सौरविंड्स ओरियन के प्रवेश के लिए निर्देशित एक परिष्कृत हमला और हजारों ग्राहकों के बाद के समझौता के अपने पैमाने और संभावित परिणामों के साथ हड़ताली है।
क्रूर सबक के वर्ष के लिए, यह हमला बहुत ज़ोरदार और अप्रिय अनुस्मारक के रूप में कार्य करता है - कोई भी हैक कर सकता है। किसी को। कोई सुरक्षा नियंत्रण, सॉफ्टवेयर, प्रक्रियाएं और प्रशिक्षण प्रत्येक हमले को अवरुद्ध नहीं कर सकता है। आप हमेशा जोखिमों को कम करने के लिए प्रयास कर सकते हैं, लेकिन उनसे छुटकारा पाने के लिए कभी भी सफल नहीं होंगे।
हमने यह भी याद किया कि हमने एक अद्भुत डिजिटल आधारभूत संरचना बनाई है, जो कि इसके समझौता के मामले में और अपने पर्यावरण और रहस्यों को पकड़ने के मामले में, हमारी दुनिया पर एक बड़ा प्रभाव डाल सकता है, अर्थव्यवस्था और जीवन जिसे हम धीरे-धीरे एक महामारी के दौरान आदी हो सकते हैं। एक हमलावर के लिए, यह डिजिटल इंफ्रास्ट्रक्चर भी रहस्यों, बौद्धिक संपदा, डेटा या ब्लैकमेल तक पहुंच के लिए आवश्यकताओं के साथ-साथ प्रतिद्वंद्वी योजनाओं के तबाही के लिए एक विशाल संपत्ति जमा करने का एक साधन भी है, चाहे प्रतिद्वंद्वी या राष्ट्र।
संचार अटैक सौरविंड और आवेदन विशेषाधिकार
कोई विक्रेता गारंटी नहीं दे सकता कि उसका निर्णय पूरी तरह से सौरविंड पर हमले को रोक देगा, और हमें ऐसे बयान से सावधान रहना चाहिए। साथ ही, कंपनियां भविष्य में इस प्रकार के हमलों को रोकने के लिए रणनीतिक कदम उठा सकती हैं यदि वे महसूस करते हैं और विरासत बुनियादी ढांचे के प्रबंधन की मौलिक समस्याओं में से एक को तय करते हैं। यह मूल सुरक्षा समस्या यह सुनिश्चित करने की आवश्यकता है कि किसी भी एप्लिकेशन में नेटवर्क में मौजूद सभी चीज़ों तक असीमित पहुंच है, या, विशेषाधिकार प्राप्त पहुंच के मामले में, प्रशासक या रूट अधिकारों के साथ वैश्विक साझा पहुंच।वैश्विक साझा प्रशासनिक पहुंच क्या है? यह पर्यावरण के लिए एक असीमित खाता पहुंच (प्रविष्टियां) है। इसका आमतौर पर यह अर्थ है कि प्रतिबंधों के बिना आवेदन को सुरक्षा नीतियों के अपवाद करने की आवश्यकता है। उदाहरण के लिए, एक खाता अनुप्रयोग नियंत्रण प्रणाली की सूची में शामिल किया जा सकता है और एंटी-वायरस सॉफ़्टवेयर से बाहर रखा गया है, इसलिए यह अवरुद्ध नहीं है और ध्वज के साथ चिह्नित नहीं है। खाता उपयोगकर्ता की ओर से काम कर सकता है, सिस्टम स्वयं या पर्यावरण में किसी भी संपत्ति या संसाधन पर आवेदन कर सकता है। कई साइबर सुरक्षा पेशेवर इस प्रकार के पहुंच को "भगवान विशेषाधिकार" कहते हैं, इसमें एक बड़े पैमाने पर, अपूर्ण जोखिम होता है।
वैश्विक साझा प्रशासनिक पहुंच आमतौर पर स्थानीय प्रौद्योगिकी की निगरानी, प्रबंधन और स्वचालन के लिए विरासत अनुप्रयोगों में उपयोग की जाती है। वैश्विक साझा व्यवस्थापक खाते कई उपकरणों में सर्विसिंग कर रहे हैं जो हमारे पर्यावरण में आधार पर स्थापित हैं और काम करते हैं। इसमें मोबाइल उपकरणों के प्रबंधन के लिए संपत्तियों और समाधानों का पता लगाने के लिए नेटवर्क प्रबंधन, भेद्यता प्रबंधन समाधान, उपकरण के लिए समाधान शामिल हैं, और ये कुछ उदाहरण हैं।
मुख्य समस्या यह है कि पूर्ण पहुंच वाले इन प्रशासनिक खातों को सही तरीके से काम करने के लिए आवश्यक है, और इसलिए वे सबसे कम विशेषाधिकारों के साथ अनुप्रयोगों के प्रबंधन की अवधारणा का उपयोग करके काम नहीं कर सकते हैं, जो सर्वोत्तम सुरक्षा अभ्यास है। यदि इन खातों ने विशेषाधिकारों और अनुमतियों को निरस्त कर दिया है, तो आवेदन संभवतः काम करने में सक्षम नहीं होगा। इस प्रकार, उन्हें काम के लिए पूर्ण और असीमित पहुंच प्रदान की जाती है, जो हमले के लिए एक विशाल क्षेत्र है।
सौरविंड के मामले में, यह वही हुआ जो हुआ। एप्लिकेशन को स्वचालित अपडेट के माध्यम से समझौता किया गया था, और हमलावरों ने इस एप्लिकेशन का उपयोग कर पीड़ित वातावरण में असीमित विशेषाधिकार प्राप्त पहुंच का उपयोग किया था। हमलावर सौरविंड द्वारा छिपी हुई किसी भी कार्य को निष्पादित कर सकता है, और यहां तक कि उन प्रणालियों पर निष्पादित करने की भी कोशिश नहीं की जाती है जिन पर उन्नत विक्रेताओं की सुरक्षा सुनिश्चित करने और सुनिश्चित करने के साधन हैं। इस प्रकार, यह निम्नानुसार स्पष्ट हो जाता है: यदि दुर्भावनापूर्ण कोड सुरक्षा समाधान को बाधित करने के लिए पर्याप्त परिष्कृत है और इसे केवल उन वस्तुओं पर निष्पादित करता है जहां यह पहचान से बच सकता है, यह वैश्विक साझा प्रशासनिक विशेषाधिकारों का उपयोग करके ऐसा करेगा। कोई समाधान इस तरह के हमले का पता लगा सकता है और ब्लॉक नहीं कर सकता है।
पिछले साल हमारे ब्लॉग में, जिसमें हमने 2020 के लिए साइबर सुरक्षा पूर्वानुमान दिया, हमने पहले दुर्भावनापूर्ण स्वचालित अपडेट में वृद्धि की। इस प्रकार, हालांकि कुल खतरा इस विशेष हमले के अज्ञात या अप्रत्याशित, पैमाने और विनाशकारी परिणाम नहीं थे, सौरविन्स लंबे समय तक ध्वनि नहीं करेंगे।
उस संगठन में हमलों को कैसे रोकें या खत्म करें जिसमें विरासत अनुप्रयोग शामिल हैं
यहां एक बड़ा सवाल है: हम अपने वातावरण को कैसे अपग्रेड कर सकते हैं और अत्यधिक विशेषाधिकारों की आवश्यकता वाले अनुप्रयोगों और खातों पर निर्भर नहीं कर सकते हैं, जो असुरक्षित है?
सबसे पहले, ज्यादातर ऐसे विरासत अनुप्रयोगों के साथ, नेटवर्क प्रबंधन या भेद्यता प्रबंधन के लिए समाधान, उदाहरण के लिए, स्कैनिंग तकनीक के आधार पर सभी क्रम में हैं। ऐसे अनुप्रयोगों को लागू करने के लिए बस पुरानी तकनीक और सुरक्षा मॉडल। कुछ को बदलाव की आवश्यकता होती है।
यदि आपको लगता है कि सौरविंड्स उल्लंघन सबसे बुरी चीज हैं जो कभी साइबर सुरक्षा के क्षेत्र में हुई हैं, तो आप सही हो सकते हैं। साइबर सुरक्षा के क्षेत्र में उन पेशेवरों के लिए, जो सैसर, ब्लास्टर, बिग पीले, मिराई और वैनैक्र्री द्वारा याद किए जाते हैं, सिस्टम पर प्रभावों की मात्रा तुलनीय होगी, लेकिन इन कीड़े के लक्ष्य और पेलोड के पास कोई तुलना नहीं है सोलरविंड्स अटैक।
गंभीर खतरे पहले से ही दर्जनों वर्षों से अस्तित्व में हैं, लेकिन इससे पहले कि हम संसाधनों को इतने परिष्कृत पर हमला नहीं किया है कि सभी संभावित पीड़ितों और हमलों के परिणाम अब तक ज्ञात नहीं हैं। जब सैसर या वैनैक्र्री ने सिस्टम को मारा, तो उनके मालिक इसके बारे में जानते थे। यहां तक कि विरूपण वायरस के मामले में, आप थोड़े समय के परिणामों के बारे में जानेंगे।
सौरविंड के संबंध में हमलावरों के मुख्य लक्ष्यों में से एक अनजान रहना था। और यह मत भूलना कि आज एक ही वैश्विक समस्या अन्य विरासत अनुप्रयोगों के साथ मौजूद है। हजारों कंपनियों पर हमलों के संगठन के लिए, हमारे मीडिया में वैश्विक साझा प्रशासनिक विशेषाधिकारों के साथ अन्य अनुप्रयोगों का उपयोग किया जा सकता है, जो भयानक परिणामों का कारण बन जाएगा।
दुर्भाग्यवश, यह एक भेद्यता नहीं है जिसके लिए सुधार की आवश्यकता है, बल्कि इन विशेषाधिकारों की आवश्यकता वाले एप्लिकेशन की क्षमताओं का अनधिकृत उपयोग।
तो कहां से शुरू करें?
सबसे पहले, हमें अपने पर्यावरण में सभी अनुप्रयोगों की पहचान और पहचान करने की आवश्यकता है, जो कि अत्यधिक विशेषाधिकारों की आवश्यकता है:
- एंटरप्राइज़ क्लास डिटेक्शन टूल का उपयोग करके, यह निर्धारित करें कि कौन से अनुप्रयोगों में एकाधिक सिस्टम पर एक ही विशेषाधिकार प्राप्त खाता है। क्रेडेंशियल्स सबसे अधिक संभावना है और क्षैतिज वितरण के लिए उपयोग किया जा सकता है।
- डोमेन व्यवस्थापक समूह समूह की एक सूची बनाएं और मौजूद सभी अनुप्रयोग खातों या सेवाओं की पहचान करें। डोमेन व्यवस्थापक के विशेषाधिकारों की आवश्यकता वाले किसी भी एप्लिकेशन में एक उच्च जोखिम है।
- अपने वैश्विक एंटीवायरस अपवाद सूची में मौजूद सभी एप्लिकेशन ब्राउज़ करें (विशिष्ट नोड्स पर अपवादों की तुलना में)। वे आपके एंडपॉइंट सुरक्षा स्टैक के पहले और सबसे महत्वपूर्ण कदम में शामिल होंगे - मैलवेयर को रोकें।
- एंटरप्राइज़ में उपयोग किए गए सॉफ़्टवेयर की सूची ब्राउज़ करें और यह निर्धारित करें कि एप्लिकेशन द्वारा स्वचालित अपडेट करने और स्वचालित अपडेट करने के लिए कौन से विशेषाधिकारों की आवश्यकता है। यह यह निर्धारित करने में सहायता कर सकता है कि स्थानीय व्यवस्थापक के विशेषाधिकारों की आवश्यकता है या स्थानीय व्यवस्थापक एप्लिकेशन के सही संचालन के लिए खाते हैं या नहीं। उदाहरण के लिए, आवेदन के विशेषाधिकारों को बढ़ाने के लिए एक अवैयक्तिक खाता इस उद्देश्य के लिए स्थानीय नोड पर खाता हो सकता है।
फिर हमें लागू करना होगा जहां न्यूनतम आवश्यक विशेषाधिकारों के आधार पर अनुप्रयोगों का प्रबंधन करना संभव है। यह आवेदन के सभी अत्यधिक विशेषाधिकारों को हटाने का तात्पर्य है। हालांकि, जैसा ऊपर बताया गया है, यह हमेशा संभव नहीं होता है। अंत में, वैश्विक साझा विशेषाधिकार प्राप्त खातों की आवश्यकता को खत्म करने के लिए, आपको निम्नानुसार आवश्यकता हो सकती है:
- एप्लिकेशन को एक नए समाधान में अपडेट करें
- समस्या को हल करने के लिए एक नया विक्रेता चुनें
- क्लाउड या अन्य बुनियादी ढांचे में वर्कलोड का अनुवाद करें
उदाहरण प्रबंधन कमजोरियों के रूप में विचार करें। पारंपरिक भेद्यता स्कैनर कमजोरियों को निर्धारित करने के लिए एक प्रशासनिक खाते के रूप में दूरस्थ रूप से कनेक्ट करने के लिए एक वैश्विक साझा विशेषाधिकार प्राप्त खाते (कभी-कभी एक से अधिक) का उपयोग करते हैं। यदि नोड को एक दुर्भावनापूर्ण सॉफ़्टवेयर स्कैनिंग द्वारा समझौता किया जाता है, तो प्रमाणीकरण के लिए उपयोग की गई हैश को नेटवर्क पर क्षैतिज वितरण के लिए एकत्र और उपयोग किया जा सकता है और निरंतर उपस्थिति स्थापित किया जा सकता है।
भेद्यता प्रबंधन प्रणालियों के वेनडर ने इस समस्या को महसूस किया है और स्कैनिंग के लिए निरंतर प्रशासनिक खाता संग्रहीत करने की बजाय, स्कैन को पूरा करने के लिए वर्तमान विशेषाधिकार प्राप्त खाता प्राप्त करने के लिए उन्हें एक पसंदीदा एक्सेस कंट्रोल समाधान (पीएएम) के साथ एकीकृत किया गया है। जब कोई पाम समाधान नहीं थे, भेद्यता प्रबंधन उपकरणों के विक्रेताओं ने भी जोखिम को कम किया, स्थानीय एजेंटों और उपकरणों को विकसित किया जो अधिकृत स्कैनिंग के लिए एक साझा प्रशासनिक खाते के बजाय मूल्यांकन करने के लिए एपीआई का उपयोग कर सकते हैं।
इस उदाहरण पर मेरा दृष्टिकोण सरल है: विरासत भेद्यता प्रबंधन तकनीक इस तरह से विकसित हुई है कि यह अब वैश्विक अनुप्रयोग खातों से जुड़े बड़े जोखिम वाले ग्राहकों को उजागर नहीं करता है और उन तक पहुंच। दुर्भाग्यवश, कई अन्य विक्रेताओं की प्रौद्योगिकियों ने अपने फैसलों को नहीं बदला है, और जब तक पुराने समाधानों को प्रतिस्थापित या आधुनिकीकृत नहीं किया जाता है तब तक खतरा बनी हुई है।
यदि आपके पास प्रबंधित करने के लिए टूल हैं जो वैश्विक साझा प्रशासनिक खातों की आवश्यकता है, तो 2021 के लिए सर्वोपरि महत्व का कार्य इन उपकरणों या उनके अद्यतन को प्रतिस्थापित करना चाहिए। सुनिश्चित करें कि आपके द्वारा खरीदे गए समाधान पहले से ही इस खतरे से पहले से ही विक्रेताओं द्वारा विकसित किए जाते हैं।
अंत में, कम से कम आवश्यक विशेषाधिकारों के सिद्धांत के आधार पर अनुप्रयोगों के विशेषाधिकारों के प्रबंधन के बारे में सोचें। पीएएम समाधानों को रहस्यों को संग्रहीत करने के लिए डिज़ाइन किया गया है और अनुप्रयोगों को न्यूनतम विशेषाधिकार स्तर के साथ काम करने की अनुमति दी जाती है, भले ही उन्हें मूल रूप से इन अनुप्रयोगों के साथ काम करने के लिए डिज़ाइन नहीं किया गया हो।
हमारे उदाहरण पर लौटने पर, भेद्यता प्रबंधन समाधान भेद्यता स्कैन करने के लिए यूनिक्स और लिनक्स विशेषाधिकारों का उपयोग कर सकते हैं, भले ही उन्हें अपनी विशेषाधिकार प्राप्त पहुंच प्रदान नहीं की गई हो। विशेषाधिकार प्रबंधन उपकरण स्कैनर की ओर से आदेशों को निष्पादित करता है और परिणाम देता है। यह स्कैनर कमांड को सबसे छोटे विशेषाधिकारों के साथ निष्पादित करता है और इसके अनुचित आदेशों को पूरा नहीं करता है, उदाहरण के लिए, सिस्टम को बंद कर देता है। एक अर्थ में, इन प्लेटफार्मों पर सबसे छोटे विशेषाधिकारों का सिद्धांत सूडो जैसा दिखता है और कमांड को कॉल करने वाली प्रक्रिया के बावजूद विशेषाधिकारों के साथ अनुप्रयोगों को नियंत्रित, सीमित और निष्पादित कर सकता है। यह विशेषाधिकार प्राप्त पहुंच का प्रबंधन करने का एक तरीका है, उन मामलों में कुछ पुराने अनुप्रयोगों पर लागू किया जा सकता है जहां अत्यधिक विशेषाधिकार आवश्यक हैं और उचित प्रतिस्थापन संभव नहीं है।
2021 में कम सिबेरियन और आगे: निम्नलिखित मुख्य चरण
कोई भी संगठन घुसपैठियों का लक्ष्य हो सकता है, और पूरे कंपनी के खिलाफ अत्यधिक विशेषाधिकारों के साथ किसी भी आवेदन का उपयोग किया जा सकता है। सौरविंड्स घटना को हम सभी को उन अनुप्रयोगों को संशोधित करने और पहचानने के लिए प्रोत्साहित करना चाहिए जिनके काम अत्यधिक विशेषाधिकार प्राप्त पहुंच के जोखिम से जुड़े हुए हैं। हमें यह निर्धारित करना होगा कि आप खतरे को कैसे नरम कर सकते हैं, भले ही इसे अभी खत्म करना असंभव हो।
आखिरकार, जोखिमों को कम करने और उनके परिणामों को खत्म करने के आपके प्रयास आपको आवेदनों को बदलने या क्लाउड में संक्रमण की ओर ले जा सकते हैं। निस्संदेह एक - विशेषाधिकार प्राप्त पहुंच प्रबंधन की अवधारणा अनुप्रयोगों के साथ-साथ लोगों के लिए भी लागू होती है। यदि आपके आवेदन ठीक से नियंत्रित नहीं होते हैं, तो वे पूरे उद्यम की सुरक्षा को खतरे में डाल सकते हैं। और आपके पर्यावरण में कुछ भी असीमित पहुंच नहीं होनी चाहिए। यह एक कमजोर लिंक है जिसे हमें भविष्य में पहचानना, हटा और टालना चाहिए।
Cisoclub.ru पर अधिक रोचक सामग्री। हमारी सदस्यता लें: फेसबुक | वीके | ट्विटर | इंस्टाग्राम | तार | जेन | मैसेंजर | आईसीक्यू नया | यूट्यूब | पल्स।