Keerukas rünnak, mis on suunatud päikesekiirguse Orioni tungimisele ja tuhandete oma klientide hilisema kompromissile silmatorkava oma ulatusega ja potentsiaalsete tagajärgedega.
Juulte õppetundide aasta jaoks on see rünnak väga valju ja ebameeldiv meeldetuletus - igaüks võib häkkida. Igaüks. Nr turvalisuse kontrolli, tarkvara, protsesside ja koolituse ei saa blokeerida iga rünnak. Võite alati ja peaks püüdma vähendada riske, kuid nende vabanemiseks ei õnnestu kunagi õnnestuda.
Samuti meenutasime, et me lõime hämmastava digitaalse infrastruktuuri, mis oma kompromissi ja keskkonna ja saladuste lahendamisel võib olla suur mõju meie maailmale, majandusele ja elule, mida me aeglaselt harjunud pandeemia ajal. Ründaja jaoks on see digitaalne infrastruktuur ka vahend, et koguda suurt rikkust saladuste, intellektuaalomandi varguse tõttu, andmetele või väljapressimisele juurdepääsu nõuetele, samuti vastase plaanide sabotaažile, kas võistleja või rahvas.
Sidevahetus Solarwinds ja rakenduse privileegid
Ükski müüja ei saa garanteerida, et tema otsus takistaks täielikult rünnakut Solarwindsi rünnakut ja me peaksime selliste avalduste eest olema ettevaatlik. Samal ajal saavad ettevõtted võtta strateegilisi samme, et vältida seda tüüpi rünnakuid tulevikus, kui nad mõistavad ja otsustavad ühe põhiprobleemide haldamise probleemiks. See põhiline turvaprobleem on vaja tagada, et igasugune taotlus on piiramatu juurdepääs kõike, mis on võrgus, või selle privilegeeritud juurdepääsu osas globaalne jagatud juurdepääs administraatorile või algõigustele.Mis on globaalne jagatud haldusjuurdepääs? See on piiramatu konto juurdepääs (kirjed) keskkonnale. See tähendab tavaliselt, et taotlus ilma piiranguteta peavad olema erandid turvapoliitikale. Näiteks konto võib lisada loetelu rakenduste juhtimissüsteemide ja jäetakse viirusetõrje tarkvara, nii et see ei ole blokeeritud ja ei ole tähistatud lipuga. Konto võib töötada kasutaja nimel, süsteemi ise või kohaldamise mis tahes vara või ressursside kohta keskkonnas. Paljud küberjulgeoleku spetsialistid nimetavad seda tüüpi juurdepääsu "Jumala privileegidele", see kannab massiivset ja keerulist riski.
Ülemaailmset ühist haldusjuurdepääsu kasutatakse tavaliselt kohaliku tehnoloogia jälgimise, juhtimise ja automatiseerimiseks päris taotlustes. Global jagatud administraatori kontod teenindavad paljudes tööriistadel, mis on teie keskkonnas paigaldatud ja töötavad. See hõlmab lahendusi võrguhalduse, haavatavuste juhtimise lahenduste jaoks, vahendid mobiilseadmete haldamiseks varade ja lahenduste tuvastamiseks ning need on vaid mõned mitu näidet.
Peamine probleem on see, et need halduskontod täieliku juurdepääsuga on vaja korralikult töötada ja seetõttu nad ei saa töötada kasutades mõistete haldamise taotluste haldamise madalaima privileegid, mis on parim julgeolekupraktika. Kui need kontod on tühistanud privileegid ja õigused, ei saa taotlus tõenäoliselt töötada. Seega pakutakse neile täielikku ja piiramatut juurdepääsu tööle, mis on rünnaku tohutu ala.
Solarwindide puhul on see täpselt see, mis juhtus. Rakendus ise ohustati automaatse värskenduse kaudu ja ründajad kasutasid selle rakenduse abil ohvri keskkonnas piiramatu privilegeeritud juurdepääsu. Rünnata võib teha peaaegu kõik Solarwinds'i varjatud ülesanded ja isegi proovinud neid väga raske mitte teostada neid süsteemide kohta, millel on olemas täiustatud müüjate ohutuse jälgimine ja tagamine. Seega muutub ilmselgeks järgmine: kui pahatahtlik kood on piisavalt keeruline, et vältida turvalahendusi ja täita seda ainult nendel objektidel, kus see võib vältida avastamist, teeb see seda globaalsete ühiste haldusõiguste abil. Ükski lahendus ei saa tuvastada ja blokeerida sellist rünnakut.
Eelmisel aastal meie blogis, kus me andsime küberjulgeoleku prognoosi 2020. aastaks, suurendasime kõigepealt pahatahtlike automaatsete värskenduste suurenemise. Seega, kuigi kogu oht ei olnud tundmatu või ootamatu, skaala ja hävitava tagajärjed selle konkreetse rünnaku Solarwinds tundub pikka aega.
Kuidas vältida või kõrvaldada rünnakud nende poolt päriliku rakenduste korraldamisel
Siin on suur küsimus: kuidas me saame oma keskkonda uuendada ja mitte sõltuda ülemääraseid privileege, mis on ohtlikud?
Esiteks, enamasti selliste pärilikke rakendusi, võrgu haldamise või haavatavuste juhtimise lahendused, näiteks skaneerimistehnoloogia põhjal on kõik korras. Lihtsalt aegunud tehnoloogia ja turvamudelid selliste rakenduste rakendamiseks. Midagi vajab muutust.
Kui te arvate, et Solarwinds rikkumised on halvim asi, mis kunagi juhtus küberjulgeoleku valdkonnas, siis võib teil olla õigus. Neile spetsialistide jaoks küberjulgeoleku valdkonnas, mida mäletavad Sasser, Blaster, Big kollane, Mirai ja Wanhanry, on süsteemi mõjude maht võrreldav, kuid nende usside sihtmärk ja koormus ei ole võrdlust Solarwinds rünnak.
Tõsised ohud on juba eksisteerinud kümneid aastaid, kuid mitte kunagi enne, kui oleme näinud ressursi rünnata nii keerukaks, et kõik potentsiaalsed ohvrid ja rünnakute tagajärjed ei ole meile siiani teada. Kui Sasser või Wanhacry tabas süsteemi, teadsid nende omanikud sellest. Isegi väljapressimise viiruste puhul saate teada lühikest aega.
Seoses Solarwindidega pidi üks peamisi ründajate eesmärke jäänud märkamata. Ja ärge unustage, et tänapäeval on sama globaalne probleem teiste päriside rakendustega. Tuhandete äriühingute rünnakute korraldamiseks võib kasutada muid rakendusi globaalsete ühiste haldusõigustega meie meedias, mis toovad kaasa kohutava tulemusi.
Kahjuks ei ole see haavatavus, mis nõuab parandusi, vaid pigem nende privileege vajava rakenduse võimaluste loata kasutamist.
Nii et kust alustada?
Kõigepealt peame kindlaks määrama ja avastama kõik meie keskkonnas kõik rakendused, mis on vajalikud sellised liigsed privileegid:
- Kasutades ettevõtte klassi avastamise tööriista, määrata, millistel rakendustel on sama privilegeeritud konto mitmel süsteemil. Volitused on tõenäoliselt tavalised ja neid saab kasutada horisontaalseks jaotamiseks.
- Tehke domeeni administraatorite grupi grupi inventeerimine ja selgitada kõik taotluskontod või teenused. Iga rakendus, mis vajab domeeni administraatori privileege on suur risk.
- Sirvige kõiki rakendusi, mis on teie ülemaailmses viirusetõrje erandi loendis (võrreldes konkreetsete sõlmede eranditega). Nad osalevad teie lõpp-punkti turvalisuse stacki esimeses ja olulisema sammuga - vältida pahavara.
- Sirvige ettevõttes kasutatud tarkvara nimekirja ja määrake, milliseid privileege on vaja tööle ja automaatse värskenduse täitmiseks. See aitab otsustada, kas kohaliku administraatori privileegid on vajalikud või kohaliku administraatori kontod rakenduse õige toimimise jaoks. Näiteks võib rakenduse privileegide suurendamise isiklik kontol olla selleks kohaliku sõlme konto.
Seejärel peame rakendama, kus on võimalik taotlusi hallata vajalike privileege põhjal. See tähendab rakenduse kõigi liigsete privileegide eemaldamist. Kuid nagu eespool mainitud, ei ole alati võimalik. Lõpuks kõrvaldada vajadust globaalsete ühiste privilegeeritud kontode järele, peate vajame järgmiselt:
- Uuenda rakendus uuemale lahendusele
- Vali uus müüja probleemi lahendamiseks
- Tõlgi töökoormus pilves või muu infrastruktuuri
Kaaluge eeskuju juhtimise haavatavustena. Traditsioonilised haavatavuse skannerid kasutavad globaalset ühist privilegeeritud kontot (mõnikord rohkem kui üks) sihtmärgi ja autentimise kaugjuhtimisega, et määrata haavatavuste kindlakstegemiseks. Kui sõlme ohustab pahatahtliku tarkvara skaneerimisega, siis saab autentimiseks kasutatud räsi koguda ja kasutada horisontaalseks jaotamiseks võrgus ja luua pidev kohalolek.
Haavatavuse juhtimissüsteemide Venndors on selle probleemi mõistnud ja pideva haldusliku konto salvestamise asemel integreeritakse need eelistatud juurdepääsukontrollilahendusega (PAM), et saada skannimise lõpetamiseks praegune privilegeeritud konto. Kui PAM-lahendusi ei olnud, vähendasid ka haavatavuste juhtimisvahendite müüjad ka riski, arendades kohalikke aineid ja vahendeid, mis võivad kasutada API-d, et hinnata ühe ühise halduskonto asemel volitatud skaneerimisel.
Minu seisukoht selle näite puhul on lihtne: pärilik haavatavuse juhtimise tehnoloogia on arenenud nii, et see ei avaldaks klientidele enam suurt riski, mis on seotud ülemaailmsete rakenduste kontodega ja neile juurdepääsuga. Kahjuks ei ole paljud teised müüjate tehnoloogiad oma otsuseid muutnud ja oht jääb kuni vanade lahenduste asendamise või ajakohastamiseni.
Kui teil on vahendid, mis hallata, milliseid globaalseid ühiseid halduskontosid on vajalikud, peaks 2021. aasta jaoks ülimalt tähtis ülesanne asendama need vahendid või nende ajakohastatud. Veenduge, et teie poolt ostetud lahendusi on välja töötatud müüjate poolt juba sellest ohust.
Lõpetuseks mõtlete taotluste privileegide juhtimisele kõige vähem vajalike privileegide põhimõtte alusel. Pamilahendused on mõeldud saladuste salvestamiseks ja võimaldada taotlustel töötada minimaalse privileegi tasemega, isegi kui nad ei olnud algselt mõeldud nende rakendustega töötamiseks.
Meie näite tagastamine, haavatavuste haldamise lahendused võivad kasutada UNIXi ja Linuxi privileege, et saavutada haavatavus skaneerib, isegi kui neile ei pakuta oma privilegeeritud juurdepääsuga. Privilege juhtimisvahend täidab skanneri nimel käske ja tagastab tulemused. See täidab skanneri käsud väikseima privileegidega ja ei vasta oma sobimatutele käskudele, näiteks süsteemi väljalülitamisel. Mõnes mõttes sarnaneb nende platvormide väikseima privileegide põhimõte sudo sudo ja saab juhtida, piirata ja rakendada privileegesi rakendusi, olenemata käsu helistamisest. See on vaid üks viis privilegeeritud juurdepääsu haldamiseks võib rakendada mõnede aegunud rakenduste puhul, kui on vaja ülemääraseid privileege ja sobiv asendamine ei ole võimalik.
Vähendatud Cibries 2021 ja veelgi: järgmised peamised sammud
Iga organisatsioon võib olla sissetungijate sihtmärk ja mis tahes ülemääraste privileegide rakendamist saab kasutada kogu ettevõtte vastu. Solarwinds intsidents peab julgustama meid üles vaatama ja tuvastama neid rakendusi, mille töö on seotud ülemäärase privilegeeritud juurdepääsu riskidega. Me peame otsustama, kuidas ohtu saab pehmendada, isegi kui see on praegu võimatu kõrvaldada.
Lõppkokkuvõttes võivad teie jõupingutused riskide vähendamiseks ja nende tagajärgede kõrvaldamiseks põhjustada rakenduste või üleminekute asendamist pilvele. Kahtlemata üks - privilegeeritud juurdepääsu juhtimise mõiste kohaldatakse nii rakenduste kui ka inimeste suhtes. Kui teie rakendusi ei kontrolli nõuetekohaselt, võivad nad ohustada kogu ettevõtte ohutust. Ja miski ei tohiks oma keskkonnas piiramatut juurdepääsu. See on üks nõrk link, mida peame tulevikus tuvastama, kustutama ja vältima.
Huvitavamat materjali Cisoclub.ru. Telli US: Facebook | VK | Twitter | Instagram | Telegramm | Zen | Messenger | ICQ Uus | YouTube | Impulsi.