Մի բարդ հարձակում, որն ուղղված է Solarwinds Orion- ի ներթափանցմանը եւ նրա հազարավոր հաճախորդների հետագա փոխզիջմանին, զարմանալի է իր մասշտաբով եւ հավանական հետեւանքներով:
Դաժան դասերի տարվա համար այս հարձակումը ծառայում է որպես շատ բարձր եւ տհաճ հիշեցում. Յուրաքանչյուրը կարող է թալանել: Որեւէ մեկը: Անվտանգության վերահսկում, ծրագրաշար, գործընթացներ եւ դասընթացներ չեն կարող արգելափակել յուրաքանչյուր հարձակումը: Դուք միշտ կարող եք եւ պետք է ձգտենք նվազեցնել ռիսկերը, բայց դրանցից ազատվել երբեք չի հաջողվի:
Հիշեցնենք, որ մենք ստեղծեցինք զարմանալի թվային ենթակառուցվածք, որը փոխզիջման դեպքում, իր փոխզիջման դեպքում եւ իր միջավայրը եւ գաղտնիքները գրավելու դեպքում կարող է հսկայական ազդեցություն ունենալ մեր աշխարհի վրա, որի ընթացքում մենք դանդաղ սովոր ենք համաճարակի: Հարձակվողի համար այս թվային ենթակառուցվածքը նաեւ հսկայական հարստություն կուտակելու միջոց է `գաղտնիքների, մտավոր սեփականության, տվյալների կամ շանտաժի մատչելիության պահանջների, ինչպես նաեւ հակառակորդի պլանների սաբոտաժ:
Հաղորդակցման հարձակումը Solarwinds եւ դիմումի արտոնություններ
Ոչ մի վաճառող չի կարող երաշխավորել, որ իր որոշումը ամբողջովին կանխելու է հարձակումը Solarwinds- ի վրա, եւ մենք պետք է զգույշ լինենք նման հայտարարություններից: Միեւնույն ժամանակ, ընկերությունները կարող են ռազմավարական քայլեր ձեռնարկել հետագայում այս տեսակի գրոհները կանխելու համար, եթե նրանք գիտակցեն եւ որոշեն ժառանգված ենթակառուցվածքի կառավարման հիմնարար խնդիրներից մեկը: Անվտանգության այս հիմնական խնդիրը անհրաժեշտ է ապահովել, որ ցանկացած դիմում անսահմանափակ մուտք ունի ցանցում, կամ, արտոնյալ մուտքի առումով, համօգտագործված մուտքի առումով, ադմինիստրատորի կամ արմատային իրավունքների առումով:Ինչ է համընդհանուր ընդհանուր վարչական հասանելիությունը: Սա անսահմանափակ հաշվի հասանելիություն է (գրառումներ) դեպի շրջակա միջավայր: Սա սովորաբար նշանակում է, որ առանց սահմանափակումների դիմումը պետք է բացառություններ անի անվտանգության քաղաքականությանը: Օրինակ, հաշիվը կարող է ներառվել հայտի կառավարման համակարգերի ցանկում եւ բացառվում է հակավիրուսային ծրագրաշարից, ուստի այն չի արգելափակվում եւ դրոշով չի նշվում: Հաշիվը կարող է աշխատել օգտագործողի անունից, ինքնին համակարգի կամ դիմումի ցանկացած ակտիվի կամ ռեսուրսի վերաբերյալ: Շատ կիբերանվտանգության մասնագետներ անվանում են «Աստված արտոնություններ» մուտքի այս տեսակը, այն իրականացնում է զանգվածային, բուռն ռիսկ:
Համաշխարհային ընդհանուր վարչական հասանելիությունը սովորաբար օգտագործվում է տեղական տեխնոլոգիայի մոնիտորինգի, կառավարման եւ ավտոմատացման ժառանգական ծրագրերում: Համաշխարհային ընդհանուր կառավարիչ հաշիվները սպասարկում են բազմաթիվ գործիքներ, որոնք տեղադրված են նախադրյալ եւ աշխատում են մեր միջավայրում: Սա ներառում է ցանցի կառավարման, խոցելիության կառավարման լուծումների լուծումներ, ակտիվների հայտնաբերման եւ բջջային սարքերի կառավարման գործիքների հայտնաբերման գործիքներ, եւ դրանք պարզապես բազմաթիվ օրինակներից են:
Հիմնական խնդիրն այն է, որ այս վարչական հաշիվները լիարժեք հասանելիությամբ անհրաժեշտ են պատշաճ կերպով աշխատելու համար, եւ, հետեւաբար, նրանք չեն կարող աշխատել `օգտագործելով ամենացածր արտոնություններով դիմումների կառավարման հայեցակարգը: Եթե այդ հաշիվները չեղյալ ենարկել արտոնությունները եւ թույլտվությունները, դիմումը, ամենայն հավանականությամբ, չի կարողանա աշխատել: Այսպիսով, նրանց տրամադրվում է աշխատանքի լիարժեք եւ անսահմանափակ մուտք գործելու համար, ինչը զանգվածային տարածք է հարձակման համար:
Solarwinds- ի դեպքում սա հենց այն է, ինչ տեղի է ունեցել: Դիմումը ինքնին վարկաբեկվել է ավտոմատ թարմացման միջոցով, եւ հարձակվողներն այս դիմումը օգտագործելով անսահմանափակ արտոնյալ մուտք են գործել տուժած միջավայրում: Հարձակումը կարող է կատարել գրեթե ցանկացած առաջադրանք, որը քողարկված է Solarwinds- ի կողմից, եւ նույնիսկ շատ դժվար է փորձել դրանք կատարել այն համակարգերում, որոնց վրա կան առաջադեմ վաճառողների անվտանգության միջոցներ: Այսպիսով, այն ակնհայտ է դառնում հետեւյալ կերպ. Եթե վնասակար ծածկագիրը բավականաչափ բարդ է, անվտանգության լուծումները շրջանցելու եւ այն կատարելու համար միայն այն օբյեկտների վրա, որտեղ դա կարող է խուսափել հայտնաբերելուց: Ոչ մի լուծում չի կարող հայտնաբերել եւ արգելափակել նման հարձակումը:
Անցյալ տարի մեր բլոգում, որում մենք տվեցինք 2020-ի կիբերանվտանգության կանխատեսումը, մենք առաջին հերթին բարձրացանք վնասակար ավտոմատ թարմացումների մեջ: Այսպիսով, չնայած ընդհանուր սպառնալիքը անհայտ կամ անսպասելի չէին, այս հատուկ հարձակման մասշտաբի եւ կործանարար հետեւանքներն էին, որ Solarwinds- ը երկար ժամանակ կհնչի:
Ինչպես կանխել կամ վերացնել հարձակումները, որոնցում ներգրավված են ժառանգական դիմումները
Այստեղ մեծ հարց կա. Ինչպես կարող ենք արդիականացնել մեր միջավայրերը եւ կախված չենք հավելվածներից եւ ավելորդ արտոնություններ պահանջող դիմումներից եւ հաշիվներից:
Առաջին հերթին, հիմնականում այդպիսի ժառանգված դիմումներ, ցանցի կառավարման կամ խոցելիության կառավարման լուծումները, օրինակ, սկանավորման տեխնոլոգիաների հիման վրա, բոլորն էլ կարգի են: Պարզապես հնացած տեխնոլոգիան եւ անվտանգության մոդելները նման դիմումներ իրականացնելու համար: Ինչ-որ բան պահանջում է փոփոխություն:
Եթե կարծում եք, որ SolarWinds- ի խախտումները ամենավատ բանն են, որ երբեւէ պատահել է կիբերանվտանգության ոլորտում, կարող եք ճիշտ լինել: Կիբերանվտանգության ոլորտում այդ մասնագետների համար, որոնք հիշում են Sasser- ը, Blaster- ը, Big Yellow- ը, Mirai- ը եւ Mirai- ը եւ Mirairy- ը, համակարգի վրա ազդեցությունների ծավալը համեմատելի կլինի, բայց այս ճիճուների թիրախը եւ ծանրաբեռնվածությունը որեւէ համեմատություն եւ ծանրաբեռնվածություն չունի Solarwinds հարձակումը:
Լուրջ սպառնալիքներն արդեն գոյություն են ունեցել տասնյակ տարիներ, բայց երբեւէ չենք տեսել, որ ռեսուրսը պետք է հարձակվի այնքան բարդ, որ մինչ այժմ մեզ հայտնի չեն: Երբ Sasser- ը կամ Wannacry- ը հարվածում են համակարգին, իրենց սեփականատերերը գիտեին այդ մասին: Նույնիսկ շորթման վիրուսների դեպքում դուք կիմանաք կարճ ժամանակահատվածում հետեւանքների մասին:
Solarwinds- ի կապակցությամբ հարձակվողների հիմնական նպատակներից մեկը աննկատ մնալն էր: Եվ մի մոռացեք, որ այսօր նույն գլոբալ խնդիրը գոյություն ունի այլ ժառանգական ծրագրերի հետ: Հազարավոր ընկերությունների վրա հարձակումների կազմակերպման համար կարող են օգտագործվել մեր ԶԼՄ-ներում համաշխարհային ընդհանուր վարչական արտոնություններ ունեցող այլ դիմումներ, որոնք կհանգեցնեն սարսափելի արդյունքների:
Դժբախտաբար, սա խոցելիություն չէ, որը պահանջում է շտկումներ, այլ այս արտոնությունների կարիքների հնարավորությունների հնարավորությունների չարտոնված օգտագործումը:
Այսպիսով, որտեղ սկսել:
Առաջին հերթին մենք պետք է նույնականացնենք եւ հայտնաբերենք մեր շրջակա միջավայրում բոլոր դիմումները, որոնք անհրաժեշտ են այդպիսի ավելորդ արտոնություններ.
- Օգտագործելով Ձեռնարկությունների դասի հայտնաբերման գործիք, որոշեք, թե որ ծրագրերն ունեն նույն արտոնյալ հաշիվը բազմաթիվ համակարգերի վրա: Հավատարմագրերը, ամենայն հավանականությամբ, տարածված են եւ կարող են օգտագործվել հորիզոնական բաշխման համար:
- Դոմեյն ադմինիստրատորների խմբի գրուպի գույքագրումը կատարեք եւ նույնականացրեք ներկա հայտի բոլոր հաշիվները կամ ծառայությունները: Defination անկացած դիմում, որն անհրաժեշտ է դոմենի կառավարչի արտոնությունները, մեծ ռիսկ է:
- Զննեք բոլոր այն ծրագրերը, որոնք գտնվում են ձեր գլոբալ հակավիրուսային բացառման ցանկում (հատուկ հանգույցների բացառությունների համեմատ): Դրանք ներգրավվելու են ձեր վերջնակետային անվտանգության կեռի առաջին եւ կարեւորագույն քայլի մեջ `կանխել չարամիտ ծրագիրը:
- Զննեք ձեռնարկությունում օգտագործվող ծրագրաշարի ցուցակը եւ որոշեք, թե որ արտոնություններ են անհրաժեշտ աշխատանքի օգտագործման եւ ավտոմատ թարմացումներ կատարելու համար: Սա կարող է օգնել որոշել, թե արդյոք տեղական ադմինիստրատորի արտոնությունները անհրաժեշտ են կամ տեղական ադմինիստրատորի հաշիվները դիմումի ճիշտ գործողության համար: Օրինակ, դիմումի արտոնությունները բարձրացնելու համար անաչառ հաշիվը կարող է հաշվի առնել տեղական հանգույցի այս նպատակով:
Այնուհետեւ մենք պետք է իրականացնենք այնտեղ, որտեղ հնարավոր է կառավարել դիմումները, հիմնվելով նվազագույն անհրաժեշտ արտոնություններից: Դա ենթադրում է դիմումի բոլոր ավելորդ արտոնությունների հեռացումը: Այնուամենայնիվ, ինչպես վերը նշվեց, միշտ չէ, որ հնարավոր է: Վերջապես, գլոբալ ընդհանուր արտոնյալ հաշիվների անհրաժեշտությունը վերացնելու համար գուցե ձեզ հարկավոր է հետեւյալ կերպ.
- Դիմումը թարմացրեք ավելի նոր լուծմանը
- Խնդիրը լուծելու համար ընտրեք նոր վաճառող
- Թարգմանեք ծանրաբեռնվածությունը ամպի կամ մեկ այլ ենթակառուցվածքների մեջ
Դիտարկենք որպես օրինակելի կառավարման խոցելիություններ: Ավանդական խոցելիության սկաներներն օգտագործում են համաշխարհային ընդհանուր արտոնյալ հաշիվ (երբեմն ավելի քան մեկ), որպեսզի հեռակա միացվեն թիրախային եւ վավերացմանը որպես վարչական հաշիվ `խոցելիությունը որոշելու համար: Եթե հանգույցը վարկաբեկվի վնասակար ծրագրաշարի սկանավորման միջոցով, ապա նույնականացման համար օգտագործվող Hash- ը կարող է հավաքվել եւ օգտագործվել ցանցի վրա հորիզոնական բաշխման եւ մշտական ներկայություն հաստատելու համար:
Խոցելիության կառավարման համակարգերի տարբերակները գիտակցել են այս խնդիրը եւ փոխանակման համար անընդհատ վարչական հաշիվ պահելու փոխարեն, դրանք ինտեգրված են նախընտրելի մուտքի կառավարման լուծույթով (PAM) `սկանն ավարտելու համար ներկայիս արտոնյալ հաշիվ ստանալու համար: Երբ PAM լուծումներ չկային, խոցելիության կառավարման գործիքների վաճառողները նույնպես նվազեցրեցին ռիսկը, զարգացնելով տեղական գործակալներն ու գործիքները, որոնք կարող են օգտագործել API- ն `լիազորված սկանավորման համար մեկ ընդհանուր վարչական հաշվի փոխարեն գնահատելու համար:
Այս օրինակի իմ տեսակետը պարզ է. Ժառանգված խոցելիության կառավարման տեխնոլոգիան զարգացել է այնպես, որ այն այլեւս չի բացահայտում հաճախորդներին հսկայական ռիսկով, որը կապված է գլոբալ դիմումի հաշիվների եւ դրանց հասանելիության հետ: Դժբախտաբար, վաճառողների շատ այլ տեխնոլոգիաներ չեն փոխել իրենց որոշումները, եւ սպառնալիքը մնում է այնքան ժամանակ, մինչեւ հին լուծումները փոխարինվեն կամ արդիականացվեն:
Եթե ունեք գործիքներ, որոնք պետք է կառավարվեն, թե որ համընդհանուր ընդհանուր վարչական հաշիվներն են պահանջվում, ապա 2021-ի համար առաջադրանքը պետք է փոխարինվի այս գործիքների կամ դրանց թարմացման համար: Համոզվեք, որ ձեր գնած լուծումները մշակվում են այս սպառնալիքից արդեն առաքվող վաճառողների կողմից:
Վերջապես, մտածեք բոլոր անհրաժեշտ արտոնությունների սկզբունքի հիման վրա դիմումների արտոնությունները կառավարելու մասին: PAM Solutions- ը նախատեսված է գաղտնիքները պահելու համար եւ թույլ տալ, որ դիմումները աշխատեն նվազագույն արտոնության մակարդակով, նույնիսկ եթե դրանք ի սկզբանե նախագծված չէին աշխատել այս ծրագրերի հետ:
Վերադառնալով մեր օրինակին, խոցելիության կառավարման լուծումները կարող են օգտագործել UNIX- ի եւ Linux- ի արտոնությունները `խոցելիության սկաներ կատարելու համար, նույնիսկ եթե նրանց տրամադրվել է իրենց արտոնյալ մուտքը: Արտոնության կառավարման գործիքն իրականացնում է սկաների անունից հրամաններ եւ վերադարձնում արդյունքները: Այն իրականացնում է սկաների հրամաններ ամենափոքր արտոնություններով եւ չի կատարում իր ոչ պատշաճ հրամանները, օրինակ, անջատելով համակարգը: Ինչ-որ իմաստով, այս պլատֆորմների ամենափոքր արտոնությունների սկզբունքը նման է սուդոյին եւ կարող է վերահսկել, սահմանափակել եւ իրականացնել ծրագրեր արտոնություններով, անկախ նրանից, որ հրամանը զանգահարող գործընթացն է: Սա արտոնյալ մուտքի կառավարման ընդամենը մեկ միջոց է, որը կարող է կիրառվել որոշ հնացած ծրագրերի համար այն դեպքերում, երբ պահանջվում են ավելորդ արտոնություններ, եւ համապատասխան փոխարինումը հնարավոր չէ:
Կրճատվել է CIBERIAN 2021-ին եւ հետագա. Հետեւյալ հիմնական քայլերը
Companient անկացած կազմակերպություն կարող է լինել ներխուժողների թիրախ, եւ ցանկացած կիրառություն, որն ունի ավելորդ արտոնություններ, կարող է օգտագործվել ամբողջ ընկերության դեմ: Solarwinds- ի միջադեպը պետք է խրախուսի բոլորիս վերանայելու եւ բացահայտի այն դիմումները, որոնց աշխատանքը կապված է չափազանց արտոնյալ մուտքի ռիսկերի հետ: Մենք պետք է որոշենք, թե ինչպես կարող եք մեղմել սպառնալիքը, նույնիսկ եթե հիմա անհնար է վերացնել այն:
Ի վերջո, ռիսկերը նվազեցնելու եւ դրանց հետեւանքները վերացնելու ձեր ջանքերը կարող են ձեզ բերել դիմումները փոխարինելու կամ ամպի անցում: Անկասկած, արտոնյալ մուտքի կառավարման հայեցակարգը կիրառելի է նաեւ դիմումների, ինչպես նաեւ մարդկանց համար: Եթե ձեր դիմումները պատշաճ կերպով չեն վերահսկվում, նրանք կարող են վտանգել ամբողջ ձեռնարկության անվտանգությունը: Եվ ոչինչ չպետք է ունենա անսահմանափակ մուտք ձեր միջավայրում: Սա մի թույլ օղակ է, որը մենք պետք է ապագայում պետք է ճանաչենք, ջնջենք եւ խուսափենք:
Ավելի հետաքրքիր նյութեր cisoclub.ru- ում: Բաժանորդագրվել մեզ. Facebook | Vk | Twitter | Instagram | Telegram | Զեն | Մեսսենջեր | ICQ NEW | YouTube | Պուլս