Solarwinds Orion sartzera zuzendutako eraso sofistikatua eta bere bezeroen ondorengo konpromisoa deigarria da bere eskala eta ondorio potentzialekin.
Ikasgai krudelen urtea dela eta, eraso honek oroigarri ozen eta desatsegin gisa balio du. Edozeinek hacka dezake. Edonor. Segurtasun kontrolik, softwareak, prozesuak eta prestakuntzak ezin du eraso bakoitza blokeatu. Beti eta arriskuak murrizten ahalegindu beharko zenuke, baina kentzeko ez da inoiz arrakasta izango.
Gogoratu dugu, gainera, azpiegitura digital harrigarriak sortu ditugula, eta horrek, bere ingurumena eta sekretuak harrapatu eta eragin handia izan dezake, eragin handia izan dezakegu gure munduan, ekonomia eta bizitza poliki-poliki ohituta gaudenean. Erasotzailearentzat, azpiegitura digital hau ere aberastasun izugarria da sekretuen, jabetza intelektualaren, datuetara sartzeko baldintzak, baita aurkarien planak, lehiakide edo nazio bat ere.
Komunikazioa Erasoa Solarwinds eta Aplikazioen pribilegioak
Saltzaile batek ez du bermatu bere erabakiak Solarwinds-en erasoa erabat ekidituela eta horrelako adierazpenekin kontuz ibili beharko genukeela. Aldi berean, enpresek urrats estrategikoak har ditzakete etorkizunean eraso mota hau ekiditeko, oinordetzako azpiegitura kudeatzeko oinarrizko arazoetako bat gauzatzen eta erabakitzen badute. Oinarrizko segurtasun arazo hau, edozein aplikaziok sarean dagoen guztiarekin sarbide mugagabea izan dezan edo, sarbide pribilegiatuari dagokionez, administratzaile edo sustraiko eskubideekin partekatutako sarbide globalari dagokionez.Zer da partekatutako administrazio administratibo globala? Kontu mugagabea (sarrerak) ingurumenari dagokio. Horrek normalean, murrizketarik gabeko aplikazioak segurtasun politikei salbuespenik egin behar dituela esan nahi du. Adibidez, kontu bat eskaeraren kontrol sistemen zerrendan sartu daiteke eta birusen aurkako softwarea baztertuta dago, beraz ez da blokeatuta eta ez da bandera batekin markatuta. Kontuak erabiltzailearen izenean, sistemaren beraren edo aplikazioaren inguruko edozein aktibo edo baliabideetan lan egin dezake. Zibersegurtasun profesional askok "Jainkoaren pribilegioak" sarbide mota honi deitzen die, arrisku masiboa eta ezinezkoa dakar.
Partekatutako administrazio sarbide globala normalean tokiko teknologia kontrolatzeko, kudeatzeko eta automatizatzeko oinordeko aplikazioetan erabiltzen da. Partekatutako administratzaileen kontu globalak zerbitzatzen ari dira gure inguruneetan instalatutako eta lan egiten duten tresna askotan. Sareko kudeaketa, ahultasunak kudeatzeko irtenbideetarako irtenbideak biltzen ditu, gailu mugikorrak kudeatzeko aktiboak eta irtenbideak hautemateko tresnak, eta hauek dira adibide ugarietako batzuk.
Arazo nagusia da sarbide osoa duten kontu administratibo hauek behar bezala funtziona dezaten, eta, beraz, ezin dute lan egin pribilegio baxuenak dituzten aplikazioak kudeatzeko kontzeptua erabiliz, hau da, segurtasun praktika onena da. Kontu horiek pribilegioak eta baimenak baliogabetu badituzte, aplikazioak ezin du lan egin. Horrela, lanerako sarbide osoa eta mugagabea eskaintzen zaie, erasoa egiteko gune masiboa baita.
Solarwindsen kasuan, hau da, zehazki gertatu dena. Aplikazioa bera eguneratze automatikoaren bidez arriskuan jarri zen eta erasotzaileek biktimaren ingurunean sarbide pribilegiatu mugagabea erabili zuten aplikazio hau erabiliz. Erasoak Solarwinds-ek mozorratutako ia edozein zeregin egin ditzake, eta oso gogor saiatu dira saltzaileen segurtasuna kontrolatzeko eta bermatzeko bitartekoak ez diren sistemetan. Horrela, hau da, hau da, kode maltzurra nahikoa sofistikatua bada segurtasun irtenbideak saihesteko eta hautemateko ekiditeko objektu horietan soilik eginez gero, partekatutako administrazio pribilegio globalak erabiliz egingo du. Irtenbide batek ez du horrelako erasoa antzeman eta blokeatu.
Iaz gure blogean, 2020rako zibersegurtasun aurreikuspena eman genuenean, lehenengo aldiz eguneratze automatiko maltzurrak igo ditugu. Horrela, nahiz eta mehatxu osoa ez zen ezezaguna edo ustekabea, eskala eta ondorio suntsitzaileak Solarwinds-ek denbora luzez soinatuko du.
Nola prebenitu edo ezabatzea oinordetzan dauden aplikazioen antolakuntzan erasoak
Galdera handia dago hemen: nola berritu gaitezke gure inguruneak eta ez dira gehiegizko pribilegioak behar dituzten aplikazio eta kontuen mende, hau da, segurua da?
Lehenik eta behin, gehienbat halako eskaerak, sareko kudeaketarako edo ahultasunen kudeaketarako irtenbideak, adibidez, eskaneatze teknologian oinarrituta daude. Horrelako aplikazioak ezartzeko teknologia zaharkituak eta segurtasun ereduak besterik ez dira. Zerbaitek aldaketa eskatzen du.
Solarwindsen urraketak zibersegurtasun arloan inoiz gertatu den gauzarik okerrena dela uste baduzu, arrazoi izan dezakezu. Zibersegurtasun arloko profesionalentzat, Sasser-ek, Blaster, Horia Handia, Mirai eta Wannacry-k gogoratzen ditu, sistemaren eraginen bolumena konparagarria izango da, baina zaleen xede eta karga ez dute konparaziorik Solarwinds erasoa.
Mehatxu larriak dagoeneko dozenaka urte egon dira, baina inoiz ez dugu sekula sofistikatua izan nahi izan, bere biktima potentzial guztiak eta erasoen ondorioak orain arte ezagutzen ez dituztela. Sasser edo Wannacry sistemak jo zuenean, jabeek jakin zuten horri buruz. Estortsio birusak izan arren, denbora laburrean ondorioak ezagutuko dituzu.
SolarWinds-ekin lotuta, erasotzaileen helburu nagusietako bat oharkabean geratzea zen. Eta ez ahaztu gaur egun arazo global bera badagoela oinordetzako beste aplikazio batzuekin. Milaka enpresetan erasoak antolatzeko, gure komunikabideetan partekatutako administrazio pribilegio globalak dituzten beste aplikazio batzuk erabil daitezke eta horrek emaitza beldurgarriak ekarriko ditu.
Zoritxarrez, hau ez da zuzenketa behar duen zaurgarritasuna, baizik eta baizik eta baizik baimendu pribilegio horiek behar dituen aplikazioaren gaitasunak baizik.
Orduan, nondik hasi?
Lehenik eta behin, gure inguruneko aplikazio guztiak identifikatu eta antzeman behar ditugu, gehiegizko pribilegioak behar baitira:
- Enterprise Class hautemateko tresna erabiliz, zehaztu zein aplikaziok sistema pribilegiatu berdina duten sistema anitzetan. Kredentziak ohikoenak dira eta banaketa horizontaletarako erabil daitezke.
- Egin domeinu administratzaileen taldeen inbentarioa eta identifikatu aplikazio kontu edo zerbitzu guztiak. Domeinuaren administratzailearen pribilegioak behar dituen edozein aplikazio arrisku handia da.
- Arakatu zure antivirus salbuespen zerrendan dauden aplikazio guztiak (nodo zehatzei buruzko salbuespenekin alderatuta). Zure Endpoint Security Pilaren lehen urrats garrantzitsuenean parte hartuko dute - Malwareak saihestu.
- Arakatu enpresan erabilitako softwarearen zerrenda eta zehaztu zein pribilegio behar diren lan egin eta eguneratze automatikoak egiteko. Honek lagun dezake tokiko administratzailearen pribilegioak behar diren edo tokiko administratzaile kontuak aplikatutako aplikazioaren funtzionamendu egokia lortzeko. Adibidez, aplikazioaren pribilegioak handitzeko kontu inpertsonala horretarako tokiko nodo batean kontu bat izan daiteke.
Ondoren, non inplementatu behar da aplikazioak kudeatzeko beharrezkoak diren gutxieneko pribilegioetan oinarrituta. Aplikazioaren gehiegizko pribilegioak kentzea suposatzen du. Hala ere, goian aipatu bezala, ez da beti posible. Azkenik, partekatutako pribilegioen kontu globalen beharra ezabatzeko, honela behar da:
- Eguneratu aplikazioa irtenbide berri bati
- Aukeratu saltzaile berria arazoa konpontzeko
- Itzuli lan karga hodeian edo beste azpiegitura batean
Kontuan hartu adibideen kudeaketaren ahultasun gisa. Zaurgarritasun tradizionalen eskaneatzaileek partekatutako kontu pribilegiatu globala (batzuetan bat baino gehiago) erabiltzen dute urrunetik zuzenean eta autentifikaziora urrunetik konektatzeko administrazio kontu gisa, ahultasunak zehazteko. Nodoa software eskaneatze maltzur batek arriskuan jartzen badu, orduan autentikaziorako erabilitako hash sarean banaketa horizontaletarako eta etengabeko presentzia ezartzen da.
Zaurgarritasun Kudeaketa Sistemen Vennadors-ek arazo hau konturatu dira eta eskaneatzeari buruzko etengabeko kontu bat gorde izanaren ordez, sarbide kontrol kontrolerako irtenbide batekin (PAM) integratuta daude, eskaneatzea osatzeko uneko kontu pribilegiatua lortzeko. PAM irtenbiderik ez zegoenean, ahultasunak kudeatzeko tresnek ere arriskua murriztu zuten, bertako agenteak eta tresnak garatuz APIa erabil dezaketenak ebaluatzeko baimendutako eskaneatzerako baimendutako administrazio kontu bakarraren ordez ebaluatzeko.
Adibide honen ikuspuntua sinplea da: heredatutako ahultasunen kudeaketa teknologiak eboluzionatu egin du modu horretan, ez da bezero bezeroak aplikazio globalekin lotutako arrisku handiarekin eta haietarako sarbidea izateko. Zoritxarrez, beste saltzaile askok ez dituzte erabakiak aldatu, eta mehatxuak irtenbide zaharrak ordezkatu edo modernizatu arte geratzen dira.
Partekatutako administrazioko kontu globalak kudeatzeko tresnak badituzu, orduan 2021rako garrantzia duen zereginak tresna horiek edo eguneratzea ordezkatu beharko lituzke. Ziurtatu erositako irtenbideak saltzaileek dagoeneko mehatxu horretatik bidaltzen dituztela.
Azkenik, pentsatu eskaeren pribilegioak kudeatzea beharrezkoa da gutxieneko pribilegioen printzipioan oinarrituta. PAM irtenbideak sekretuak gordetzeko diseinatuta daude eta eskaerak gutxieneko pribilegio maila batekin lan egiteko aukera ematen dute, nahiz eta aplikazio hauekin lan egiteko diseinatuta egon ez balitz.
Gure adibideetara itzultzeak, ahultasunak kudeatzeko soluzioek UNIX eta Linux pribilegioak erabil ditzakete ahultasun eskanealak egiteko, nahiz eta beren sarbide pribilegiatuarekin hornitu. Pribilegioak kudeatzeko tresnak eskanerraren izenean komandoak exekutatzen ditu eta emaitzak itzultzen ditu. Eskanerraren aginduak pribilegio txikienekin exekutatzen ditu eta ez ditu bere komando desegokiak betetzen, adibidez, sistema desaktibatzea. Zentzu batean, plataforma hauen pribilegio txikienen printzipioa Sudoaren antza du eta pribilegioak dituzten aplikazioak kontrolatu, mugatu eta gauzatu ditzake, komandoa deitzen duen prozesua edozein dela ere. Sarbide pribilegiatua kudeatzeko modu bat da, gehiegizko pribilegioak behar diren kasuetan, gehiegizko pribilegioak behar diren kasuetan eta ordezko egokia ez dela posible.
Ciberian murriztua 2021ean eta aurrerago: urrats nagusiak
Erakundea intrusaren xede izan daiteke, eta gehiegizko pribilegioak dituen edozein aplikazio erabil daiteke enpresa osoaren aurka. Solarwinds gertakariak guztiok animatu behar ditugu aplikazio pribilegiatu gehiegizko arriskuei lotuta dauden aplikazio horiek berrikusi eta identifikatzea. Mehatxua nola leundu dezakezun zehaztu behar dugu, nahiz eta ezinezkoa izan oraintxe bertan desagerraraztea.
Azken finean, arriskuak murrizteko eta haien ondorioek ezabatzeko ahaleginak eskaerak edo hodeira igarotzea ahalbidetzen dute. Zalantzarik gabe, sarbide pribilegiatuaren kudeaketa kontzeptua aplikagarriak dira aplikazioei eta baita pertsonei ere. Zure aplikazioak behar bezala kontrolatzen ez badira, enpresa osoaren segurtasuna arriskuan jar dezakete. Eta ezerk ez du sarbide mugagabea zure ingurunean. Etorkizunean identifikatu, ezabatu eta saihestu behar dugun lotura ahul bat da.
Material interesgarriagoa cisoclub.ru-n. Harpidetu gurekin: Facebook | Vk | Twitter | Instagram | Telegrama | Zen | Messenger | ICQ Berria | YouTube | Pultsua.