In sabeare oanfal rjochte op 'e penetraasje fan Solarwinds Orion en it folgjende kompromis fan tûzenen fan syn klanten is opfallend mei syn skaal en potensjele gefolgen.
Foar it jier fan wrede lessen tsjinnet dizze oanfal as in heul lûd en ungewoane herinnering - elkenien kin hackje. Elkenien. Gjin befeiligingskontrôle, software, prosessen en training en training kinne elke oanfal net blokkearje. Jo kinne altyd en moatte stribje moatte om de risiko's te ferminderjen, mar om har kwyt te reitsjen, sil it noait slagje.
Wy hawwe ek weromroppen dat wy in geweldige digitale ynfrastruktuer makken, dat, yn it gefal fan syn miljeu en de geheimen fan 'e wrâld hawwe, kinne de ekonomy en it libben wenje yn in pandemy. Foar in oanfaller is dizze digitale ynfrastruktuer ek om in enoarme rykdom te sammeljen, yntellektueel eigendom, easken foar tagong ta gegevens of sabotaasje fan tsjinstanner plannen, of in konkurrint.
Kommunikaasje oanfal Solarwinds en applikaasje-privileezjes
Gjin vendor kin garandearje dat syn beslút de oanfal folslein soe foarkomme op Solarwinds, en wy moatte foarsichtich wêze foar sokke útspraken. Tagelyk kinne bedriuwen strategyske stappen nimme om dit soarte oanfallen yn 'e takomst te foarkommen as se realisearje en beslute ien fan' e fûnemintele problemen fan it behearjen fan de erfde ynfrastruktuer. Dit basisfeiligensprobleem is de needsaak om derfoar te soargjen dat elke applikaasje unbeheind tagong hat ta alles dat yn it netwurk is, of, yn termen fan befoarbere tagong, wrâldwide dielde tagong mei behearder.Wat is global dielde bestjoerlike tagong? Dit is in unbeheinde akkount tagong (ynstjoeringen) oan 'e omjouwing. Dit betsjuttet normaal dat de oanfraach sûnder beheiningen útsûnderingen moatte meitsje op feiligensbelied. Bygelyks, in akkount kin wurde opnommen yn 'e list mei systemen fan tapassing fan applikaasje en wurde útsletten fan anty-firussoftware, dus it is net blokkearre en net markearre mei in flagge. It akkount kin út namme fan 'e brûker, it systeem sels of applikaasje wurkje as applikaasje op elke aktiva of boarne yn' e omjouwing. In protte professionals fan cybersecurce neame dit soarte tagong "God privileezjes", it draacht in massaal, unkomplicable risiko.
Global Shared Bestjoerlike tagong wurdt normaal brûkt yn erfited applikaasjes foar monitoaring, management en automatisearring fan lokale technology. Global Shared Behearder akkounts servearje yn in protte ark dy't op foaroan ynstalleare binne en wurkje yn ús omjouwings. Dit omfettet oplossingen foar netwurkbehear, Solutions Management Solutions, ark om aktiva en oplossingen te detektearjen foar it behearjen fan mobile apparaten, en dit binne gewoan guon fan 'e meardere foarbylden.
It haadprobleem is dat dizze bestjoerlike akkounts goed nedich binne om goed te wurkjen, en dêrom kinne se net wurkje mei it konsept fan behearen mei de leechste privileezjes, dat is de bêste befeiligingspraktyk. As dizze akkounts privileezjes en tagongsrjochten hawwe ynlutsen, sil de applikaasje wierskynlik net kinne wurkje. Sa wurde se foarsjoen fan folsleine en ûnbeheinde tagong ta it wurk, dat is in massyf gebiet foar oanfal.
Yn gefal fan Solarwinds is dit krekt wat barde. De applikaasje sels waard kompromitteard troch automatyske update, en oanfallers brûkten unbeheinde tagong yn 'e slachtoffomjouwing mei dizze applikaasje. Oanfal koe hast alle taken ferklaaid troch Solarwinded troch Solarwinded, en besocht sels net om se te prestearjen oer systemen oer wa't de feiligens fan avansearre vendors is. Sa wurdt it fanselssprekkend as folget: As de kweade koade is, is sinnich genôch om befeiligingsoplossingen te omearmjen en it allinich op te fieren wêr't it kin foarkomme dat it dit kin foarkomme, sil it dit dwaan mei wrâldwide dielde bestjoerlike privileezjes. Gjin oplossing koe sa'n oanfal opspoare en blokkearje.
Ferline jier yn ús Blog, wêryn wy de cybersheim joech foarôf 2020, sette wy earst in tanimming fan kwea-aardige automatyske updates. Sa, hoewol de totale bedriging net in ûnbekende of unferwachte, skaal en destruktive gefolgen fan dizze bepaalde oanfal Solarwinds sil in lange tiid klinke.
Hoe't jo oanfallen foarkomme of ferwiderje yn 'e organisaasje wêrfan't erflike applikaasjes belutsen binne
D'r is hjir in grutte fraach: Hoe kinne wy ús omjouwingen opwurdearje en net ôfhingje fan applikaasjes en akkounts dy't oermjittige privileezjes fereasket, dat ûnfeilich is?
As earste, mei meast sokke sokke achterige applikaasjes, oplossingen foar netwurkbehear- as kwestje fan netwurkbehear, bygelyks basearre op scannechnology binne allegear yn oarder. Gewoan ferâldere technology en befeiligingsmodellen om sokke applikaasjes te ymplementearjen. Iets fereasket in feroaring.
As jo tinke dat de oertredingen fan Solarwinds it minste binne, is dat ea bard yn it fjild fan Cyberscurity, kinne jo goed wêze. Foar dy professionals op it mêd fan cyberscurity, dy't wurde ûnthâlden troch Sasser, Big Giel, wega en wannracy, it doel en it doel en it doel fan dizze wjirms hawwe gjin fergeliking mei de Solarwinds oanfal.
Serieuze bedrigingen hawwe al tsientallen jierren bestie, mar nea foardat wy de boarne sjoen hawwe om te wurde oanfallen, sadat alle potensjele slachtoffers en de gefolgen fan oanfallen ús oant no ta net bekend binne. Doe't Sasser of Wannacry it systeem sloech, wisten har eigners der oer. Sels yn it gefal fan útwreidingsfirussen sille jo in koarte perioade oer de gefolgen leare.
Yn ferbân mei Solarwinds wie ien fan 'e haaddoelen fan oanfallers ûnophinklik te bliuwen. En ferjit net dat hjoed itselde wrâldwide probleem bestiet mei oare erfde applikaasjes. Foar de organisaasje fan oanfallen op tûzenen bedriuwen, binne oare applikaasjes mei Global Shared Bestjoerlike privileezjes yn ús media kinne brûkt wurde, wat sil liede ta skriklike resultaten.
Spitigernôch is dit gjin kwetsberens dy't korreksje fereasket, mar leaver in net autoriseare gebrûk fan 'e mooglikheden fan' e applikaasje dy't dizze privileezjes nedich hat.
Dus wêr moat begjinne?
Alderearst moatte wy alle applikaasjes identifisearje en opspoare yn ús omjouwing, dy't sokke oermjittige privileezjes nedich binne:
- Mei help fan it ark fan 'e Enterprise-klasse-klasse, bepale hokker applikaasjes itselde befoarge akkount hawwe op meardere systemen. De referinsjes binne wierskynlik gewoan en kinne brûkt wurde foar horizontale ferdieling.
- Meitsje in ynventarisaasje fan 'e Domeinbehearders Groep Groep en identifisearje alle oanfraach foar applikaasje as tsjinsten. Elke applikaasje dy't de privileezjes fan 'e domeinbehearder nedich is, is in hege risiko.
- Blêdzje troch alle applikaasjes dy't yn jo wrâldwide antivirus-útsûnderingslist binne (ferlike mei útsûnderingen op spesifike knooppunten). Se sille belutsen wêze by de earste en wichtichste stap fan jo feiligensstapte fan Eindpoint - foarkomme.
- Blêdzje troch de list fan software brûkt yn 'e ûndernimming en bepale hokker privileezjes binne nedich troch in applikaasje om te wurkjen en automatyske updates te wurkjen en út te fieren. Dit kin helpe by it bepalen as de privileezjes fan 'e pleatslike behearder nedich binne of lokale behearder akkounts hawwe foar de juste operaasje fan' e applikaasje. Bygelyks, in ûnpersoanlike akkount foar it ferheegjen fan de privileezjes fan 'e applikaasje kin in akkount hawwe op in pleatslike knooppunt foar dit doel.
Dan moatte wy ymplementearje wêr't it mooglik is om applikaasjes te behearjen op basis fan it minimale nedige privileezjes. It ympliseart it ferwiderjen fan alle oermjittige privileezjes fan 'e applikaasje. Lykwols, lykas hjirboppe neamd, is it net altyd mooglik. Uteinlik, om de need te eliminearjen foar Global Shared Privileged-akkounts, kinne jo as folget nedich wêze:
- Update de oanfraach by in nijere oplossing
- Kies in nije vendor om it probleem op te lossen
- Oersette wurkload yn 'e wolk as in oare ynfrastruktuer
Beskôgje as foarbyldbehear kwetsberens. Tradisjoneel kwetsberens foar kwetsberens brûke in Global Shared Privileged-akkount (soms mear dan ien) om op ôfstân te ferbinen mei doel en ferifikaasje as in bestjoerlik akkount om kwetsberheden te bepalen. As it knooppunt kompromitteare wurdt troch in kwea-aardige software-scannen, dan kin it hash brûkt wurde foar ferifikaasje wurdt sammele en brûkt foar horizontale distribúsje en brûkt foar it netwurk en in konstante oanwêzigens fêst.
Venndors fan 'e systemen fan' e kwetsberensbehear hawwe dit probleem realisearre en ynstee fan in konstante bestjoerskonto te bewarjen, binne se yntegrearre, binne om in foarkarapparaat te skriuwen (PAM) om in hjoeddeistige befoarrjochte akkount te krijen om de scan te foltôgjen. Doe't d'r gjin Pam-oplossingen wiene, fermindere vendors fan kwetsingsbehear ek it risiko, en jouwe lokale aginten en ark dy't API kinne brûke om te evaluearjen ynstee fan in inkeld dielde bestjoerskonto foar autorisearre scannen.
Myn eachpunt op dit foarbyld is ienfâldich: erflike tastân fan kwetsberensbehear is evoluearre op sa'n manier dat it klanten net mear ferbine mei in enoarme risiko-ferbûn mei wrâldwide applikaasje-akkounts en tagong ta har. Spitigernôch hawwe in protte oare vendors-technologyen net feroare, en de bedriging bliuwt oant de âlde oplossingen wurde ferfongen of modernisearre.
As jo ark hawwe om te behearjen hokker globale dielde bestjoerlike akkounts nedich binne, dan soe de taak fan 'e wichtichste belang foar 2021 dizze ark as har update moatte ferfange. Soargje derfoar dat de oplossingen dy't jo keapje wurde ûntwikkele troch vendors dy't al levere fan dizze bedriging.
Uteinlik tinke, tink oan it behearjen fan de privileezjes fan applikaasjes op basis fan it prinsipe fan 'e minste needsaaklike privileezjes. Pam-oplossingen binne ûntworpen om geheimen te bewarjen en tapassen oan te wurkjen om te wurkjen mei in minimale privileeingnivo, sels as se oarspronklik net waarden ûntwurpen om te wurkjen mei dizze applikaasjes.
Weromgean nei ús foarbyld, kin VassaBeilen Management Solutions UNIX en Linux-privileezjes brûke om kwetsberensfergunningen te fieren, sels as se net waarden levere mei har eigen befoarge tagong. It ark fan it privileeiljocht útfiert de kommando's út namme fan 'e scanner út en jout de resultaten jout. It útfiert de scanner-kommando's mei de lytste privileezjes en foldocht net op syn ungewoane kommando's, bygelyks, bygelyks it systeem útskeakelje. Yn in sin, it prinsipe fan 'e lytste privileezjes op dizze platfoarms liket op Sudo en kin applikaasjes kontrolearje, beheine en útfiere en útfiere en útfiere en útfiere en útfiert, nettsjinsteande it proses dat it kommando ropt. Dit is gewoan ien manier om privileearre tagong te behearjen kin tapast wurde op guon ferâldere applikaasjes yn gefallen wêr't oermjittige privileezjes nedich binne en de passende ferfanging is net mooglik.
Redusearre ciberian yn 2021 en fierder: de folgjende haadstappen
Elke organisaasje kin it doel wêze fan ynbrekkers, en elke applikaasje mei oermjittige privileezjes kin brûkt wurde tsjin it heule bedriuw. It Solarwinds-ynsidint moat alles oanmoedigje om dizze applikaasjes te herstellen en te identifisearjen waans wurk wurdt assosjeare mei de risiko's mei de risiko's fan oermjittige tagong. Wy moatte bepale hoe't jo de bedriging kinne ferspriede, sels as it ûnmooglik is om it op it stuit te eliminearjen.
Uteinlik, jo ynspanningen om risiko's te ferminderjen en har gefolgen te eliminearjen kinne jo liede ta oanfregingen of oergong nei de wolk te ferfangen. Sûnder mis ien - it konsept fan privileeigde tagongsbehear is fan tapassing op applikaasjes en oan minsken. As jo applikaasjes net goed wurde regele, kinne se de feiligens fan 'e heule bedriuw yn gefaar bringe. En neat moat unbeheind tagong hawwe yn jo omjouwing. Dit is ien swakke keppeling dat wy moatte identifisearje, yn 'e takomst wiskje.
Mear ynteressanter materiaal op cisoclub.ru. Abonnearje op US: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Nij | YouTube | Pols.