Sofisticirani napad usmjeren na prodor solarnih luđaka Orion i naknadni kompromis od hiljada svojih kupaca upečatljiv je sa svojim razmjerima i potencijalnim posljedicama.
Za godinu okrutne lekcije, ovaj napad služi kao vrlo glasan i neugodan podsjetnik - svako može hakirati. Bilo ko. Nema sigurnosne kontrole, softvera, procesa i obuke ne mogu blokirati svaki napad. Uvijek možete i trebate nastojati smanjiti rizike, ali da biste ih se riješili nikada neće uspjeti.
Podsjetili smo se i da smo stvorili neverovatnu digitalnu infrastrukturu, koja u slučaju njegovog kompromisa i uhvate njeno okruženje i tajne, može imati ogroman utjecaj na naš svijet, ekonomiju i život na koji se polako naviknu na pandemiju. Za napadača ova digitalna infrastruktura također je sredstvo za nakupljanje ogromnog bogatstva krađe tajna, intelektualnog vlasništva, zahtjeva za pristup podacima ili ucjenjivanju, kao i sabotaža protivničkih planova, bilo da su natjecatelj ili nacija.
Komunikacijski napad Solarwinds i privilegije aplikacije
Nijedan dobavljač ne može jamčiti da će njegova odluka u potpunosti spriječiti napad na solarne okružene i trebali bismo se čuvati takvih izjava. Istovremeno, kompanije mogu poduzeti strateške korake za sprečavanje ove vrste napada u budućnosti ako shvate i odlučuju jedan od osnovnih problema upravljanja naslijeđenom infrastrukturom. Ovaj osnovni sigurnosni problem je potreba da se osigura da svaka aplikacija ima neograničen pristup svemu što je u mreži, ili, u smislu privilegiranog pristupa, globalnog zajedničkog pristupa administratoru ili korijenskim pravima.Koji je globalni zajednički administrativni pristup? Ovo je neograničen pristup računa (unosi) u okoliš. To obično znači da aplikacija bez ograničenja treba izvršiti izuzeće od sigurnosnih politika. Na primjer, račun može biti uključen u popis sustava upravljanja aplikacijama i isključen je iz antivirusnog softvera, tako da nije blokiran i nije označen sa zastavom. Račun može raditi u ime korisnika, sam sustav ili aplikaciju na bilo kojoj imovini ili resurs u okolišu. Mnogi stručnjaci za cyber-sigurnosnost nazivaju ovu vrstu pristupa "Božjima privilegijama", ona nosi masivan, nekomprimirani rizik.
Globalni zajednički administrativni pristup obično se koristi u nasljednim aplikacijama za nadgledanje, upravljanje i automatizaciju lokalne tehnologije. Globalni zajednički administratorski računi servisiraju u mnogim alatima koji su ugrađeni u premisno i rade u našem okruženju. Ovo uključuje rješenja za upravljanje mrežom, ranjivo rješenja za upravljanje, alate za otkrivanje imovine i rješenja za upravljanje mobilnim uređajima, a to su samo neki od višestrukih primjera.
Glavni problem je što su ovi administrativni računi sa potpunim pristupom potrebni za rad pravilno, a samim tim ne mogu raditi koristeći koncept upravljačkih aplikacija sa najnižim privilegijama, što je najbolja sigurnosna praksa. Ako su ti računi oduzeli privilegije i dozvole, aplikacija će najvjerovatnije moći raditi. Stoga im se pruža potpuni i neograničeni pristup radu, što je ogromno područje za napad.
U slučaju solarnih vještina, to se upravo dogodilo. Sama aplikacija bila je ugrožena automatskom ažuriranjem, a napadači su koristili neograničen privilegirani pristup u okruženju žrtve koristeći ovu aplikaciju. Napadanje bi moglo izvesti gotovo sve zadatke prikrivene solarnim mjernim mjestima, a čak su se jako trudili da ih ne izvode na sistemima na kojima postoje načini praćenja i osiguravanje sigurnosti naprednih dobavljača. Dakle, postaje očigledno kako slijedi: Ako je zlonamjerni kod dovoljno sofisticiran da zaobiđe sigurnosna rješenja i izvedi ga samo na tim objektima u kojima može izbjeći otkrivanje, to će to učiniti koristeći globalne zajedničke administrativne privilegije. Nijedno rješenje ne može otkriti i blokirati takav napad.
Prošle godine u našem blogu, u kojem smo dali prognozu cyber-sigurnosti za 2020., prvo smo povećali zlonamjerna automatska ažuriranja. Dakle, iako ukupna prijetnja nije bila nepoznanica ili neočekivane, razmjere i destruktivne posljedice ovog konkretnog napada Solarwinds će dugo vremena zvučati.
Kako spriječiti ili ukloniti napade u organizaciji koje su uključene nasljevne prijave
Ovdje je veliko pitanje: Kako možemo nadograditi našim sredinama i ne ovisiti o aplikacijama i računima koji zahtijevaju pretjerane privilegije, što je nesigurno?
Prije svega, sa uglavnom takvim nasljednim aplikacijama, rješenja za upravljanje mrežnim upravljanjem ili ranjivosti, na primjer, na temelju tehnologije skeniranja su u redu. Samo zastarjeli tehnologijski i sigurnosni modeli za implementaciju takvih aplikacija. Nešto zahtijeva promjenu.
Ako mislite da su kršenja solarnih luka najgora stvar koja se ikada dogodila u oblasti cyber-sigurnosti, možda ste u pravu. Za one profesionalce u oblasti cyber-sigurnosti, koji se pamti sa Sassere, Blaster, Veliki žuti, Mirai i Wannacry, obim utjecaja na sustav bit će uporedivi, ali cilj i korist ovih crva nemaju poređenje sa Napad Solarwindsa.
Ozbiljne prijetnje već su postojale desetine godina, ali nikad prije nego što smo vidjeli da se resurs napadne tako sofisticirano da nam se svi potencijalne žrtve i posljedice napada do sada ne poznaju. Kad se sasser ili wannacry pogodi u sustav, njihovi su vlasnici znali za to. Čak i u slučaju virusa iznude, naučit ćete o posljedicama u kratkom vremenskom periodu.
U vezi sa Solarwindsom jedan od glavnih ciljeva napadača bio je ostati nezapaženo. I ne zaboravite da danas postoji isti globalni problem s drugim nasljednim aplikacijama. Za organizaciju napada na hiljade kompanija mogu se koristiti i druge prijave sa globalnim administrativnim privilegijama u našim medijima, što će dovesti do zastrašujućih rezultata.
Nažalost, to nije ranjivost koja zahtijeva korekciju, već neovlašteno korištenje mogućnosti primjene koje su potrebne ove privilegije.
Pa gdje treba započeti?
Prije svega, moramo identificirati i otkriti sve aplikacije u našem okruženju, koje su potrebne takve prekomjerne privilegije:
- Koristeći alat za otkrivanje klase poduzeća, odredite koje aplikacije imaju isti privilegirani račun na više sustava. Vjerodajnice su najvjerovatnije uobičajene i mogu se koristiti za horizontalnu distribuciju.
- Napravite popis grupne grupe administratora domena i identificirajte sve prisutne aplikacije ili usluge. Svaka aplikacija koja su potrebna privilegija administratora domene je visoki rizik.
- Pregledajte sve aplikacije koje su na vašoj globalnoj listi iznimka antivirusa (u poređenju s izuzecima od određenih čvorova). Oni će biti uključeni u prvi i najvažniji korak vaše end točke sigurnosne skupine - spriječiti zlonamjerni softver.
- Pregledajte listu softvera koji se koristi u preduzeću i određuju koje su privilegije potrebne aplikacijom za rad i obavljanje automatskih ažuriranja. To može pomoći u određivanju da li su privilegije lokalnog administratora potrebni ili lokalni administrator radi ispravne operacije aplikacije. Na primjer, bezlični račun za povećanje privilegija aplikacije može imati račun na lokalnom čvoru u tu svrhu.
Tada moramo implementirati gdje je moguće upravljati aplikacijama na osnovu minimum potrebnih privilegija. To podrazumijeva uklanjanje svih prekomjernih privilegija aplikacije. Međutim, kao što je već spomenuto, nije uvijek moguće. Konačno, da biste uklonili potrebu za globalnim zajedničkim privilegiranim računima, možda ćete trebati sljedeće:
- Ažurirajte aplikaciju na novije rešenje
- Odaberite novi dobavljač za rješavanje problema
- Prevedi radno opterećenje u oblaku ili neku drugu infrastrukturu
Razmotrite kao primjeru ranjivosti upravljanja. Tradicionalni skeneri ranjivosti koriste globalni dijeljeni privilegirani račun (ponekad više od jednog) daljinski se povezuju na ciljnu i autentifikaciju kao administrativni račun za utvrđivanje ranjivosti. Ako čvor kompromituje zlonamjerna skeniranja softvera, tada se hash koristi za provjeru autentičnosti može se prikupiti i koristiti za horizontalnu distribuciju preko mreže i uspostaviti stalno prisustvo.
Venndor sistema upravljanja ranjivošću ostvarili su ovaj problem i umjesto da pohranjuju stalni administrativni račun za skeniranje, oni su integrirani s željenim rješenjem za kontrolu pristupa (PAM) kako bi se postigao strujni privilegirani račun za dovršetak skeniranja. Kada nije bilo PAM rješenja, alati za upravljanje ranjivosti također su smanjili rizik, razvijanje lokalnih agenata i alata koji mogu koristiti API za procjenu umjesto jednog dijeljenog administrativnog računa za ovlašteno skeniranje.
Moje gledište na ovaj primer je jednostavno: Naleljena tehnologija upravljanja ranjivošću evoluirala je na takav način da više ne izlaže kupce velikim rizikom povezanim sa globalnim računima aplikacija i pristup njima. Nažalost, mnoge druge tehnologije dobavljača nisu promijenile svoje odluke, a prijetnja ostaje sve dok se stara rješenja ne budu zamijenjena ili modernizirana.
Ako imate alate za upravljanje kojim su potrebni globalni dijeljeni administrativni računi, tada bi zadatak od najveće važnosti za 2021. trebao zamijeniti ove alate ili njihovo ažuriranje. Provjerite da li rješenja koje kupujete razvijene od strane dobavljača koji već isporučuju iz ove prijetnje.
Konačno, razmislite o upravljanju privilegijama prijava na osnovu načela najmanje potrebnih privilegija. Pam rješenja dizajnirana su za pohranu tajni i omogućiti aplikacijama da rade s minimalnom nivoom privilegije, čak i ako nisu prvobitno dizajnirani za rad sa tim aplikacijama.
Povratak na naš primjer, rješenja za upravljanje ranjivostima mogu koristiti UNIX i Linux privilegije za obavljanje ranjivosti skeniranja, čak i ako ih nisu osigurali vlastiti privilegirani pristup. Alat za upravljanje privilegijama izvršava naredbe u ime skenera i vraća rezultate. Izvršava naredbe skenera s najmanjim privilegijama i ne ispunjava svoje neprimjerene naredbe, na primjer, isključujući sistem. U određenom smislu, načelo najmanjih privilegija na ovim platformama podseća na sudo i može kontrolirati, ograničiti i izvršiti aplikacije s privilegijama, bez obzira na postupak koji poziva naredbu. Ovo je samo jedan način upravljanja privilegiranim pristupom može se primijeniti na neke zastarjele aplikacije u slučajevima kada su potrebne prekomjerne privilegije i odgovarajuća zamjena nije moguća.
Smanjeno cibirian 2021. i dalje: sljedeći glavni koraci
Svaka organizacija može biti cilj uljeza, a svaka aplikacija s prekomjernim privilegijama može se koristiti protiv cijele kompanije. Incident Solarwinds-a mora svima potaknuti da revidiramo i identificiramo te prijave čiji je rad povezan s rizicima prekomjernog privilegiranog pristupa. Moramo odrediti kako možete ublažiti prijetnju, čak i ako je nemoguće eliminirati upravo sada.
Konačno, vaši napori na smanjenju rizika i eliminiranja njihovih posljedica mogu vas dovesti do zamjene aplikacija ili prijelaza u oblak. Nesumnjivo jedno - koncept privilegiranog upravljanja pristupom primjenjiv je na aplikacije kao i ljudima. Ako se vaše aplikacije ne kontroliraju pravilno, mogu ugroziti sigurnost cijelog poduzeća. I ništa ne bi trebalo imati neograničen pristup u vašem okruženju. Ovo je jedna slaba veza koju moramo identificirati, izbrisati i izbjeći u budućnosti.
Zanimljiviji materijal na cisoclub.ru. Pretplatite se na nas: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NOVO | YouTube | Puls.