Изтънчена атака, насочена към проникване на слънчеви духове и последващият компромис на хиляди клиенти, е поразителен със своя мащаб и потенциални последици.
За годината на жестоките уроци тази атака служи като много силно и неприятно напомняне - всеки може да хакне. Всеки. Никакъв контрол, софтуер, процеси и обучение не може да блокира всяка атака. Винаги можете да се стремите да намалите рисковете, но да се отървете от тях никога няма да успеят.
Също така припомнихме, че създадохме невероятна цифрова инфраструктура, която в случай на нейния компромис и улавяне на околната среда и тайните, може да има огромно влияние върху нашия свят, икономиката и живота, на която бавно свикват по време на пандемия. За нападателя тази цифрова инфраструктура също е средство за натрупване на огромно богатство от кражба на тайни, интелектуална собственост, изисквания за достъп до данни или изнудване, както и саботаж на противникови планове, независимо дали конкурент или нация.
Комуникация Атака Солар и привилегии
Никой продавач не може да гарантира, че решението му напълно ще предотврати нападението върху слънчевите духове и ние трябва да се пазим от такива изявления. В същото време компаниите могат да предприемат стратегически стъпки, за да предотвратят този вид нападения в бъдеще, ако осъзнаят и решат един от основните проблеми на управлението на наследствената инфраструктура. Този основен проблем със сигурността е необходимостта да се гарантира, че всяко приложение има неограничен достъп до всичко, което е в мрежата, или по отношение на привилегирования достъп, глобален споделен достъп с администратор или корен.Какво представлява глобален споделен административен достъп? Това е неограничен достъп до сметката (записи) към околната среда. Това обикновено означава, че заявлението без ограничения трябва да направи изключения от политиките за сигурност. Например, в списъка на системите за контрол на приложенията и се изключва от антивирусния софтуер, така че не е блокиран и не е маркиран с флаг. Сметката може да работи от името на потребителя, самата система или приложение за всички активи или ресурси в околната среда. Много професионалисти за киберсигурност наричат този вид достъп "Бог привилегии", носи огромен, неуспешен риск.
Глобалният споделен административен достъп обикновено се използва в наследени приложения за мониторинг, управление и автоматизация на местните технологии. Глобалните споделени администраторски сметки сервират в много инструменти, които са инсталирани в помещение и работят в нашата среда. Това включва решения за управление на мрежата, решения за управление на уязвимостите, инструменти за откриване на активи и решения за управление на мобилни устройства и това са само някои от множеството примери.
Основният проблем е, че тези административни сметки са необходими, за да работят правилно и затова не могат да работят чрез концепцията за управление на приложения с най-добрите привилегии, което е най-добрата практика за сигурност. Ако тези сметки са отменили привилегиите и разрешенията, заявлението най-вероятно няма да може да работи. Така те са снабдени с пълен и неограничен достъп до работа, което е масивна зона за атака.
В случай на слънчевиWinds, това е точно това, което се случи. Самата заявление е компрометирана чрез автоматична актуализация, а нападателите са използвали неограничен привилегирован достъп в околната среда на жертвата, използвайки това приложение. Атакуването може да изпълнява почти всички задачи, прикрити от Solarwinds, и дори се опита много да не ги изпълнява на системи, на които има средства за наблюдение и гарантиране на безопасността на напредналите доставчици. По този начин става очевидно, както следва: ако зловредният код е достатъчно сложен, за да заобиколи решенията за сигурност и да го изпълнява само върху тези обекти, където може да избегне откриването, тя ще направи това с помощта на глобални споделени административни привилегии. Никакво решение не може да открие и блокира такава атака.
Миналата година в нашия блог, в който дадохме прогнозата за киберсигурността за 2020 г., първо поставяме увеличаване на злонамерените автоматични актуализации. Така, въпреки че общата заплаха не е неизвестна или неочаквана, мащаба и разрушителните последици от тази конкретна атака Solarwinds ще звучат дълго време.
Как да се предотврати или премахнат атаките в организацията на които са включени наследени приложения
Тук има голям въпрос: как можем да надстроим нашата среда и да не зависи от приложения и сметки, изискващи прекомерни привилегии, които не са безопасни?
На първо място, с предимно такива наследени приложения, решения за управление на мрежи или управление на уязвимостите, например, базирани на технологията за сканиране са в ред. Просто остаряла технология и модели за сигурност за прилагане на такива приложения. Нещо изисква промяна.
Ако смятате, че нарушенията на Solarwinds са най-лошото нещо, което някога се е случвало в областта на киберсигурността, може да сте прав. За тези професионалисти в областта на киберсигурността, които се запомнят от Sasser, Blaster, Big Yellow, Mirai и Wannacry, обемът на влиянията на системата ще бъде сравним, но целта и полезността на тези червеи нямат сравнение с Solarwinds атака.
Сериозните заплахи вече съществуват десетки години, но никога преди да видим ресурса да бъде атакуван толкова сложен, че всички потенциални жертви и последиците от атаките ни не са известни досега. Когато Sasser или Wannacry удариха системата, техните собственици знаеха за това. Дори в случай на изнудване вирусите, ще научите за последствията за кратък период от време.
Във връзка със слънчевите спирали един от основните цели на нападателите трябваше да остане незабелязан. И не забравяйте, че днес съществува същия глобален проблем с други наследствени приложения. За организирането на атаки от хиляди компании могат да се използват и други приложения с глобални споделени административни привилегии в нашите медии, които ще доведат до ужасяващи резултати.
За съжаление, това не е уязвимост, която изисква корекция, а по-скоро неразрешено използване на възможностите на приложението, което се нуждае от тези привилегии.
Къде да започнем?
На първо място, трябва да идентифицираме и откриваме всички приложения в нашата среда, които са необходими такива прекомерни привилегии:
- Използване на инструмента за откриване на корпоративния клас, определете кои приложения имат еднаква привилегирована сметка за множество системи. Удобствата са най-често срещани и могат да се използват за хоризонтално разпределение.
- Направете инвентаризация на групата на администраторите на домейни и идентифицирайте всички подаващи заявления или услуги. Всяко приложение, което се нуждае от привилегиите на администратора на домейна, е висок риск.
- Разгледайте всички приложения, които са във вашия глобален списък с антивирусни изключения (в сравнение с изключенията на специфични възли). Те ще бъдат включени в първата и най-важната стъпка от стека за защита на крайната точка - предотвратяване на злонамерен софтуер.
- Разгледайте списъка с софтуер, използван в предприятието и определете кои привилегии са необходими чрез приложение за работа и извършване на автоматични актуализации. Това може да помогне да се определи дали привилегиите на местния администратор са необходими или местните администратор представляват правилната операция на приложението. Например, безлична сметка за увеличаване на привилегиите на приложението може да има сметка на местен възел за тази цел.
След това трябва да приложим къде е възможно да се управляват приложения въз основа на минималните необходими привилегии. Това предполага премахване на всички прекомерни привилегии на приложението. Както е споменато по-горе, не винаги е възможно. И накрая, за да се елиминира необходимостта от глобални споделени привилегировани сметки, може да се наложи, както следва:
- Актуализирайте приложението към по-ново решение
- Изберете нов доставчик, за да разрешите проблема
- Превод на натовареността в облака или друга инфраструктура
Помислете за пример за уязвимостта на управлението. Традиционните скенери за уязвимост използват глобална споделена привилегия (понякога повече от една), за да се свържат дистанционно с целта и удостоверяването като административна сметка, за да определите уязвимостите. Ако възелът е компрометиран от злонамерено софтуерно сканиране, тогава хеш, използван за удостоверяване, може да се събира и използва за хоризонтално разпределение в мрежата и да се установи постоянно присъствие.
Venndors на системите за управление на уязвимостта са осъзнали този проблем и вместо да съхраняват постоянна административна сметка за сканиране, те са интегрирани с предпочитан разтвор за контрол на достъпа (PAM), за да получат настоящ привилегирован профил, за да завършите сканирането. Когато няма решения за PAM, инструментите за управление на уязвимостите също намаляват риска, развиват местни агенти и инструменти, които могат да използват API, за да оценят вместо един споделен административен акаунт за оторизирано сканиране.
Моята гледна точка на този пример е проста: наследствена технология за управление на уязвимостта се е развила по такъв начин, че вече не излага клиенти с огромен риск, свързан с глобалните сметки на приложения и достъп до тях. За съжаление, много други технологии на продавачите не са променили решенията си, а заплахата остава, докато старите решения бъдат заменени или модернизирани.
Ако имате инструменти за управление на които се изискват глобални общи административни сметки, тогава задачата от първостепенно значение за 2021 г. трябва да бъде заменяща тези инструменти или тяхната актуализация. Уверете се, че решенията, които купувате, са разработени от доставчиците, които вече се доставят от тази заплаха.
И накрая, помислете за управлението на привилегиите на заявленията въз основа на принципа на най-малко необходимите привилегии. PAM решенията са предназначени да съхраняват тайни и да позволяват на приложенията да работят с минимално ниво на привилегията, дори ако не са били предназначени за работа с тези приложения.
Връщайки се към нашия пример, решенията за управление на уязвимостите могат да използват привилегиите на UNIX и Linux за извършване на сканирания на уязвимостта, дори ако не бяха предоставени със собствен привилегирован достъп. Инструментът за управление на привилегиите изпълнява команди от името на скенера и връща резултатите. Той изпълнява скенера команди с най-малките привилегии и не изпълнява неподходящите си команди, например, изключваща системата. В известен смисъл принципът на най-малките привилегии на тези платформи прилича на SUDO и може да контролира, ограничава и изпълнява приложения с привилегии, независимо от процеса, който се обажда на командата. Това е само един начин за управление на привилегирования достъп може да се прилага за някои остарели приложения в случаите, когато се изискват прекомерни привилегии и подходящата замяна не е възможна.
Намалено CIBERIAN през 2021 г. и по-нататък: следните основни стъпки
Всяка организация може да бъде целта на натрапниците и всяко приложение с прекомерни привилегии може да се използва срещу цялата компания. Инцидентът на Solarwinds трябва да насърчи всички ние да преразгледаме и идентифицираме тези приложения, чиято работа е свързана с рисковете от прекомерен привилегирован достъп. Трябва да определим как можете да смекчите заплахата, дори ако е невъзможно да го елиминирате в момента.
В крайна сметка, вашите усилия за намаляване на рисковете и премахване на техните последици може да ви доведе до замяна на приложения или преход към облака. Безспорно един - концепцията за привилегированото управление на достъпа е приложима за приложения, както и за хората. Ако вашите приложения не се контролират правилно, те могат да застрашат безопасността на цялото предприятие. И нищо не трябва да има неограничен достъп в околната среда. Това е една слаба връзка, която трябва да идентифицираме, изтриваме и избегнем в бъдеще.
По-интересен материал на cisoclub.ru. Абонирайте се за нас: Facebook | VK | Twitter | Instagram | Телеграма | Zen | Messenger | ICQ нов |. \ T YouTube | Импулс.