A háþróaður árás beint til skarpskyggni SolarWinds Orion og síðari málamiðlun um þúsundir viðskiptavina sinna er sláandi með mælikvarða og hugsanlegum afleiðingum.
Fyrir árið grimmur kennslustundir, þessi árás þjónar sem mjög hávær og óþægilegt áminning - allir geta hakkað. Einhver. Engin öryggisstjórnun, hugbúnaður, ferli og þjálfun getur ekki lokað hverri árás. Þú getur alltaf og ætti að leitast við að draga úr áhættu, en að losna við þá mun aldrei ná árangri.
Við minntist einnig á að við búum til ótrúlega stafræna innviði, sem, þegar um er að ræða málamiðlun og handtaka umhverfi og leyndarmál, getur haft mikil áhrif á heiminn okkar, hagkerfið og lífið sem við erum hægt að venjast á heimsfaraldri. Fyrir árásarmaður er þessi stafræna innviði einnig leið til að safna mikið fé með þjófnaði um leyndarmál, hugverkaréttar, kröfur um aðgang að gögnum eða kúgun, auk skemmdarverka á andstæðingum, hvort sem keppandi eða þjóð.
Samskiptaárás SolarWinds og umsóknarréttindi
Enginn seljandi getur tryggt að ákvörðun hans myndi alveg koma í veg fyrir árásina á Solarwinds og við ættum að gæta slíkra yfirlýsinga. Á sama tíma geta fyrirtæki tekið stefnumótandi skref til að koma í veg fyrir þessa tegund af árásum í framtíðinni ef þeir átta sig á og ákveða eitt af grundvallarvandamálum við að stjórna erfðavirkjunum. Þetta grundvallaröryggisvandamál er nauðsyn þess að tryggja að öll forrit hafi ótakmarkaðan aðgang að öllu sem er á netinu, eða, hvað varðar forréttinda aðgang, alþjóðlegt sameiginlegt aðgang með stjórnanda eða rótum réttinda.Hvað er alþjóðlegt sameiginlegt stjórnsýsluaðgang? Þetta er ótakmarkaðan aðgang að reikningi (færslur) í umhverfið. Þetta þýðir venjulega að umsóknin án takmarkana þarf að gera undantekningar á öryggisstefnu. Til dæmis getur reikningur verið innifalinn í lista yfir umsóknarstýringarkerfi og er útilokað frá andstæðingur-veira hugbúnaður, þannig að það er ekki læst og ekki merkt með fána. Reikningurinn getur unnið fyrir hönd notandans, kerfið sjálft eða umsókn um eignir eða úrræði í umhverfinu. Margir Cybersecurity sérfræðingar kalla þessa tegund af aðgangi "Guðréttindi", það ber gríðarlega, ósveigjanlegan áhættu.
Global Shared Administrative Access er venjulega notað í arfgengum forritum til að fylgjast með, stjórnun og sjálfvirkni staðbundinnar tækni. Global Shared Administrator reikningur er þjónusta í mörgum verkfærum sem eru settar upp á forsendu og vinna í umhverfi okkar. Þetta felur í sér lausnir fyrir netstjórnun, veikleika stjórnun lausnir, verkfæri til að greina eignir og lausnir til að stjórna farsíma, og þetta eru bara nokkrar af mörgum dæmum.
Helsta vandamálið er að þessi stjórnsýslureikningur með fullan aðgang er nauðsynleg til að virka almennilega og því geta þeir ekki unnið með því að nota hugtakið að stjórna forritum með lægstu forréttindum, sem er besta öryggisstörfin. Ef þessi reikningur hefur afturkallað réttindi og heimildir mun forritið líklega ekki geta unnið. Þannig eru þeir með fullri og ótakmarkaðan aðgang að vinnu, sem er gegnheill svæði fyrir árás.
Ef um er að ræða SolarWinds, þetta er nákvæmlega það sem gerðist. Umsóknin sjálft var málamiðlun með sjálfvirkri uppfærslu og árásarmenn notuðu ótakmarkaðan forréttinda aðgang að umhverfismálum sem nota þetta forrit. Attacking gæti framkvæmt næstum öllum verkefnum sem dulbúnir eru af SolarWinds, og jafnvel reynt mjög erfitt að ekki framkvæma þau á kerfum sem eru að fylgjast með og tryggja öryggi háþróaðra söluaðila. Þannig verður það augljóst sem hér segir: Ef illgjarn kóða er háþróuð nóg til að sniðganga öryggislausnir og framkvæma það aðeins á þeim hlutum þar sem það getur forðast greiningu, mun það gera þetta með því að nota alþjóðlega sameiginlega stjórnsýsluréttindi. Engin lausn gæti greint og lokað slíkum árásum.
Á síðasta ári í blogginu okkar, þar sem við gaf Cybersecurity spá fyrir 2020, setjum við fyrst hækkun á illgjarn sjálfvirkum uppfærslum. Þrátt fyrir að heildarógnin væri ekki óþekkt eða óvænt, mælikvarði og eyðileggjandi afleiðingar þessa tilteknu árásar mun Solarwinds hljóma í langan tíma.
Hvernig á að koma í veg fyrir eða útrýma árásum í skipulagningu sem erfðir forrit eru að ræða
Það er stór spurning hér: Hvernig getum við uppfært umhverfi okkar og ekki treyst á forritum og reikningum sem krefjast óhóflegra forréttinda, sem er óöruggt?
Fyrst af öllu, með að mestu leyti slíkum erfðum forritum, lausnir fyrir netstjórnun eða veikleika stjórnun, til dæmis, byggt á skönnunartækni eru öll í röð. Bara gamaldags tækni og öryggismyndir til að framkvæma slíkar umsóknir. Eitthvað krefst breytinga.
Ef þú heldur að Solarwinds brot séu það versta sem alltaf gerst á sviði cybersecurity, getur þú verið rétt. Fyrir þá sérfræðinga á sviði Cybersecurity, sem er minnst af Sasser, Blaster, Big Yellow, Mirai og WannaCry, magn af áhrifum á kerfinu verður sambærilegt, en markmiðið og hleðsla þessara orma hafa ekki samanburð við SolarWinds árás.
Alvarlegar ógnir hafa nú þegar verið heilmikið af árum, en aldrei áður en við höfum séð úrræði til að ráðast á svo háþróuð að allir hugsanlegir fórnarlömb og afleiðingar árásanna séu ekki þekkt fyrir okkur svo langt. Þegar Sasser eða WannaCry högg kerfið, vissu eigendur þeirra um það. Jafnvel þegar um er að ræða veirur af extortion verður þú að læra um afleiðingar í stuttan tíma.
Í tengslum við SolarWinds var eitt af helstu markmiðum árásarmanna að vera óséður. Og ekki gleyma því að í dag er sama alþjóðlegt vandamál til annarra arfleifðar. Fyrir skipulag á árásum á þúsundum fyrirtækja er hægt að nota önnur forrit með alþjóðlegum sameiginlegum stjórnsýsluréttindum í fjölmiðlum okkar, sem mun leiða til ógnvekjandi niðurstaðna.
Því miður er þetta ekki varnarleysi sem krefst leiðréttingar, heldur óleyfileg notkun á getu umsóknarinnar sem þarfnast þessara forréttinda.
Svo hvar á að byrja?
Fyrst af öllu þurfum við að bera kennsl á og greina öll forrit í umhverfi okkar, sem þarf slíkar ofsóknir:
- Notaðu Enterprise Class uppgötvun tól, ákvarða hvaða forrit hafa sömu forréttinda reikning á mörgum kerfum. Persónuskilríki eru líklega algengar og hægt að nota fyrir láréttan dreifingu.
- Gerðu skrá yfir stjórnendur hópsins og þekkja allar umsóknareikninga eða þjónustu sem er til staðar. Öll forrit sem þarfnast forréttinda lénsstjóra er mikil áhætta.
- Skoðaðu öll forrit sem eru í alþjóðlegu antivirus undantekningarlista (samanborið við undantekningar á tilteknum hnútum). Þeir munu taka þátt í fyrsta og mikilvægasta skrefi endapunkts öryggis stafla - koma í veg fyrir malware.
- Skoðaðu listann yfir hugbúnað sem notaður er í fyrirtækinu og ákvarðu hvaða forréttindi eru nauðsynlegar með forriti til að vinna og framkvæma sjálfvirkar uppfærslur. Þetta getur hjálpað til við að ákvarða hvort forréttindi sveitarstjórans séu nauðsynlegar eða staðbundnar stjórnandi reikninga fyrir réttan rekstur umsóknarinnar. Til dæmis getur ópersónuleg reikningur til að auka forréttindi umsóknarinnar að hafa reikning á staðbundnum hnút í þessu skyni.
Þá verðum við að innleiða þar sem hægt er að stjórna forritum sem byggjast á lágmarks nauðsynlegum forréttindum. Það felur í sér að fjarlægja allar óhóflegar forréttindi umsóknarinnar. Hins vegar, eins og áður hefur komið fram, er það ekki alltaf mögulegt. Að lokum, til að útrýma þörfinni fyrir alþjóðlega hluti forréttinda reikninga, gætirðu þurft þannig:
- Uppfæra forritið í nýrri lausn
- Veldu nýja söluaðila til að leysa vandamálið
- Þýða vinnuálag í skýinu eða annarri innviði
Íhuga sem dæmi stjórnun veikleika. Hefðbundin varnarleysi Skannar nota alþjóðlega sameiginlega forréttinda reikning (stundum fleiri en einn) til að tengjast lítillega við miða og staðfestingu sem stjórnsýslureikning til að ákvarða veikleika. Ef hnútinn er í hættu með illgjarnum hugbúnaðarskönnun, þá er hægt að safna kjötkássforminu og nota og notast við láréttan dreifingu á netinu og stofna stöðugt viðveru.
Venndors viðkvæmni stjórnunarkerfa hafa áttað sig á þessu vandamáli og í stað þess að geyma stöðugt stjórnsýslu reikning til að skanna, eru þau samþættar með valinn aðgangsstýringu lausn (PAM) til að fá núverandi forréttinda reikning til að ljúka skönnuninni. Þegar það voru engar PAM lausnir, lækkuðu söluaðilar um veikleika stjórnun verkfæri einnig áhættuna, þróa staðbundin umboðsmenn og verkfæri sem geta notað API til að meta í stað þess að einn sameiginleg stjórnsýslureikningur fyrir viðurkenndan skönnun.
Sýnishornið mitt á þessu dæmi er einfalt: erft varnarmálastjórnun tækni hefur þróast þannig að það skili ekki lengur viðskiptavinum mikla áhættu í tengslum við alþjóðlega umsóknareikninga og aðgang að þeim. Því miður hafa margir aðrir seljendur tækni ekki breytt ákvörðunum sínum og ógnin er þar til gömlu lausnirnar eru skipt út eða nútímavæðingu.
Ef þú hefur verkfæri til að stjórna hvaða alþjóðlegu stjórnsýslureikningum er krafist, þá ætti það að skipta um hlutverkið sem er mikilvægt fyrir 2021 að skipta þessum verkfærum eða uppfærslu þeirra. Gakktu úr skugga um að lausnir sem þú kaupir séu þróaðar af söluaðilum sem þegar eru að skila af þessari ógn.
Að lokum skaltu hugsa um að stjórna forréttindum umsókna sem byggjast á meginreglunni um að minnsta kosti nauðsynlegar forréttindi. PAM lausnir eru hönnuð til að geyma leyndarmál og leyfa forritum að vinna með lágmarksréttindi, jafnvel þótt þau væru ekki upphaflega hönnuð til að vinna með þessum forritum.
Til baka í dæmi okkar, veikleika stjórnun lausnir geta notað UNIX og Linux forréttindi til að framkvæma varnarleysi skannar, jafnvel þótt þeir væru ekki með eigin forréttinda aðgang þeirra. The Privilege Management Tól framkvæmir skipanir fyrir hönd skanna og skilar niðurstöðum. Það framkvæmir skanna skipanir með minnstu forréttindum og uppfyllir ekki óviðeigandi skipanir, til dæmis, slökkt á kerfinu. Í skilningi, meginreglan um minnstu forréttindi á þessum vettvangi líkist Sudo og getur stjórnað, takmarka og framkvæma forrit með forréttindum, óháð því ferli sem hringir í stjórnina. Þetta er bara ein leið til að stjórna forréttinda aðgangi að sumum gamaldags forritum í þeim tilvikum þar sem ofsóknir eru nauðsynlegar og viðeigandi skipti er ekki mögulegt.
Minnkað Ciberian árið 2021 og lengra: eftirfarandi helstu skref
Allar stofnanir geta verið markmið boðflenna og hægt er að nota hvaða forrit sem er með ofsóknir gegn öllum fyrirtækinu. The SolarWinds Atvikið verður að hvetja okkur öll til að endurskoða og greina þær umsóknir sem vinna er í tengslum við áhættu af óhóflegri forréttinda aðgangi. Við verðum að ákvarða hvernig þú getur mýkað ógnina, jafnvel þótt það sé ómögulegt að útrýma því núna.
Að lokum getur viðleitni þín til að draga úr áhættu og útrýma afleiðingum þeirra leiða þig til að skipta um forrit eða umskipti í skýið. Vafalaust einn - Hugmyndin um forréttinda aðgangsstjórnun gildir um umsóknir og fólki. Ef forritin þín eru ekki stjórnað á réttan hátt, geta þeir komið í veg fyrir öryggi allra fyrirtækisins. Og ekkert ætti að hafa ótakmarkaðan aðgang að umhverfi þínu. Þetta er ein veik tengsl sem við verðum að bera kennsl á, eyða og forðast í framtíðinni.
Meira áhugavert efni á cisoclub.ru. Gerast áskrifandi að okkur: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NEW | YouTube | Púls.