Page d'accueil / Des articles /

Gestion des applications basée sur des privilèges minimalement nécessaires - leçon résultant d'un incident avec l'orion Solarwinds

Anonim
Gestion des applications basée sur des privilèges minimalement nécessaires - leçon résultant d'un incident avec l'orion Solarwinds 18609_1

Une attaque sophistiquée destinée à la pénétration de l'orion Solarwinds et le compromis ultérieur de milliers de ses clients est frappant de son échelle et de ses conséquences potentielles.

Pour l'année des cours cruels, cette attaque sert de rappel très fort et désagréable - tout le monde peut pirater. Personne. Aucun contrôle de sécurité, logiciels, processus et formation ne peuvent bloquer chaque attaque. Vous pouvez toujours et devriez s'efforcer de réduire les risques, mais de vous en débarrasser ne réussira jamais.

Nous avons également rappelé que nous avons créé une infrastructure numérique incroyable qui, dans le cas de son compromis et de sa capture de son environnement et de son environnement, peut avoir un impact énorme sur notre monde, l'économie et la vie auxquelles nous sommes lentement habitués au cours d'une pandémie. Pour un attaquant, cette infrastructure numérique est également un moyen d'accumuler une vaste richesse par vol de secrets, de la propriété intellectuelle, des exigences d'accès aux données ou au chantage, ainsi que le sabotage de plans adversaires, que ce soit un concurrent ou une nation.

Attaque de communication Solarwinds et privilèges d'application

Aucun fournisseur ne peut garantir que sa décision empêcherait complètement l'attaque de Solarwinds et nous devrions nous méfier de telles déclarations. Dans le même temps, les entreprises peuvent prendre des mesures stratégiques pour empêcher ce type d'attaques à l'avenir s'ils réalisent et décident l'un des problèmes fondamentaux de la gestion des infrastructures héritées. Ce problème de sécurité de base est la nécessité de veiller à ce que toute application ait un accès illimité à tout ce qui est dans le réseau ou, en termes d'accès privilégié, accès partagé global avec l'administrateur ou les droits des racines.

Quel est l'accès administratif global partagé? Ceci est un accès de compte illimité (entrées) à l'environnement. Cela signifie généralement que l'application sans restrictions doit effectuer des exceptions aux politiques de sécurité. Par exemple, un compte peut être inclus dans la liste des systèmes de contrôle des applications et est exclu du logiciel anti-virus, de sorte qu'il n'est pas bloqué et non marqué d'un drapeau. Le compte peut fonctionner pour le compte de l'utilisateur, le système lui-même ou l'application sur tout actif ou ressource dans l'environnement. De nombreux professionnels de la cybersécurité appellent ce type d'accès «privilèges de Dieu», il porte un risque massif et sans complément.

L'accès administratif partagé global est généralement utilisé dans des applications héritées de suivi, de gestion et d'automatisation des technologies locales. Les comptes d'administrateur partagés globaux entretiennent dans de nombreux outils installés sur place et travaillent dans nos environnements. Cela inclut des solutions pour la gestion de réseau, les solutions de gestion des vulnérabilités, les outils de détection d'actifs et de solutions pour la gestion de périphériques mobiles, et ce sont quelques-uns des exemples multiples.

Le principal problème est que ces comptes administratifs avec un accès complet sont nécessaires pour fonctionner correctement, et ils ne peuvent donc pas travailler à l'aide du concept de gestion des applications avec les privilèges les plus bas, qui constitue la meilleure pratique de sécurité. Si ces comptes ont révoqué des privilèges et des autorisations, l'application ne pourrait probablement pas fonctionner. Ainsi, ils sont fournis avec un accès complet et illimité au travail, qui est une zone massive d'attaque.

En cas de Solarwinds, c'est exactement ce qui s'est passé. L'application elle-même a été compromise par la mise à jour automatique et les attaquants ont utilisé un accès privilégié illimité dans l'environnement de la victime à l'aide de cette application. L'attaque pourrait accomplir presque toutes les tâches déguisées par Solarwinds et même jugé très difficile de ne pas les exécuter sur des systèmes sur lesquels il existe des moyens de surveiller et de garantir la sécurité des fournisseurs avancés. Ainsi, il devient évident comme suit: Si le code malveillant est suffisamment sophistiqué pour contourner les solutions de sécurité et ne l'exécute que sur les objets où il peut éviter la détection, il utilisera cela à l'aide de privilèges administratifs partagés globaux. Aucune solution ne pourrait détecter et bloquer une telle attaque.

L'année dernière dans notre blog, dans laquelle nous avons donné la cybersécurité prévue pour 2020, nous avons d'abord mis une augmentation des mises à jour automatiques malveillantes. Ainsi, bien que la menace totale n'était pas une conséquence inconnue ou inattendue, à l'échelle et destructrice de cette attaque particulière, Solarwinds sonnera longtemps.

Comment prévenir ou éliminer les attaques dans l'organisation dont les applications héritées sont impliquées

Il y a une grande question ici: comment pouvons-nous mettre à niveau nos environnements et ne pas dépendre des applications et des comptes nécessitant des privilèges excessives, dangereux?

Tout d'abord, avec surtout des applications héritées, des solutions de gestion de la gestion de réseau ou de vulnérabilités, par exemple, sur la base de la technologie de numérisation. Juste des modèles de technologie et de sécurité obsolètes pour mettre en œuvre de telles applications. Quelque chose nécessite un changement.

Si vous pensez que les violations Solarwinds sont la pire chose qui s'est produite dans le domaine de la cybersécurité, vous pourriez avoir raison. Pour les professionnels dans le domaine de la cybersécurité, qui se souviennent de Sasser, Blaster, Big Jaune, Mirai et Wannacry, le volume d'influences sur le système sera comparable, mais la cible et la charge utile de ces vers ne compare aucune comparaison avec la Solarwinds attaque.

Des menaces sérieuses ont déjà existé des dizaines d'années, mais jamais avant de voir la ressource à attaquer aussi sophistiquée que toutes les victimes potentielles et les conséquences des attaques ne nous sont pas connues jusqu'à présent. Lorsque Sasser ou Wannacry a frappé le système, leurs propriétaires en savaient. Même dans le cas des virus d'extorsion, vous en apprendrez sur les conséquences pendant une courte période.

En relation avec Solarwinds, l'un des principaux objectifs des assaillants devait rester inaperçu. Et n'oubliez pas qu'aujourd'hui, le même problème mondial existe avec d'autres applications héritées. Pour l'organisation d'attaques sur des milliers d'entreprises, d'autres applications avec des privilèges administratifs partagés mondiaux dans nos médias peuvent être utilisés, ce qui entraînera des résultats terrifiants.

Malheureusement, il ne s'agit pas d'une vulnérabilité qui nécessite une correction, mais plutôt une utilisation non autorisée des capacités de la demande qui nécessite ces privilèges.

Alors où commencer?

Tout d'abord, nous devons identifier et détecter toutes les applications de notre environnement, ce qui est nécessaire de tels privilèges excessifs:

  • Utilisation de l'outil de détection de classe d'entreprise, déterminez quelles applications ont le même compte privilégié sur plusieurs systèmes. Les informations d'identification sont très probablement courantes et peuvent être utilisées pour la distribution horizontale.
  • Faites un inventaire du groupe de groupe Administrateurs de domaine et identifiez tous les comptes ou services d'application présents. Toute application qui nécessite les privilèges de l'administrateur de domaine est un risque élevé.
  • Parcourez toutes les applications dans votre liste d'exceptions d'antivirus globale (par rapport aux exceptions sur des nœuds spécifiques). Ils seront impliqués dans la première et la plus importante étape de votre pile de sécurité final - prévenir les logiciels malveillants.
  • Parcourez la liste des logiciels utilisés dans l'entreprise et déterminez quels privilèges sont nécessaires par une application pour travailler et effectuer des mises à jour automatiques. Cela peut aider à déterminer si les privilèges de l'administrateur local sont nécessaires ou des comptes administrateurs locaux pour l'opération correcte de l'application. Par exemple, un compte impersonnel pour augmenter les privilèges de l'application peut avoir un compte sur un nœud local à cette fin.

Ensuite, nous devons mettre en œuvre là où il est possible de gérer les applications en fonction des privilèges minimaux nécessaires. Cela implique l'élimination de tous les privilèges excessives de l'application. Cependant, comme mentionné ci-dessus, il n'est pas toujours possible. Enfin, pour éliminer le besoin de comptes privilégiés partagés globaux, vous pourriez avoir besoin comme suit:

  • Mettre à jour l'application à une solution plus récente
  • Choisissez un nouveau fournisseur pour résoudre le problème
  • Traduire la charge de travail dans le nuage ou une autre infrastructure

Considérer comme un exemple de vulnérabilités de gestion. Les scanners de vulnérabilité traditionnels utilisent un compte privilégié partagé global (parfois plus d'un) pour se connecter à distance à la cible et à l'authentification en tant que compte administratif pour déterminer les vulnérabilités. Si le nœud est compromis par une numérisation de logiciels malveillants, le hachage utilisé pour l'authentification peut être collecté et utilisé pour une distribution horizontale sur le réseau et établir une présence constante.

Venndors des systèmes de gestion de la vulnérabilité a réalisé ce problème et au lieu de stocker un compte administratif constant pour la numérisation, ils sont intégrés à une solution de contrôle d'accès préférée (PAM) pour obtenir un compte privilégié actuel pour compléter le scan. Lorsqu'il n'y avait pas de solutions PAM, les fournisseurs d'outils de gestion des vulnérabilités ont également réduit le risque, en développant des agents locaux et des outils pouvant utiliser API pour évaluer au lieu d'un compte administratif partagé unique pour la numérisation autorisée.

Mon point de vue sur cet exemple est simple: la technologie héritée de la gestion de la vulnérabilité a évolué de manière à ne plus expose les clients avec un risque énorme associé aux comptes d'application globaux et à leur accès. Malheureusement, de nombreuses autres technologies des fournisseurs n'ont pas changé leurs décisions et la menace demeure jusqu'à ce que les anciennes solutions soient remplacées ou modernisées.

Si vous avez des outils pour gérer les comptes administratifs partagés globaux requis, la tâche d'importance primordiale pour 2021 devrait remplacer ces outils ou leur mise à jour. Assurez-vous que les solutions que vous achetez sont développées par des fournisseurs qui remettent déjà à partir de cette menace.

Enfin, pensez à gérer les privilèges d'applications basés sur le principe des privilèges les moins nécessaires. Les solutions PAM sont conçues pour stocker des secrets et permettre aux applications de travailler avec un niveau de privilège minimum, même s'ils n'étaient pas conçus à l'origine pour travailler avec ces applications.

Retour à notre exemple, les solutions de gestion des vulnérabilités peuvent utiliser des privilèges UNIX et Linux pour effectuer des analyses de vulnérabilité, même s'ils n'ont pas été fournis avec leur propre accès privilégié. L'outil de gestion des privilèges exécute les commandes au nom du scanner et renvoie les résultats. Il exécute les commandes du scanner avec les plus petits privilèges et ne remplit pas ses commandes inappropriées, par exemple, éteignant le système. En un sens, le principe des plus petits privilèges sur ces plates-formes ressemble à sudo et peut contrôler, limiter et exécuter des applications avec des privilèges, quel que soit le processus appelant la commande. Ceci est juste un moyen de gérer l'accès privilégié peut être appliqué à certaines applications obsolètes dans les cas où des privilèges excessifs sont nécessaires et que le remplacement approprié n'est pas possible.

Réduit Ciberian en 2021 et en outre: les principales étapes suivantes

Toute organisation peut être la cible des intrus et toute application de privilèges excessives peut être utilisée contre toute la société. L'incident SolarWinds doit nous encourager tous à réviser et à identifier ces applications dont le travail est associé aux risques d'accès privilégié excessif. Nous devons déterminer comment vous pouvez adoucir la menace, même s'il est impossible de l'éliminer en ce moment.

En fin de compte, vos efforts déployés pour réduire les risques et éliminer leurs conséquences peuvent vous amener à remplacer les applications ou la transition vers le nuage. Sans aucun doute, le concept de gestion d'accès privilégié est applicable aux applications ainsi qu'aux personnes. Si vos applications ne sont pas correctement contrôlées, elles peuvent compromettre la sécurité de l'ensemble de l'entreprise. Et rien ne devrait avoir un accès illimité dans votre environnement. C'est un lien faible que nous devons identifier, supprimer et éviter à l'avenir.

Matériau plus intéressant sur cisoClub.ru. Abonnez-vous à nous: Facebook | Vk | Twitter | Instagram | Télégramme | Zen | Messager | ICQ nouveau | YouTube | Impulsion.

Lire la suite

Soirée Novostroy.su: Un quart des Russes manque de salaire pour les besoins essentiels, la chambre dénombrable s'est intéressée aux prix du logement, Petersburg était en avance sur Moscou pour la croissance des prix du "secondaire"
La nouvelle de la journée, selon Novostroy.su, était le fait que les logements secondaires à Saint-Pétersbourg se sont avérés plus rentables que Moscou....
Méthodes efficaces, comment perdre du poids après l'accouchement et retirer le ventre
La question de savoir comment perdre du poids et retirer le ventre après l'accouchement, se lève à de nombreuses femmes. Les nutritionnistes ne conseillent...
Le conseil de surveillance de Facebook considère l'accord associé au génocide arménien
Le conseil de surveillance de Facebook envisage le cas par lequel Facebook Utilisateur a fait appel de commentaires avec le MEM représentant que la...
Il n'y avait pas d'excitation, mais certains sites sont allés pour des sommes rondes: comment a été la vente aux enchères à Grodno
Grodno a adopté une autre vente aux enchères immobilière. Ici, les individus et les entités juridiques peuvent acquérir des parcelles terrestres dans des...
Moins de 90 roubles par dollar? L'expert a dit que ce serait avec des cours en 2021
En 2021, quatre facteurs différents vont influencer le mouvement du rouble. Cet avis a été exprimé par l'analyste de la GC "Finam" Andrei Maslov dans...
Nous cultivons des épices. Comment gérer le jaunissement des feuilles d'ail
Bon après-midi, mon lecteur. Même une telle culture sans prétention que l'ail sur l'arbitraire du destin ne vaut pas la peine de lancer. Comme toute plante,...
5 films avec des scènes de sexe réelles
Où trouver la meilleure arme dans Assassins Creed Odyssey: Hyde par des armes légendaires
Les scientifiques ont révélé des régularités comme les personnes se comportent dans des lieux publics (infographie visuelle)
Year of the snake: 8 amazing facts about reptiles
Comment travailler le salon rose - Barres de fellation japonaise
Comment faire un étang dans le pays avec vos propres mains - une classe de maître étape par étape avec une photo
Shopping à Belek: Conseils et recommandations
Natalia Vodyanova a fait une photo fantastique d'un fils de 5 ans
Massage de la prostate: Comment faire un homme pour vous-même? Vues, ​​méthodes, techniques, avantages et programmes du massage de la prostate avec un doigt et un masseur pour le traitement de la prostatite à la maison. Comment et comment puis-je masser la prostate vous-même?
25 photos, à propos de l'endroit où vous pouvez cacher
Fin du film: 5 problèmes de votre vie dans lequel la pornographie est à blâmer
Osmose inverse - comment ça marche et comparaison des meilleurs filtres ménagers avec caractéristiques et prix
L'Inde a été attaquée par un nouveau virus inconnu de la science
7 types de fabrication de bijoux à connexion froide : vis, languettes, rivets, etc.
Comment laver le molleton à la main
Chatte humide
Une nouvelle astuce LinkedIn vous permet de rechercher secrètement des emplois sans que votre patron ne le découvre
Le divorce m'a appris plus sur le mariage que mon mariage
La couverture de septembre de Tatler, les meilleurs moments de style de Cindy Crawford
Tout ce que vous devez savoir sur la dermatillomanie
Joyeux anniversaire! Maddox, le fils de Brad Pitt et Angelina Jolie, a 18 ans et oui, nous nous sentons vieux
Anthony Bourdain apporte à Green Day un tambour infusé de scotch lors de la finale de la saison "Raw Craft"
Avis sur les produits Singletracks : divulgation complète
EMD Millipore conclut un accord définitif pour acquérir Biochrom
Shania Twain parle de son combat contre la maladie de Lyme
15 produits Wayfair étranges que vous ne saviez pas pouvoir acheter
Recette Is-yet-cheese-burger aux légumes grillés
La vérité sur Jennifer Aniston contrariée par l'amitié de Jimmy Kimmel avec les Kardashian
Ces 70 noms de discussion de groupe sur le thème de Hanukkah sont indispensables pour illuminer votre conversation
Réveillez-vous les protéines du petit-déjeuner
« Il est temps » : la pionnière du street art Lady Pink explique pourquoi elle peint des monuments aux légendes méconnues du graffiti
Vœu pieux
10 locations d'îles privées que vous pouvez trouver sur Airbnb
Scarlett Johansson a interrogé Woody Allen directement sur les allégations d'abus sexuels
Les téléviseurs Samsung prennent désormais en charge HDR10 + avec Google Play Movies
La science explique ce qui arrive à votre corps lorsque vous ne faites pas caca tous les jours
Colonisation de Titan : théories, faits et avis d'experts
D-Link DHP-500AV : analyse de ces automates avec des vitesses allant jusqu'à 500 Mbps
Les 4 questions auxquelles GM doit répondre à propos du rappel
Un chauffeur partenaire Uber à succès partage ses 7 meilleurs conseils
Encyclopédie des dinosaures
Malecón de Mazatlán, Sinaloa, combien de temps dure-t-il et comment s'y rendre ?
Comment sauvegarder vos images WhatsApp dans Google Photos et textes dans Google Drive

© 2024 Faits cognitifs
Nouvelles intéressantes et informatives, articles, avis

uk en af am ar az be bg bn bs ca ceb cs cy da de el eo es et eu fa fi fr fy ga gl gu ha he hi hmn hr ht hu hy id ig is it ja jv ka kk km kn ko ku ky lb lo lt lv mg mk ml mn mr ms mt my ne nl no ny or pa pl ps pt ro rw sd si sk sl sm sn so sq sr st su sv sw ta te tg th tk tl tr tt ug ur uz vi xh yi yo zh-CN zh-TW zu