів і рішення для управління мобільними пристроями, і це лише деякі з безлічі прикладів.
Основною проблемою є те, що ці адміністративні облікові записи з повним доступом необхідні для належного функціонування рішення, і тому вони не можуть працювати, використовуючи концепцію управління додатками з найменшими привілеями, яка є кращою практикою в галузі безпеки. Якщо у цих облікових записів відкликані привілеї та дозволу, то додаток, швидше за все, не зможе працювати. Таким чином, їм надається повний і необмежений доступ для роботи, що представляє собою масивну площу для атаки.
В случає з SolarWinds саме це і сталося. Сам додаток було скомпрометовано через автоматичне оновлення, і зловмисники скористалися необмеженим привілейованим доступом в середовищі жертви за допомогою цього додатка. Атакуючі могли виконувати практично будь-які завдання, замасковані під SolarWinds, і навіть дуже намагалися не виконувати їх на системах, на яких присутні засоби моніторингу та забезпечення безпеки просунутих вендорів. Таким чином, стає очевидним наступне: якщо шкідливий код досить витончений, щоб обходити рішення безпеки і виконувати його тільки на тих об'єктах, де він може уникнути виявлення, він буде робити це, використовуючи глобальні розділяються адміністративні привілеї. Жодне рішення не змогло б виявити і заблокувати таку атаку.
У минулому році в нашому блозі, в якому ми давали прогноз кібербезпеки на 2020 рік, на перше місце ми поставили зростання шкідливого автоматичного оновлення. Таким чином, хоча загальна загроза не була невідомою або несподіваною, масштаби і руйнівні наслідки цієї специфічної атаки SolarWinds будуть звучати ще довгий час.
Як запобігти або усунути атаки, в організації яких задіяні успадковані додатки
Тут виникає велике питання: як можна модернізувати наші середовища і не залежати від додатків і облікових записів, які потребують надмірних привілеїв, що небезпечно?
Перш за все, з більшою частиною таких успадкованих додатків - рішеннями для мережевого управління або управління уразливими, наприклад, заснованими на технології сканування - все в порядку. Просто застаріли технології та моделі безпеки для впровадження таких програм. Дещо вимагає зміни.
Якщо ви вважаєте, що порушення SolarWinds - це найгірше, що коли-небудь траплялося в сфері кібербезпеки, можливо, ви маєте рацію. Для тих професіоналів в області кібербезпеки, які пам'ятають Sasser, Blaster, Big Yellow, Mirai і WannaCry, обсяг впливів на систему порівняємо, але мета і корисне навантаження цих черв'яків не йде ні в яке порівняння з атакою SolarWinds.
Серйозні загрози існують вже десятки років, але ніколи раніше ми не бачили, щоб ресурс був атакований так витончено, що всі потенційні жертви і наслідки атак нам не відомі досі. Коли Sasser або WannaCry вражав системи, їх власники знали про це. Навіть в разі вірусів-вимагачів ви дізнаєтеся про наслідки протягом короткого періоду часу.
У зв'язку з SolarWinds однією з основних цілей зловмисників було залишатися непоміченим. І не забувайте, що сьогодні все та ж глобальна проблема існує і з іншими успадкованими додатками. Для організації атак на тисячі компаній можуть бути використані інші додатки з глобальними розділяються адміністративними привілеїв в наших середовищах, що призведе до жахливих наслідків.
На жаль, це не є вразливістю, яка вимагає виправлення, а скоріше несанкціоноване використання можливостей програми, якому потрібні ці привілеї.
Отже, з чого почати?
Перш за все нам потрібно ідентифікувати та виявити всі програми в нашому середовищі, яким потрібні такі надмірні привілеї:
- Використовуючи інструмент виявлення класу «enterprise», визначте, які програми мають одну і ту ж привілейовану обліковий запис на декількох системах. Облікові дані, швидше за все, є загальними і можуть бути використані для горизонтального поширення.
- Зробіть інвентаризацію групи «Domain Administrators Group» і ідентифікуйте всі присутні облікові записи додатків або служб. Будь-який додаток, якому потрібні привілеї адміністратора домену, є високий ризик.
- Перегляньте всі додатки, які знаходяться у вашому глобальному списку винятків антивіруса (в порівнянні з винятками на певних вузлах). Вони будуть задіяні в перше і найважливіше кроці вашого стека безпеки кінцевих точок - запобігання шкідливого ПЗ.
- Перегляньте список програмного забезпечення, використовуваного на підприємстві, і визначте, які привілеї необхідні додатком для роботи і виконання автоматичних оновлень. Це може допомогти визначити, чи потрібні привілеї локального адміністратора або облікові записи локального адміністратора для коректної роботи програми. Наприклад, знеособлена обліковий запис для підвищення привілеїв програми може мати обліковий запис на локальному вузлі тільки для цієї мети.
Потім ми повинні впровадити там, де можливо, управління додатками на основі мінімально необхідних привілеїв. Це передбачає видалення всіх надмірних привілеїв додатки. Однак, як уже говорилося вище, це не завжди можливо. І нарешті, для усунення необхідності в глобальних поділюваних привілейованих облікових записах вам може знадобитися наступне:
- Оновити додаток до більш нової версії рішення
- Вибрати нового вендора для вирішення проблеми
- Перекласти робоче навантаження в хмару або на іншу інфраструктуру
Розглянемо як приклад управління уразливими. Традиційні сканери для оцінки вразливості використовують глобальну розділяється привілейовану обліковий запис (іноді більше однієї) для віддаленого підключення до мети і аутентифікації в якості адміністративної облікового запису для визначення вразливостей. Якщо вузол скомпрометований шкідливим ПЗ, сканирующим пам'ять, то хеш, який використовується для аутентифікації, можна зібрати і використовувати для горизонтального поширення по мережі і встановлення постійної присутності.
Вендори систем управління уразливими усвідомили цю проблему і замість того, щоб зберігати постійну адміністративну обліковий запис для сканування, вони інтегруються з рішенням управління привілейованим доступом (PAM), щоб отримати поточну привілейовану обліковий запис для завершення сканування. Коли не було рішення PAM, вендори засобів управління уразливими також знижували ризик, розробляючи локальні агенти і інструменти, які можуть використовувати API для оцінки замість єдиної розділяється адміністративної облікового запису для авторизованого сканування.
Моя точка зору на цей приклад проста: успадкована технологія управління уразливими еволюціонувала таким чином, що вона більше не піддає клієнтів величезному ризику, пов'язаного з глобальними обліковими записами додатків і доступом до них. На жаль, багато інших вендори технологій не змінили свої рішення, і загроза залишається до тих пір, поки старі рішення не будуть замінені або модернізовані.
Якщо у вас є інструменти, для управління якими потрібні такі глобальні розділяються адміністративні облікові записи, то завданням першорядної важливості на 2021 рік має стати заміна цих інструментів або їх оновлення. Переконайтеся, що рішення, які ви купуєте, розроблені вендорами, вже позбувся цієї загрози.
І нарешті, подумайте про управління привілеями додатків на основі принципу найменш необхідних привілеїв. PAM-рішення розроблені так, щоб зберігати секрети і дозволяти програмам працювати з мінімальним рівнем привілеїв, навіть якщо вони спочатку не були спроектовані для роботи з цими додатками.
Повертаючись до нашого прикладу, рішення для управління уразливими можуть використовувати технології управління привілеями Unix і Linux для виконання сканування вразливостей, навіть якщо їм не було надано власний привілейований доступ. Інструмент управління привілеями виконує команди від імені сканера і повертає результати. Він виконує команди сканера з найменшими привілеями і не виконує його недоречні команди, наприклад, виключення системи. В якомусь сенсі, принцип найменших привілеїв на цих платформах нагадує sudo і може контролювати, обмежувати та запускати програми з привілеями, незалежно від процесу, що викликає команди. Це всього лише один із способів, як управління привілейованим доступом може застосовуватися до деяких застарілим додатків в випадках, коли потрібні надмірні привілеї і підходяща заміна неможлива.
Зниження кіберріска в 2021 році і далі: такі основні кроки
Будь-яка організація може бути мішенню зловмисників, а будь-який додаток з надмірними привілеями може бути використано проти всієї компанії. Інцидент з SolarWinds повинен спонукати всіх нас переглянути і ідентифікувати ті додатки, робота яких пов'язана з ризиками надмірного привілейованого доступу. Ми повинні визначити, як можна пом'якшити загрозу, навіть якщо усунути її прямо зараз неможливо.
В кінцевому рахунку, ваші зусилля по зниженню ризиків і усунення їх наслідків можуть привести вас до заміни додатків або переходу в хмару. Безсумнівно одне - концепція управління привілейованим доступом може бути застосована до додатків так само, як і до людей. Якщо ваші програми не управляються належним чином, вони можуть поставити під загрозу безпеку всього підприємства. І ніщо не повинно мати необмежений доступ в вашому середовищі. Це одна слабка ланка, яке ми повинні ідентифікувати, видалити і уникати в майбутньому.
Більше цікавого матеріалу на cisoclub.ru. Підписуйтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | дзен | Мессенджер | ICQ New | YouTube | Pulse.