'N Gesofistikeerde aanval wat gerig is op die penetrasie van Solarwinds Orion en die daaropvolgende kompromie van duisende van sy kliënte is opvallend met sy skaal en potensiële gevolge.
Vir die jaar van wrede lesse dien hierdie aanval as 'n baie harde en onaangename herinnering - enigiemand kan hack. Enigeen. Geen sekuriteitsbeheer, sagteware, prosesse en opleiding kan nie elke aanval blokkeer nie. Jy kan altyd en moet daarna streef om die risiko's te verminder, maar om van hulle ontslae te raak, sal nooit slaag nie.
Ons het ook onthou dat ons 'n wonderlike digitale infrastruktuur geskep het, wat in die geval van sy kompromie en geheime sy omgewing en geheime 'n groot impak op ons wêreld kan hê, die ekonomie en die lewe waaraan ons stadig gewoond is tydens 'n pandemie. Vir 'n aanvaller is hierdie digitale infrastruktuur ook 'n manier om 'n groot rykdom op te bou deur diefstal van geheime, intellektuele eiendom, vereistes vir toegang tot data of afpersing, asook sabotasie van opponentplanne, of 'n mededinger of nasie.
Kommunikasie-aanval Solarwinds en Toepassingsregte
Geen verskaffer kan waarborg dat sy besluit die aanval op Solarwinds heeltemal sal voorkom nie, en ons moet oppas op sulke stellings. Terselfdertyd kan maatskappye strategiese stappe doen om hierdie tipe aanvalle in die toekoms te voorkom as hulle een van die fundamentele probleme van die bestuur van die geërfde infrastruktuur besef en besluit. Hierdie basiese sekuriteitsprobleem is die behoefte om te verseker dat enige aansoek onbeperkte toegang tot alles in die netwerk het, of in terme van bevoorregte toegang, globale gedeelde toegang met administrateur of wortelregte.Wat is globale gedeelde administratiewe toegang? Dit is 'n onbeperkte toegang tot die omgewing (inskrywings). Dit beteken gewoonlik dat die aansoek sonder beperkinge die uitsonderings moet maak op sekuriteitsbeleid. Byvoorbeeld, 'n rekening kan in die lys van aansoekbeheerstelsels ingesluit word en word uitgesluit van anti-virus sagteware, dus dit is nie geblokkeer en nie gemerk met 'n vlag nie. Die rekening kan namens die gebruiker werk, die stelsel self of aansoek op enige bates of hulpbron in die omgewing. Baie cybersecurity professionals noem hierdie tipe toegang "God se voorregte", dit dra 'n massiewe, onompliseerbare risiko.
Globale gedeelde administratiewe toegang word gewoonlik in geërfde toepassings gebruik vir monitering, bestuur en outomatisering van plaaslike tegnologie. Globale gedeelde administrateur rekeninge dien in baie gereedskap wat op 'n premissie geïnstalleer is en in ons omgewings werk. Dit sluit in oplossings vir netwerkbestuur, kwesbaarhede bestuursoplossings, gereedskap vir die opsporing van bates en oplossings vir die bestuur van mobiele toestelle, en dit is net 'n paar van die veelvuldige voorbeelde.
Die grootste probleem is dat hierdie administratiewe rekeninge met volle toegang nodig is om behoorlik te werk, en daarom kan hulle nie werk met die konsep van die bestuur van aansoeke met die laagste voorregte nie, wat die beste sekuriteitspraktyk is. As hierdie rekeninge voorregte en toestemmings ingetrek het, sal die aansoek waarskynlik nie kan werk nie. So word hulle voorsien van volle en onbeperkte toegang tot werk, wat 'n massiewe gebied vir aanval is.
In die geval van Solarwinds, is dit presies wat gebeur het. Die aansoek self is gekompromitteer deur outomatiese opdatering, en aanvallers het onbeperkte bevoorregte toegang in die slagofferomgewing gebruik deur hierdie aansoek te gebruik. Aanvalle kan byna enige take verrig wat deur Solarwinds vermom word, en het selfs baie moeilik probeer om hulle nie op stelsels te verrig waarop daar die veiligheid van gevorderde verkopers kan voldoen nie. Dit word dus soos volg voor die hand liggend: as die kwaadwillige kode gesofistikeerd genoeg is om sekuriteitsoplossings te omseil en dit slegs op die voorwerpe te verrig waar dit opsporing kan vermy, sal dit dit doen met behulp van globale gedeelde administratiewe voorregte. Geen oplossing kan so 'n aanval opspoor en blokkeer nie.
Verlede jaar in ons blog, waarin ons die Cybersecurity-voorspelling vir 2020 gegee het, het ons eers 'n toename in kwaadwillige outomatiese opdaterings. Dus, hoewel die totale bedreiging nie 'n onbekende of onverwagte, skaal en vernietigende gevolge van hierdie spesifieke aanval was nie, sal solarwindings vir 'n lang tyd klink.
Hoe om aanvalle te voorkom of uit te skakel in die organisasie waarvan geërfde aansoeke betrokke is
Daar is 'n groot vraag hier: Hoe kan ons ons omgewings opgradeer en nie afhang van toepassings en rekeninge wat oormatige voorregte vereis nie, wat onveilig is?
Eerstens, met meestal sulke geërfde toepassings, oplossings vir netwerkbestuur of kwesbaarhedebestuur, byvoorbeeld, gebaseer op skanderingstegnologie, is almal in orde. Net verouderde tegnologie en sekuriteitsmodelle om sulke toepassings te implementeer. Iets vereis 'n verandering.
As jy dink dat Solarwind se oortredings die ergste is wat ooit op die gebied van die kuberekuriteit gebeur het, kan jy reg wees. Vir die professionele persone op die gebied van die kuberekuriteit, wat deur Sasser, Blaster, Big Geel, Mirai en Wannancry onthou word, sal die volume van invloede op die stelsel vergelykbaar wees, maar die teiken en loonvrag van hierdie wurms het geen vergelyking met die Solarwinds aanval.
Ernstige bedreigings het reeds dekades van jare bestaan, maar nooit voordat ons die hulpbron gesien het nie, is dit so gesofistikeerd dat alle potensiële slagoffers en die gevolge van aanvalle nie tot dusver aan ons bekend is nie. Toe Sasser of Wannacry die stelsel getref het, het hulle eienaars daarvan geweet. Selfs in die geval van afpersing virusse, sal jy vir 'n kort tydperk oor die gevolge leer.
In verband met Solarwinds was een van die hoofdoelwitte van aanvallers onopgemerk. En moenie vergeet dat vandag dieselfde globale probleem met ander geërfde aansoeke bestaan nie. Vir die organisasie van aanvalle op duisende maatskappye kan ander toepassings met globale gedeelde administratiewe voorregte in ons media gebruik word, wat tot skrikwekkende resultate sal lei.
Ongelukkig is dit nie 'n kwesbaarheid wat regstelling vereis nie, maar eerder 'n ongemagtigde gebruik van die vermoëns van die aansoek wat hierdie voorregte benodig.
So waar om te begin?
Eerstens moet ons alle aansoeke in ons omgewing identifiseer en opspoor, wat sulke buitensporige voorregte benodig word:
- Met behulp van die Enterprise Class Detection Tool, bepaal watter programme dieselfde bevoorregte rekening op verskeie stelsels het. Die geloofsbriewe is waarskynlik algemeen en kan vir horisontale verspreiding gebruik word.
- Maak 'n inventaris van die Domein Administrateurs Groepgroep en identifiseer al die aansoekrekeninge of dienste wat teenwoordig is. Enige aansoek wat die voorregte van die domeinadministrateur benodig, is 'n hoë risiko.
- Blaai deur alle toepassings wat in u wêreldwye antivirus-uitsonderingslys is (in vergelyking met uitsonderings op spesifieke nodusse). Hulle sal betrokke wees by die eerste en belangrikste stap van u eindpunt sekuriteitstapel - voorkom malware.
- Blaai deur die lys sagteware wat in die onderneming gebruik word en bepaal watter voorregte benodig word deur 'n aansoek om te werk en outomatiese opdaterings te verrig. Dit kan help om te bepaal of die voorregte van die plaaslike administrateur benodig word of plaaslike administrateur verantwoordelik is vir die korrekte operasie van die aansoek. Byvoorbeeld, 'n onpersoonlike rekening vir die verhoging van die voorregte van die aansoek kan 'n rekening op 'n plaaslike nodus vir hierdie doel hê.
Dan moet ons implementeer waar dit moontlik is om aansoeke te bestuur wat gebaseer is op die minimum nodige voorregte. Dit impliseer die verwydering van alle oormatige voorregte van die aansoek. Soos hierbo genoem, is dit egter nie altyd moontlik nie. Ten slotte, om die behoefte aan globale gedeelde bevoorregte rekeninge uit te skakel, kan u soos volg nodig hê:
- Dateer die aansoek op 'n nuwer oplossing op
- Kies 'n nuwe verskaffer om die probleem op te los
- Vertaal werklading in die wolk of 'n ander infrastruktuur
Oorweeg as 'n voorbeeldbestuur kwesbaarhede. Tradisionele kwesbaarheid Skandeerders gebruik 'n wêreldwye gedeelde bevoorregte rekening (soms meer as een) om op afstand te koppel aan teiken en verifikasie as 'n administratiewe rekening om kwesbaarhede te bepaal. As die nodus deur 'n kwaadwillige sagteware skandering gekompromitteer word, kan die hash wat vir verifikasie gebruik word, versamel en gebruik word vir horisontale verspreiding oor die netwerk en 'n konstante teenwoordigheid vestig.
Vennde van die kwesbaarheidsbestuurstelsels het hierdie probleem besef en in plaas van om 'n konstante administratiewe rekening vir skandering te stoor, is hulle geïntegreer met 'n voorkeur-toegangsbeheeroplossing (PAM) om 'n huidige bevoorregte rekening te bekom om die skandering te voltooi. Toe daar geen Pam Solutions was nie, het verskaffers van kwesbaarhede bestuursinstrumente ook die risiko verminder, plaaslike agente en gereedskap ontwikkel wat API kan gebruik om te evalueer in plaas van 'n enkele gedeelde administratiewe rekening vir gemagtigde skandering.
My standpunt oor hierdie voorbeeld is eenvoudig: geërfde kwesbaarheidsbestuurstegnologie het op so 'n wyse ontwikkel dat dit nie meer kliënte blootstel met 'n groot risiko wat verband hou met globale aansoekrekeninge en toegang tot hulle nie. Ongelukkig het baie ander verskaffers tegnologie nie hul besluite verander nie, en die bedreiging bly totdat die ou oplossings vervang of gemoderniseer word.
As u gereedskap het om te bestuur watter globale gedeelde administratiewe rekeninge benodig word, moet die belangrikste belang vir 2021 hierdie instrumente of hul opdatering vervang. Maak seker dat die oplossings wat u koop, ontwikkel word deur verkopers wat reeds uit hierdie bedreiging lewer.
Ten slotte, dink aan die bestuur van die voorregte van aansoeke gebaseer op die beginsel van die minste nodige voorregte. Pam Solutions is ontwerp om geheime te stoor en om aansoeke toe te laat om met 'n minimum voorregvlak te werk, selfs al is dit nie oorspronklik ontwerp om met hierdie aansoeke te werk nie.
Om terug te keer na ons voorbeeld, kan kwesbaarheidsbestuursoplossings UNIX en Linux-voorregte gebruik om kwesbaarheidskans te verrig, selfs al is hulle nie van hul eie bevoorregte toegang nie. Die voorregbestuursinstrument voer die opdragte namens die skandeerder uit en gee die resultate op. Dit voer die skandeerder opdragte uit met die kleinste voorregte en vervul nie sy onvanpaste opdragte nie, byvoorbeeld om die stelsel af te skakel. In 'n sekere sin lyk die beginsel van die kleinste voorregte op hierdie platforms op sudo en kan die programme met voorregte beheer, beperk en uitvoer, ongeag die proses wat die opdrag noem. Dit is net een manier om bevoorregte toegang te bestuur, kan toegepas word op sommige verouderde toepassings in gevalle waar oormatige voorregte benodig word en die toepaslike vervanging nie moontlik is nie.
Verminderde Ciberiërs in 2021 en verder: die volgende hoofstappe
Enige organisasie kan die teiken van indringers wees, en enige aansoek met oormatige voorregte kan teen die hele maatskappy gebruik word. Die Solarwinds-voorval moet ons almal aanmoedig om die toepassings te hersien en te identifiseer wie se werk geassosieer word met die risiko's van oormatige bevoorregte toegang. Ons moet bepaal hoe u die bedreiging kan versag, selfs al is dit onmoontlik om dit nou uit te skakel.
Uiteindelik kan u pogings om risiko's te verminder en om hul gevolge te verminder, u kan lei om aansoeke of oorgang na die wolk te vervang. Ongetwyfeld is een - die konsep van bevoorregte toegangsbestuur is van toepassing op aansoeke sowel as vir mense. As u aansoeke nie behoorlik beheer word nie, kan hulle die veiligheid van die hele onderneming in gevaar stel. En niks moet onbeperkte toegang in jou omgewing hê nie. Dit is een swak skakel wat ons moet identifiseer, verwyder en vermy in die toekoms.
Meer interessante materiaal op cisoclub.ru. Teken in op ons: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NUUS | YouTube | Pols.