Serangan canggih yang diarahkan ke penetrasi Solarwinds Orion dan kompromi selanjutnya dari ribuan pelanggannya mencolok dengan skala dan konsekuensi potensial.
Untuk tahun pelajaran yang kejam, serangan ini berfungsi sebagai pengingat yang sangat keras dan tidak menyenangkan - siapa pun dapat meretas. Siapa saja. Tidak ada kontrol keamanan, perangkat lunak, proses, dan pelatihan tidak dapat menghalangi setiap serangan. Anda selalu bisa dan harus berusaha untuk mengurangi risiko, tetapi untuk menyingkirkannya tidak akan pernah berhasil.
Kami juga ingat bahwa kami menciptakan infrastruktur digital yang luar biasa, yang, dalam kasus kompromi dan menangkap lingkungan dan rahasianya, dapat memiliki dampak besar pada dunia kita, ekonomi dan kehidupan yang secara perlahan kita terbiasa selama pandemi. Untuk penyerang, infrastruktur digital ini juga merupakan sarana untuk mengumpulkan kekayaan besar oleh pencurian rahasia, kekayaan intelektual, persyaratan untuk akses ke data atau pemerasan, serta sabotase rencana lawan, baik pesaing atau bangsa.
Serangan Komunikasi Solarwinds dan Privileges Aplikasi
Tidak ada vendor yang dapat menjamin bahwa keputusannya akan sepenuhnya mencegah serangan terhadap Solarwinds, dan kita harus berhati-hatilah dengan pernyataan seperti itu. Pada saat yang sama, perusahaan dapat mengambil langkah-langkah strategis untuk mencegah serangan semacam ini di masa depan jika mereka menyadari dan memutuskan salah satu masalah mendasar dari mengelola infrastruktur yang diwarisi. Masalah keamanan dasar ini adalah kebutuhan untuk memastikan bahwa aplikasi apa pun memiliki akses tak terbatas ke semua yang ada di jaringan, atau, dalam hal akses istimewa, akses bersama global dengan administrator atau hak root.Apa akses administrasi bersama global? Ini adalah akses akun tanpa batas (entri) ke lingkungan. Ini biasanya berarti bahwa aplikasi tanpa batasan perlu membuat pengecualian terhadap kebijakan keamanan. Misalnya, akun dapat dimasukkan dalam daftar sistem kontrol aplikasi dan dikeluarkan dari perangkat lunak anti-virus, sehingga tidak diblokir dan tidak ditandai dengan bendera. Akun dapat bekerja atas nama pengguna, sistem itu sendiri atau aplikasi pada aset atau sumber daya apa pun di lingkungan. Banyak profesional cybersecurity menyebut jenis akses "hak istimewa dewa" ini, ia membawa risiko besar dan tidak dapat displia.
Akses administrasi bersama global biasanya digunakan dalam aplikasi yang diwarisi untuk pemantauan, manajemen dan otomatisasi teknologi lokal. Akun administrator bersama global dilayani dalam banyak alat yang dipasang secara premis dan bekerja di lingkungan kami. Ini termasuk solusi untuk manajemen jaringan, solusi manajemen kerentanan, alat untuk mendeteksi aset dan solusi untuk mengelola perangkat seluler, dan ini hanya beberapa contoh.
Masalah utama adalah bahwa akun administratif ini dengan akses penuh diperlukan untuk bekerja dengan baik, dan oleh karena itu mereka tidak dapat bekerja dengan menggunakan konsep mengelola aplikasi dengan hak istimewa terendah, yang merupakan praktik keamanan terbaik. Jika akun-akun ini telah mencabut hak istimewa dan izin, aplikasi kemungkinan besar tidak akan dapat bekerja. Dengan demikian, mereka dilengkapi dengan akses penuh dan tidak terbatas untuk bekerja, yang merupakan area besar untuk serangan.
Dalam kasus Solarwinds, inilah yang terjadi. Aplikasi itu sendiri dikompromikan melalui pembaruan otomatis, dan penyerang menggunakan akses istimewa tak terbatas di lingkungan korban menggunakan aplikasi ini. Menyerang dapat melakukan hampir semua tugas yang disamarkan oleh Solarwinds, dan bahkan berusaha sangat keras untuk tidak menampilkannya pada sistem yang ada sarana pemantauan dan memastikan keamanan vendor canggih. Dengan demikian, menjadi jelas sebagai berikut: Jika kode jahat cukup canggih untuk menghindari solusi keamanan dan melakukan hanya pada objek-objek di mana ia dapat menghindari deteksi, itu akan melakukan ini menggunakan hak administratif global bersama. Tidak ada solusi yang dapat mendeteksi dan memblokir serangan semacam itu.
Tahun lalu di blog kami, di mana kami memberikan perkiraan cybersecurity untuk 2020, kami pertama-tama menempatkan peningkatan pembaruan otomatis berbahaya. Dengan demikian, meskipun total ancaman itu bukan konsekuensi yang tidak diketahui atau tidak terduga, skala dan destruktif dari serangan khusus ini Solarwinds akan berbunyi untuk waktu yang lama.
Cara mencegah atau menghilangkan serangan dalam organisasi mana aplikasi bawaan terlibat
Ada pertanyaan besar di sini: Bagaimana kita dapat meningkatkan lingkungan kita dan tidak bergantung pada aplikasi dan akun yang membutuhkan hak istimewa yang berlebihan, yang tidak aman?
Pertama-tama, dengan sebagian besar aplikasi bawaan, solusi untuk manajemen jaringan atau manajemen kerentanan, misalnya, berdasarkan teknologi pemindaian semuanya beres. Hanya model teknologi dan keamanan yang sudah usang untuk menerapkan aplikasi tersebut. Sesuatu membutuhkan perubahan.
Jika Anda berpikir bahwa pelanggaran Solarwinds adalah hal terburuk yang pernah terjadi di bidang Cybersecurity, Anda mungkin benar. Bagi para profesional di bidang Cybersecurity, yang diingat oleh Sasser, Blaster, Big Yellow, Mirai dan Wannacry, volume pengaruh pada sistem akan sebanding, tetapi target dan muatan cacing-cacing ini tidak memiliki perbandingan dengan Serangan Solarwinds.
Ancaman serius telah ada puluhan tahun, tetapi tidak pernah sebelum kita melihat sumber daya untuk diserang begitu canggih sehingga semua korban potensial dan konsekuensi serangan tidak diketahui oleh kita sejauh ini. Ketika Sasser atau Wannacry menabrak sistem, pemiliknya tahu tentang itu. Bahkan dalam kasus virus pemerasan, Anda akan belajar tentang konsekuensinya untuk waktu yang singkat.
Sehubungan dengan Solarwinds Salah satu tujuan utama penyerang adalah untuk tetap tanpa disadari. Dan jangan lupa bahwa hari ini masalah global yang sama ada dengan aplikasi bawaan lainnya. Untuk organisasi serangan terhadap ribuan perusahaan, aplikasi lain dengan hak administratif global bersama di media kami dapat digunakan, yang akan menyebabkan hasil yang menakutkan.
Sayangnya, ini bukan kerentanan yang membutuhkan koreksi, melainkan penggunaan kemampuan aplikasi yang tidak sah yang membutuhkan hak istimewa ini.
Jadi dimana untuk memulai?
Pertama-tama, kita perlu mengidentifikasi dan mendeteksi semua aplikasi di lingkungan kita, yang dibutuhkan hak istimewa yang berlebihan:
- Menggunakan Alat Deteksi Kelas Perusahaan, tentukan aplikasi mana yang memiliki akun istimewa yang sama pada beberapa sistem. Kredensial kemungkinan besar umum dan dapat digunakan untuk distribusi horizontal.
- Buat inventarisasi grup Grup Administrator Domain dan identifikasi semua akun aplikasi atau layanan yang ada. Aplikasi apa pun yang membutuhkan hak istimewa administrator domain adalah risiko tinggi.
- Jelajahi semua aplikasi yang ada dalam daftar pengecualian antivirus global Anda (dibandingkan dengan pengecualian pada node tertentu). Mereka akan terlibat dalam langkah pertama dan terpenting dari tumpukan keamanan akhir Anda - mencegah malware.
- Jelajahi daftar perangkat lunak yang digunakan dalam perusahaan dan tentukan hak istimewa mana yang dibutuhkan oleh aplikasi untuk bekerja dan melakukan pembaruan otomatis. Ini dapat membantu menentukan apakah hak istimewa administrator lokal diperlukan atau akun administrator lokal untuk operasi aplikasi yang benar. Misalnya, akun impersonal untuk meningkatkan hak istimewa aplikasi dapat memiliki akun pada node lokal untuk tujuan ini.
Maka kita harus menerapkan di mana dimungkinkan untuk mengelola aplikasi berdasarkan hak istimewa minimum yang diperlukan. Ini menyiratkan penghapusan semua hak istimewa aplikasi yang berlebihan. Namun, seperti yang disebutkan di atas, itu tidak selalu mungkin. Akhirnya, untuk menghilangkan kebutuhan akan akun istimewa berbagi global, Anda mungkin perlu sebagai berikut:
- Perbarui aplikasi ke solusi yang lebih baru
- Pilih vendor baru untuk menyelesaikan masalah
- Terjemahkan beban kerja di cloud atau infrastruktur lain
Pertimbangkan sebagai contoh kerentanan manajemen. Pemindai kerentanan tradisional menggunakan akun istimewa bersama global (kadang-kadang lebih dari satu) untuk terhubung dari jarak jauh ke target dan otentikasi sebagai akun administratif untuk menentukan kerentanan. Jika node dikompromikan oleh pemindaian perangkat lunak berbahaya, maka hash yang digunakan untuk otentikasi dapat dikumpulkan dan digunakan untuk distribusi horizontal melalui jaringan dan menetapkan kehadiran yang konstan.
Venndors dari sistem manajemen kerentanan telah menyadari masalah ini dan alih-alih menyimpan akun administrasi konstan untuk pemindaian, mereka terintegrasi dengan solusi kontrol akses yang disukai (PAM) untuk mendapatkan akun istimewa saat ini untuk menyelesaikan pemindaian. Ketika tidak ada solusi PAM, vendor alat manajemen kerentanan juga mengurangi risiko, mengembangkan agen lokal dan alat yang dapat menggunakan API untuk mengevaluasi alih-alih satu akun administrasi bersama untuk pemindaian resmi.
Pandangan saya tentang contoh ini sederhana: teknologi manajemen kerentanan yang diwariskan telah berevolusi sedemikian rupa sehingga tidak lagi memaparkan pelanggan dengan risiko besar yang terkait dengan akun aplikasi global dan akses ke mereka. Sayangnya, banyak teknologi vendor lain tidak mengubah keputusan mereka, dan ancaman tetap sampai larutan lama diganti atau dimodernisasi.
Jika Anda memiliki alat untuk mengelola akun administrasi bersama global mana yang diperlukan, maka tugas paling penting untuk 2021 harus mengganti alat ini atau pembaruan mereka. Pastikan solusi yang Anda beli dikembangkan oleh vendor yang sudah menyampaikan dari ancaman ini.
Akhirnya, pikirkan tentang mengelola hak istimewa aplikasi berdasarkan prinsip hak istimewa yang paling tidak diperlukan. Solusi PAM dirancang untuk menyimpan rahasia dan memungkinkan aplikasi bekerja dengan tingkat hak istimewa minimum, bahkan jika mereka awalnya tidak dirancang untuk bekerja dengan aplikasi ini.
Kembali ke teladan kami, solusi manajemen kerentanan dapat menggunakan hak istimewa Unix dan Linux untuk melakukan pemindaian kerentanan, bahkan jika mereka tidak dilengkapi dengan akses istimewa mereka sendiri. Alat Manajemen Privilege mengeksekusi perintah atas nama pemindai dan mengembalikan hasilnya. Ini mengeksekusi perintah pemindai dengan hak istimewa terkecil dan tidak memenuhi perintah yang tidak pantas, misalnya, mematikan sistem. Dalam arti tertentu, prinsip hak istimewa terkecil pada platform-platform ini menyerupai sudo dan dapat mengontrol, membatasi, dan melaksanakan aplikasi dengan hak istimewa, terlepas dari proses yang memanggil perintah. Ini hanya satu cara untuk mengelola akses istimewa dapat diterapkan pada beberapa aplikasi usang dalam kasus-kasus di mana hak istimewa yang berlebihan diperlukan dan penggantian yang sesuai tidak mungkin.
Mengurangi Ciberian pada tahun 2021 dan lebih lanjut: langkah-langkah utama berikut
Setiap organisasi dapat menjadi target penyusup, dan aplikasi apa pun dengan hak istimewa yang berlebihan dapat digunakan terhadap seluruh perusahaan. Insiden Soliter harus mendorong kita semua untuk merevisi dan mengidentifikasi aplikasi-aplikasi yang karyanya dikaitkan dengan risiko akses istimewa yang berlebihan. Kita harus menentukan bagaimana Anda dapat melunakkan ancaman, bahkan jika tidak mungkin untuk menghilangkannya sekarang.
Pada akhirnya, upaya Anda untuk mengurangi risiko dan menghilangkan konsekuensi mereka dapat menuntun Anda untuk mengganti aplikasi atau transisi ke cloud. Tidak diragukan lagi satu - konsep manajemen akses istimewa berlaku untuk aplikasi maupun orang. Jika aplikasi Anda tidak dikontrol dengan benar, mereka dapat membahayakan keselamatan seluruh perusahaan. Dan tidak ada yang memiliki akses tak terbatas di lingkungan Anda. Ini adalah satu tautan lemah yang harus kita identifikasi, hapus dan hindari di masa depan.
Bahan yang lebih menarik di cisoclub.ru. Berlangganan AS: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Baru | YouTube | Nadi.