Ein anspruchsvoller Angriff, der auf das Eindringen von Solarwinds Orion gerichtet ist, und der anschließende Kompromiss von Tausenden seiner Kunden ist auffällig mit seiner Skala und möglichen Folgen.
Für das Jahr grausamer Lektionen dient dieser Angriff als sehr laute und unangenehme Erinnerung - jeder kann hacken. Jemand. Keine Sicherheitssteuerung, Software, Prozesse und Schulungen können jeden Angriff nicht blockieren. Sie können immer und sollten streben, die Risiken zu reduzieren, aber sie werden sie nicht erfolgreich sein.
Wir haben uns auch daran erinnert, dass wir eine erstaunliche digitale Infrastruktur erstellten, die im Falle des Kompromisss und der Einfärbung ihrer Umwelt und Geheimnisse einen großen Einfluss auf unsere Welt, die Wirtschaft und das Leben, an das wir uns langsam an während einer Pandemie gewöhnt sind. Für einen Angreifer ist diese digitale Infrastruktur auch ein Mittel, um einen riesigen Reichtum durch Diebstahl von Geheimnissen, geistigem Eigentum, Anforderungen an den Zugang zu Daten oder Erpressung sowie Sabotage von Gegnerplänen, sei ein Wettbewerber oder Nation zu sammeln.
Kommunikationsangriff Solarwinds und Anwendungsberechtigungen
Kein Anbieter kann garantieren, dass seine Entscheidung den Angriff auf Solarwinds vollständig verhindern würde, und wir sollten uns von solchen Aussagen auftreten. Gleichzeitig können Unternehmen strategische Schritte unternehmen, um diese Art von Angriffen in der Zukunft zu verhindern, wenn sie eine der grundlegenden Probleme der Verwaltung der erbten Infrastruktur erkennen und entscheiden. Dieses grundlegende Sicherheitsproblem ist die Notwendigkeit, sicherzustellen, dass jede Anwendung einen unbegrenzten Zugriff auf alles hat, was sich im Netzwerk befindet, oder in Bezug auf den privilegierten Zugriff, den globalen gemeinsamen Zugriff mit Administrator- oder Root-Rechten.Was ist ein globaler gemeinsamer Verwaltungszugang? Dies ist ein unbegrenzter Kontozugriff (Einträge) in die Umwelt. Dies bedeutet in der Regel, dass die Anwendung ohne Einschränkungen Ausnahmen von den Sicherheitsrichtlinien vornehmen muss. Beispielsweise kann ein Konto in der Liste der Anwendungssteuerungssysteme aufgenommen und von der Antivirensoftware ausgeschlossen werden, sodass er nicht blockiert ist und nicht mit einer Flagge gekennzeichnet ist. Das Konto kann im Namen des Benutzers, dem System selbst oder in Antrag auf Vermögenswerte oder Ressourcen in der Umwelt arbeiten. Viele Cybersecurity-Profis nennen diese Art von Zugang "Gottprivilegien", es trägt ein massives, unkomplizierbares Risiko.
Der globale gemeinsame administrative Zugang wird in der Regel in ererbeten Anwendungen zur Überwachung, Verwaltung und Automatisierung lokaler Technologien eingesetzt. Global Shared Administrator-Konten sind in vielen Tools, die in unseren Umgebungen installiert sind, installiert und arbeiten. Dazu gehören Lösungen für Netzwerkmanagement, Sicherheitslösungen, Werkzeuge zur Erkennung von Vermögenswerten und Lösungen zum Verwalten von mobilen Geräten, und dies sind nur einige der mehreren Beispiele.
Das Hauptproblem ist, dass diese Verwaltungskonten mit vollem Zugang mutmaßnahmen, um ordnungsgemäß zu arbeiten, und daher können sie nicht mit dem Konzept der Verwaltung von Anwendungen mit den niedrigsten Berechtigungen arbeiten, was die beste Sicherheitspraxis ist. Wenn diese Konten Berechtigungen und Berechtigungen widerrufen haben, kann die Anwendung höchstwahrscheinlich nicht arbeiten können. Daher sind sie mit vollem und unbegrenztem Zugang zur Arbeit, einem massiven Angriffsbereich, versehen.
Im Falle von Solarwinds ist genau das passiert. Die Anwendung selbst wurde über das automatische Update beeinträchtigt, und Angreifer verwendeten einen unbegrenzten privilegierten Zugriff in der Opferumgebung mit dieser Anwendung. Angreifen könnte fast alle von Solarwinds getarnten Aufgaben ausführen, und sogar sehr bemüht, sie nicht auf Systeme auszuführen, auf denen es Mittel zur Überwachung und Sicherung der Sicherheit fortschrittlicher Anbieter gibt. Somit wird es wie folgt offensichtlich: Wenn der schädliche Code ausgefeilt ist, um Sicherheitslösungen umzusetzen und nur auf diesen Objekten auszuführen, in denen es die Erkennung vermeiden kann, wird dies mit globalen gemeinsamen administrativen Berechtigungen führen. Keine Lösung könnte einen solchen Angriff erkennen und blockieren.
Letztes Jahr in unserem Blog, in dem wir die Cybersecurity-Prognose für 2020 gaben, steigerten wir zunächst an böswilligen automatischen Updates. Obwohl die Gesamtbedrohung nicht unbekannte oder unerwartete, skalierte und zerstörerische Folgen dieses bestimmten Angriffs war Solarwinds auf lange Zeit klingen.
Wie man Angriffe in der Organisation in der Organisation verhindern oder beseitigt, von denen er vererbte Anwendungen beteiligt sind
Es gibt hier eine große Frage: Wie können wir unsere Umgebungen aufwerten und nicht von Anwendungen und Konten abhängen, die übermäßige Berechtigungen erfordern, was unsicher ist?
Mit den meistens solcher geerbten Anwendungen, Lösungen für das Netzwerkmanagement oder ein Sicherheitsanwendungsantrag, beispielsweise auf der Basierung auf der Scan-Technologie, sind alle in der Reihenfolge. Nur veraltete Technologie- und Sicherheitsmodelle, um solche Anwendungen umzusetzen. Etwas erfordert eine Änderung.
Wenn Sie der Meinung sind, dass Solarwinds-Verstöße das Schlimmste sind, was auf dem Gebiet der Cybersecurität je passiert ist, können Sie recht haben. Für diejenigen Fachleute auf dem Gebiet der Cybersecurity, die von Sasser, Blaster, Big gelb, Mirai und Wannacry erinnert, ist das Volumen der Einflüsse auf dem System vergleichbar, aber das Ziel und die Nutzlast dieser Würmer haben jedoch keinen Vergleich mit dem Solarwinds-Angriff.
Ernste Bedrohungen bestehen bereits Dutzende von Jahren, aber nie, bevor wir gesehen haben, dass die Ressource so angeregt angeregt wurde, dass alle potenziellen Opfer und die Folgen von Angriffen uns nicht bekannt sind. Wenn Sasser oder Wannacry das System getroffen hat, wussten ihre Besitzer davon. Selbst bei Erpressungsviren erfahren Sie für kurze Zeit über die Konsequenzen.
Im Zusammenhang mit Solarwinds sollte eines der Hauptziele der Angreifer unbemerkt bleiben. Und vergessen Sie nicht, dass heute das gleiche globale Problem mit anderen vererbten Anwendungen besteht. Für die Organisation von Angriffen auf Tausende von Unternehmen können andere Anwendungen mit globalen gemeinsamen Verwaltungsberechtigten in unseren Medien verwendet werden, was zu schrecklichen Ergebnissen führen wird.
Leider ist dies keine Anfälligkeit, die Korrektur erfordert, sondern eine unbefugte Verwendung der Fähigkeiten der Anwendung, die diese Berechtigungen benötigt.
Also wo sollst du anfangen?
Zunächst müssen wir alle Anwendungen in unserer Umwelt identifizieren und erkennen, die ein solch übermäßiger Berechtigungen benötigt werden:
- Verwenden des Enterprise Class Detection Tools, welche Anwendungen das gleiche privilegierte Konto auf mehreren Systemen haben. Die Anmeldeinformationen sind höchstwahrscheinlich üblich und können für die horizontale Verteilung verwendet werden.
- Erstellen Sie ein Inventar der Gruppe der Domänenadministratoren und identifizieren Sie alle Anwendungskonten oder anwesenden Dienstleistungen. Jede Anwendung, die die Privilegien des Domänenadministrators benötigt, ist ein hohes Risiko.
- Durchsuchen Sie alle Anwendungen, die sich in Ihrer globalen Antiviren-Ausnahmeliste befinden (im Vergleich zu Ausnahmen von bestimmten Knoten). Sie werden an dem ersten und wichtigsten Schritt Ihres Endpoint-Sicherheitsstapels beteiligt sein - verhindern Malware.
- Durchsuchen Sie die Liste der im Unternehmen verwendeten Software und ermitteln Sie, welche Berechtigungen von einer Anwendung erforderlich sind, um automatische Updates zu arbeiten und automatische Updates auszuführen. Dies kann helfen, festzustellen, ob die Berechtigungen des lokalen Administrators erforderlich sind, oder lokale Administratorkonten für den korrekten Betrieb der Anwendung. Beispielsweise kann ein unpersönliches Konto zum Erhöhen der Berechtigungen der Anwendung ein Konto auf einem lokalen Knoten zu diesem Zweck haben.
Dann müssen wir umsetzen, wo es möglich ist, Anwendungen basierend auf den erforderlichen Mindestberechtigungen zu verwalten. Es impliziert die Entfernung aller übermäßigen Privilegien der Anwendung. Wie oben erwähnt, ist es jedoch nicht immer möglich. Um den Bedarf an globalen gemeinsamen Berechtigten Konten zu beseitigen, müssen Sie schließlich wie folgt benötigen:
- Aktualisieren Sie den Antrag auf eine neuere Lösung
- Wählen Sie einen neuen Anbieter, um das Problem zu lösen
- Übersetzen Sie die Arbeitslast in die Wolke oder eine andere Infrastruktur
Betrachten Sie als Beispielverwaltungsanfälligkeiten als Beispielmanagement. Traditionelle Schwachstellenscanner verwenden ein globales gemeinsam genutztes privilegiertes Konto (manchmal mehr als eins), um die Remote-Verbindung zu Ziel- und Authentifizierung als Verwaltungskonto zur Ermittlung von Schwachstellen herzustellen. Wenn der Knoten von einem schädlichen Softwareabtastung beeinträchtigt wird, kann der für die Authentifizierung verwendete HASH gesammelt und zur horizontalen Verteilung über das Netzwerk verwendet werden und eine ständige Präsenz eingerichtet werden.
Die Venndors der Sicherheitsmanagement-Systeme haben dieses Problem realisiert und anstelle des Einspeicherns eines ständigen Verwaltungskontos zum Scannen, integriert sie mit einer bevorzugten Zugriffssteuerungslösung (PAM), um ein aktuelles privilegiertes Konto zum Abschließen des Scans zu erhalten. Wenn es keine PAM-Lösungen gab, reduzierten Anbieter von Anbieter von Meratorabilitäten-Management-Tools auch das Risiko, entwickelten lokale Agenten und Tools, die die API verwenden können, um anstelle eines einzelnen gemeinsam genutzten Verwaltungskontos für das autorisierte Scan zu bewerten.
Mein Sicht in diesem Beispiel ist einfach: Die Erbschaftsmanagement-Technologie der Sicherheitsanfälligkeit hat sich so entwickelt, dass die Kunden nicht mehr mit einem enormen Risiko ausgesetzt sind, das mit globalen Anwendungskonten verbunden ist, und den Zugang zu ihnen. Leider haben viele andere Anbieter-Technologien ihre Entscheidungen nicht geändert, und die Bedrohung bleibt bis die alten Lösungen ersetzt oder modernisiert.
Wenn Sie Tools zur Verwaltung haben, um zu verwalten, welche globalen gemeinsam genutzten Verwaltungskonten erforderlich sind, sollte die Aufgabe der erheblichen Bedeutung für 2021 diese Tools ersetzen, um diese Tools oder deren Aktualisierung zu ersetzen. Stellen Sie sicher, dass die von Ihnen gekauften Lösungen von Anbietern entwickelt werden, die bereits von dieser Bedrohung liefern.
Denken Sie schließlich darüber nach, die Anwendungsberechtigungen auf der Grundlage des Prinzips der am wenigsten notwendigen Privilegien zu verwalten. PAM-Lösungen sind so konzipiert, um Geheimnisse zu speichern und Anwendungen zulassen, um mit einem Mindestberechtigungsniveau zusammenzuarbeiten, auch wenn sie ursprünglich nicht für die Arbeit mit diesen Anwendungen entwickelt wurden.
Rückkehr zu unserem Beispiel, Mulatorabilities-Management-Lösungen können UNIX- und Linux-Privilegien verwenden, um Schwachstellen-Scans durchzuführen, auch wenn sie nicht mit einem eigenen privilegierten Zugriff versehen wurden. Das Privilege-Management-Tool führt die Befehle im Namen des Scanners aus und gibt die Ergebnisse zurück. Es führt die Scannerbefehle mit den kleinsten Berechtigungen aus und erfüllt nicht seine unangemessenen Befehle, beispielsweise das Gerät aus dem System aus. In einem Sinne ähnelt das Prinzip der kleinsten Berechtigungen auf diesen Plattformen SUDO und kann Anwendungen mit Berechtigungen kontrollieren, begrenzen und ausführen, unabhängig von dem Prozess, der den Befehl anruft. Dies ist nur eine Möglichkeit, den privilegierten Zugriff zu verwalten, kann auf einige veraltete Anwendungen angewendet werden, in denen übermäßige Berechtigungen erforderlich sind und der entsprechende Ersatz nicht möglich ist.
Reduzierter Ciberian im Jahr 2021 und weiter: folgende Hauptschritte
Jede Organisation kann das Ziel der Eindringlinge sein, und jede Anwendung mit übermäßigen Privilegien kann gegen das gesamte Unternehmen verwendet werden. Der Vorfall des Solarwinds muss alle dazu ermutigen, diese Anwendungen zu überarbeiten und zu identifizieren, deren Arbeit mit den Risiken übermäßigem privilegierter Zugriff verbunden ist. Wir müssen bestimmen, wie Sie die Bedrohung erweichen können, auch wenn es unmöglich ist, es jetzt zu beseitigen.
Letztendlich können Ihre Bemühungen, Risiken zu reduzieren und ihre Folgen zu beseitigen, können Sie dazu führen, Anwendungen oder Übergang in die Wolke zu ersetzen. Zweifellos eins - das Konzept des privilegierten Zugangsmanagements gilt sowohl für Anwendungen als auch für Personen. Wenn Ihre Anwendungen nicht ordnungsgemäß gesteuert werden, können sie die Sicherheit des gesamten Unternehmens gefährden. Und nichts sollte einen unbegrenzten Zugang in Ihrer Umgebung haben. Dies ist eine schwache Verbindung, die wir in der Zukunft identifizieren, löschen und vermeiden müssen.
Interessanteres Material auf cisoclub.ru. Abonnieren Sie uns: Facebook | Vk | Twitter | Instagram | Telegramm | Zen | Messenger | ICQ NEU | YouTube | Impuls.