Pagina principale / Articoli /

Gestione delle applicazioni basata su privilegi minimamente necessari - lezione derivante da un incidente con Solarwinds Orion

Anonim
Gestione delle applicazioni basata su privilegi minimamente necessari - lezione derivante da un incidente con Solarwinds Orion 18609_1

Un attacco sofisticato diretto alla penetrazione di Solarwinds Orion e il successivo compromesso di migliaia di clienti è sorprendente con la sua scala e le sue potenziali conseguenze.

Per l'anno delle lezioni crudele, questo attacco funge da promemoria molto rumoroso e sgradevole - chiunque può hackerare. Chiunque. Nessun controllo della sicurezza, software, processi e formazione non può bloccare ogni attacco. Puoi sempre e dovresti sforzarti di ridurre i rischi, ma per sbarazzarsi di loro non riuscirà mai.

Abbiamo anche ricordato che abbiamo creato un'incredibile infrastruttura digitale, che, nel caso del suo compromesso e di catturare il suo ambiente e i suoi segreti, può avere un enorme impatto sul nostro mondo, l'economia e la vita a cui siamo lentamente abituati durante una pandemia. Per un utente malintenzionato, questa infrastruttura digitale è anche un mezzo per accumulare un'enorme ricchezza dal furto di segreti, proprietà intellettuale, requisiti per l'accesso a dati o ricatti, nonché sabotaggio dei piani avversari, sia di un concorrente che nazione.

Attacco di comunicazione Solarwinds e privilegi di applicazione

Nessun fornitore può garantire che la sua decisione impedirebbe completamente l'attacco a Solarwinds, e dovremmo fare attenzione a tali affermazioni. Allo stesso tempo, le aziende possono adottare misure strategiche per prevenire questo tipo di attacchi in futuro se si rendono conto e decidono uno dei problemi fondamentali di gestire l'infrastruttura ereditaria. Questo problema di sicurezza di base è la necessità di garantire che qualsiasi applicazione abbia accesso illimitato a tutto ciò che si trova nella rete, o, in termini di accesso privilegiato, accesso globale condiviso con amministratore o diritti di root.

Qual è l'accesso amministrativo condiviso globale? Questo è un accesso del conto illimitato (voci) per l'ambiente. Questo di solito significa che l'applicazione senza restrizioni deve fare delle eccezioni alle politiche di sicurezza. Ad esempio, un account può essere incluso nell'elenco dei sistemi di controllo dell'applicazione ed è escluso dal software Anti-Virus, quindi non è bloccato e non contrassegnato con un flag. L'account può funzionare per conto dell'utente, il sistema stesso o l'applicazione su qualsiasi attività o risorsa nell'ambiente. Molti professionisti del cybersecurity chiamano questo tipo di accesso "Privilegi di Dio", trasporta un rischio enorme e poco complicabile.

L'accesso amministrativo condiviso globale è solitamente utilizzato nelle applicazioni ereditarie per il monitoraggio, la gestione e l'automazione della tecnologia locale. I conti dell'amministratore condivisi globali stanno mantenendo in molti strumenti installati in premessa e funzionano nei nostri ambienti. Ciò include soluzioni per la gestione della rete, le soluzioni di gestione delle vulnerabilità, gli strumenti per il rilevamento di attività e soluzioni per la gestione dei dispositivi mobili e questi sono solo alcuni dei più esempi.

Il problema principale è che questi conti amministrativi con pieno accesso sono necessari correttamente per funzionare correttamente, e quindi non possono funzionare utilizzando il concetto di gestione delle applicazioni con i privilegi più bassi, che è la migliore pratica di sicurezza. Se questi account hanno revocato privilegi e permessi, la domanda non sarà probabilmente in grado di funzionare. Pertanto, sono forniti con accesso completo e illimitato al lavoro, che è una zona massiccia per l'attacco.

In caso di Solarwinds, questo è esattamente quello che è successo. L'applicazione stessa è stata compromessa attraverso l'aggiornamento automatico e gli aggressori hanno utilizzato l'accesso privilegiato illimitato nell'ambiente delle vittime utilizzando questa applicazione. L'attacco potrebbe compiere quasi tutti i compiti mascherati da Solarwinds, e persino cercato molto difficile non eseguirli su sistemi su cui esistono mezzi di monitoraggio e garantendo la sicurezza dei fornitori avanzati. Pertanto, diventa ovvio come segue: Se il codice dannoso è sofisticato abbastanza da aggirare le soluzioni di sicurezza ed eseguirlo solo su tali oggetti in cui può evitare il rilevamento, lo farà utilizzando i privilegi amministrativi condivisi globali. Nessuna soluzione potrebbe rilevare e bloccare tale attacco.

L'anno scorso nel nostro blog, in cui abbiamo dato le previsioni del cybersecurity per il 2020, abbiamo fatto prima un aumento degli aggiornamenti automatici dannosi. Pertanto, anche se la minaccia totale non era una conseguenza sconosciuta o imprevista, scala e distruttiva di questo particolare attacco Solarwinds suonerà per molto tempo.

Come prevenire o eliminare gli attacchi nell'organizzazione delle quali sono coinvolte applicazioni ereditarie

C'è una grande domanda qui: come possiamo aggiornare i nostri ambienti e non dipendere da applicazioni e conti che richiedono privilegi eccessivi, che non è sicuro?

Prima di tutto, con per lo più applicazioni ereditate, soluzioni per la gestione della gestione della rete o della gestione delle vulnerabilità, ad esempio, in base alla tecnologia di scansione sono tutte in ordine. Solo tecnologia obsoleta e modelli di sicurezza per implementare tali applicazioni. Qualcosa richiede un cambiamento.

Se pensi che le violazioni di Solarwinds siano la cosa peggiore che sia mai accaduta nel campo del cybersecurity, potresti avere ragione. Per quei professionisti nel campo del cybersecurity, che sono ricordati da Sasser, Blaster, Big Giallo, Mirai e Wannacry, il volume delle influenze sul sistema sarà paragonabile, ma il bersaglio e il carico utile di questi vermi non hanno alcun confronto con il Attacco Solarwinds.

Le minacce serie sono già esistenti dozzine di anni, ma mai prima di aver visto la risorsa per essere attaccata così sofisticata che tutte le potenziali vittime e le conseguenze degli attacchi non ci sono noti finora. Quando Sasser o Wannacry colpiscono il sistema, i loro proprietari lo sapevano. Anche nel caso dei virus di estorsione, imparerai le conseguenze per un breve periodo di tempo.

In connessione con Solarwinds uno dei principali obiettivi degli aggressori doveva rimanere inosservati. E non dimenticare che oggi lo stesso problema globale esiste con altre applicazioni ereditate. Per l'organizzazione degli attacchi su migliaia di aziende, possono essere utilizzate altre applicazioni con privilegi amministrativi condivisi globali nei nostri media, che porterà a risultati terrificanti.

Sfortunatamente, questa non è una vulnerabilità che richiede una correzione, ma piuttosto un uso non autorizzato delle capacità dell'applicazione che richiede questi privilegi.

Allora da dove iniziare?

Prima di tutto, dobbiamo identificare e rilevare tutte le applicazioni nel nostro ambiente, che sono necessarie tali privilegi eccessivi:

  • Utilizzando lo strumento di rilevamento della classe Enterprise, determinare quali applicazioni hanno lo stesso account privilegiato su più sistemi. Le credenziali sono più comuni e possono essere utilizzate per la distribuzione orizzontale.
  • Effettuare un inventario del gruppo Gruppo Domain Administrators e identifica tutti i conti o i servizi di applicazione presenti. Qualsiasi applicazione che necessita dei privilegi dell'amministratore del dominio è un rischio elevato.
  • Sfoglia tutte le applicazioni che si trovano nella tua lista di eccezioni antivirus globali (rispetto alle eccezioni su nodi specifici). Saranno coinvolti nel primo e più importante passo del tuo stack di sicurezza endpoint - prevenire il malware.
  • Sfoglia l'elenco del software utilizzato nell'impresa e determinare quali privilegi sono necessari tramite un'applicazione per funzionare ed eseguire aggiornamenti automatici. Ciò può aiutare a determinare se sono necessari i privilegi dell'amministratore locale o gli account amministratori locali per il corretto funzionamento dell'applicazione. Ad esempio, un account impersonale per aumentare i privilegi dell'applicazione può avere un account su un nodo locale per questo scopo.

Quindi dobbiamo implementare dove è possibile gestire le applicazioni in base ai privilegi minimi necessari. Implica la rimozione di tutti i privilegi eccessivi dell'applicazione. Tuttavia, come menzionato sopra, non è sempre possibile. Infine, per eliminare la necessità di conti privilegiati condivisi globali, potrebbe essere necessario come segue:

  • Aggiorna l'applicazione a una soluzione più recente
  • Scegli un nuovo fornitore per risolvere il problema
  • Traduci il carico di lavoro nel cloud o in un'altra infrastruttura

Considera come un'esempio di vulnerabilità di gestione. Gli scanner tradizionali di vulnerabilità utilizzano un account privilegiato condiviso globale (a volte più di uno) per connettersi in remoto all'attenzione e all'autenticazione come account amministrativo per determinare le vulnerabilità. Se il nodo è compromesso da una scansione software dannosa, l'hash utilizzato per l'autenticazione può essere raccolto e utilizzato per la distribuzione orizzontale sulla rete e stabilire una presenza costante.

I VENNDORI dei sistemi di gestione delle vulnerabilità hanno realizzato questo problema e invece di memorizzare un account amministrativo costante per la scansione, sono integrati con una soluzione di controllo degli accessi preferiti (PAM) per ottenere un account privilegiato corrente per completare la scansione. Quando non ci sono state soluzioni PAM, i fornitori di strumenti di gestione delle vulnerabilità hanno anche ridotto il rischio, lo sviluppo di agenti locali e strumenti che possono utilizzare API da valutare invece di un singolo account amministrativo condiviso per la scansione autorizzata.

Il mio punto di vista su questo esempio è semplice: la tecnologia di gestione della vulnerabilità ereditata si è evoluta in modo tale da non espelle più i clienti con un enorme rischio associato a conti di applicazione globali e accedere a loro. Sfortunatamente, molte altre tecnologie dei venditori non hanno cambiato le loro decisioni, e la minaccia rimane fino a quando le vecchie soluzioni sono sostituite o modernizzate.

Se si dispone di strumenti per gestire quali account amministrativi condivisi globali sono richiesti, il compito di fondamentale importanza per il 2021 dovrebbe sostituire questi strumenti o il loro aggiornamento. Assicurati che le soluzioni che acquisti siano sviluppate dai fornitori che già forniscono da questa minaccia.

Infine, pensa a gestire i privilegi di applicazioni in base al principio dei privilegi meno necessari. Le soluzioni PAM sono progettate per memorizzare i segreti e consentire alle applicazioni di lavorare con un livello di privilegio minimo, anche se non sono stati originariamente progettati per funzionare con queste applicazioni.

Ritornando al nostro esempio, le soluzioni di gestione delle vulnerabilità possono utilizzare i privilegi UNIX e Linux per eseguire scansioni di vulnerabilità, anche se non sono state fornite con il proprio accesso privilegiato. Lo strumento di gestione del privilegio esegue i comandi per conto dello scanner e restituisce i risultati. Esegue i comandi dello scanner con i privilegi più piccoli e non soddisfa i suoi comandi inappropriati, ad esempio, spegnendo il sistema. In un certo senso, il principio dei più piccoli privilegi su queste piattaforme assomiglia a sudo e può controllare, limitare ed eseguire applicazioni con privilegi, indipendentemente dal processo che chiama il comando. Questo è solo un modo per gestire l'accesso privilegiato può essere applicato ad alcune applicazioni obsolete nei casi in cui sono necessari privilegi eccessivi e la sostituzione appropriata non è possibile.

Ciberiano ridotto nel 2021 e inoltre: i seguenti passaggi principali

Qualsiasi organizzazione può essere l'obiettivo degli intrusi e qualsiasi applicazione con privilegi eccessivi può essere utilizzata contro l'intera società. L'incidente di Solarwinds deve incoraggiare tutti noi a rivedere e identificare tali applicazioni il cui lavoro è associato ai rischi di eccessivo accesso privilegiato. Dobbiamo determinare come si può ammorbidire la minaccia, anche se è impossibile eliminarla in questo momento.

In definitiva, i tuoi sforzi per ridurre i rischi ed eliminare le loro conseguenze possono portarti a sostituire applicazioni o transizione verso il cloud. Indubbiamente uno - il concetto di gestione degli accessi privilegiati è applicabile alle applicazioni nonché alle persone. Se le tue applicazioni non sono controllate correttamente, possono mettere a repentaglio la sicurezza dell'intera impresa. E nulla dovrebbe avere accesso illimitato nel tuo ambiente. Questo è un link debole che dobbiamo identificare, eliminare ed evitare in futuro.

Materiale più interessante su Cisoclub.ru. Iscriviti a noi: Facebook | VK |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ nuovo |. Youtube |. Pulsante.

Leggi di più

CEO Whatsapp Inc. Detto perché Apple ha paura di WhatsApp
Apple vale la pena di paura di Android? Molti ovviamente pensano no. È troppo imperfetto dal sistema operativo mobile di Google rispetto ai IOS, e, se...
Pensa alla tua testa: 5 consigli, come non diventare vittima di notizie false
Dai falsi nei social network ora non c'è penna. Mailing Come segnalazioni sulle siringhe con AIDS nei servizi igienici dei centri commerciali possono ancora...
Come fare una canna in acciaio per creare uno stoccaggio degli utensili mobile
È possibile acquistare uno strumento contenitore di organizzatori costoso per la memorizzazione degli strumenti, ma è difficile indossarlo. Cosa farebbe...
5 anni di carcere: per il quale l'idolo teenager Tima Bielorusso detenuto
Ad oggi, il cantante e l'autore delle canzoni del 22enne Tima Bielorusso brillano un periodo serio - cinque anni di carcere. L'idolo della gioventù...
Cisa: gli hacker bypassing con successo i conti dei servizi cloud mfa
Il cybersecurity and Security Agency dell'Infrastruttura statunitense (CISA) ha dichiarato che i cybercriminali passano con successo i protocolli di...
Pasticceria del petto di pollo: Sostituzione utile per il negozio Salsiccia all'ora di cucina attiva
Questo piatto è interpretato dalla cucina moldavia e rumena, ed è ben una sostituzione, se per qualche motivo non è possibile includere altri tipi di carne...
5 film con scene di sesso reale
Dove trovare l'arma migliore in Assassins Creed Odyssey: Hyde da armi leggendarie
Gli scienziati hanno rivelato regolarità come le persone si comportano in luoghi pubblici (infografica visiva)
Anno del serpente: 8 fatti incredibili sui rettili
Come lavorare il salone rosa - Giapponese BARS BARCHI
Come fare un laghetto nel paese con le tue mani - una master class passo-passo con una foto
Shopping in Belek: consigli e raccomandazioni
Natalia Vodyanova ha fatto una foto fantasy di un figlio di 5 anni
Massaggio della prostata: come fare un uomo a te stesso? Viste, metodi, tecnica, benefici e schemi del massaggio prostatico a se stesso con un dito e massaggiatore per il trattamento della prostatite a casa. Come e come posso massaggiare la prostata te stesso?
25 foto, su dove si può nascondere
Fine del film: 5 problemi della tua vita in cui la pornografia è da incolpare
Osmosi inversa - come funziona e confronto dei migliori filtri domestici con caratteristiche e prezzi
L'India è stata attaccata da un nuovo virus sconosciuto alla scienza
7 tipi di creazione di gioielli con connessione fredda: viti, linguette, rivetti e altro
Come lavare il pile a mano
Figa bagnata
Un nuovo trucco di LinkedIn ti consente di cercare segretamente lavoro senza che il tuo capo lo scopra
Il divorzio mi ha insegnato di più sul matrimonio di quanto non abbia fatto il mio matrimonio
I migliori momenti di stile di Cindy Crawford della star della copertina di settembre di Tatler
Tutto quello che dovresti sapere sulla dermatillomania
Buon compleanno! Il figlio di Brad Pitt e Angelina Jolie, Maddox, compie 18 anni e Sì, ci sentiamo vecchi
Anthony Bourdain porta ai Green Day un tamburo infuso di scotch nel finale di stagione di "Raw Craft".
Recensioni di prodotti Singletracks: Full Disclosure
EMD Millipore stipula un accordo definitivo per l'acquisizione di Biochrom
Shania Twain parla della sua battaglia contro la malattia di Lyme
15 strani prodotti Wayfair che non sapevi di poter acquistare
La ricetta dell'hamburger al formaggio con verdure grigliate
Verità su Jennifer Aniston sconvolta dall'amicizia di Jimmy Kimmel con le Kardashian
Questi 70 nomi di chat di gruppo a tema Hanukkah sono indispensabili per illuminare il tuo Convo
Svegliati con le proteine della colazione
'It's About Time': la pioniere della street art Lady Pink parla del motivo per cui sta dipingendo commemorazioni per le leggende sconosciute dei graffiti
Un pio desiderio
10 affitti di isole private che puoi trovare su Airbnb
Scarlett Johansson ha chiesto direttamente a Woody Allen le accuse di abusi sessuali
I TV Samsung ora supportano HDR10+ con Google Play Movies
La scienza spiega cosa succede al tuo corpo quando non fai la cacca ogni giorno
Colonizzazione di Titano: teorie, fatti e opinioni di esperti
D-Link DHP-500AV : Analisi di questi PLC con velocità fino a 500Mbps
Le 4 domande a cui GM deve rispondere sul richiamo
Un partner Uber Driver di successo condivide i suoi 7 migliori consigli
Enciclopedia dei dinosauri
Malecón de Mazatlán, Sinaloa, quanto dura e come arrivarci?
Come eseguire il backup delle immagini di WhatsApp in Google Foto e testi in Google Drive

© 2024 Fatti cognitivi
Notizie interessanti e informative, articoli, recensioni

uk en af am ar az be bg bn bs ca ceb cs cy da de el eo es et eu fa fi fr fy ga gl gu ha he hi hmn hr ht hu hy id ig is it ja jv ka kk km kn ko ku ky lb lo lt lv mg mk ml mn mr ms mt my ne nl no ny or pa pl ps pt ro rw sd si sk sl sm sn so sq sr st su sv sw ta te tg th tk tl tr tt ug ur uz vi xh yi yo zh-CN zh-TW zu