SolarWinds Orionの侵入に向けられた洗練された攻撃とその後の何千もの顧客の妥協点は、その規模と潜在的な結果に驚きます。
残酷なレッスンの年のために、この攻撃は非常に大きくて不快なリマインダーとして役立ちます - 誰もがハックすることができます。誰でも。セキュリティ制御、ソフトウェア、プロセス、およびトレーニングは各攻撃をブロックできません。あなたはいつでもリスクを減らすように努力するべきであるが、それらを取り除くことは決して成功することは決してないだろう。
私たちはまた、その妥協の場合には、環境や秘密の捕獲の場合には、私たちの世界に大きな影響を与える可能性があります。攻撃者のために、このデジタルインフラはまた、秘密の盗難、知的財産、データまたは脅迫へのアクセスに対する要求、ならびに競争相手または国であろうとしている相手の計画の妨害をもとに巨大な富を蓄積する手段でもある。
コミュニケーション攻撃SolarwindsとApplication Privileges
ベンダーは、彼の決定が太陽熱線に対する攻撃を完全に防止することを保証することができず、そのような声明に注意する必要があります。同時に、将来のこのタイプの攻撃を防ぐために戦略的なステップを取り、これから継承されたインフラストラクチャを管理するという基本的な問題の1つを決定することができます。この基本的なセキュリティ問題は、アプリケーションがネットワーク内のすべてのもの、または特権アクセス、管理者またはroot権限のグローバル共有アクセスに関して、すべてのアプリケーションが無制限にアクセスできるようにする必要があります。グローバル共有管理アクセスとは何ですか?これは環境への無制限のアカウントアクセス(エントリ)です。これは通常、制限なしのアプリケーションがセキュリティポリシーに例外を及ぼす必要があることを意味します。例えば、アカウントはアプリケーション制御システムのリストに含まれてもよく、ウイルス対策ソフトウェアから除外されてもよく、それはブロックされず、フラグでマークされていない。アカウントは、ユーザーに代わって、システム自体、または環境内の資産またはリソースのアプリケーションで機能することができます。多くのサイバーセキュリティの専門家はこのタイプのアクセス「神特権」と呼び、それは大規模で曖昧なリスクを担いています。
グローバル共有管理アクセスは通常、ローカルテクノロジの監視、管理、および自動化のために継承されたアプリケーションで使用されます。グローバル共有管理者アカウントは、現役でインストールされている多くのツールでサービスを提供しています。これには、ネットワーク管理、脆弱性管理ソリューション、モバイル機器を管理するための資産、ソリューションのためのツールのためのソリューションが含まれており、これらは複数の例の一部です。
主な問題は、完全アクセスを持つこれらの管理者アカウントが正しく機能するために必要であるため、最低限のセキュリティ慣行である最も低い特権を持つアプリケーションを管理するという概念を使用することはできません。これらのアカウントに無効な権限と権限がある場合、アプリケーションは最も働くことができない可能性があります。したがって、彼らは攻撃のための巨大な領域である仕事への完全で無制限のアクセスを提供されています。
Solarwindsの場合、これは正確に何が起こったのかです。アプリケーション自体は自動更新を通じて侵害され、攻撃者はこのアプリケーションを使用して被害者環境で無制限の特権アクセスを使用しました。攻撃は、Solarwindsによって偽装されたほとんどすべてのタスクを実行でき、さらに監視手段があるシステムでそれらを実行しないことさえ、高度なベンダーの安全性を確保することさえ試みました。したがって、それは次のように明らかになります。このような攻撃を検出して遮断することはできませんでした。
2020年のサイバーセキュリティの予測を行った私たちのブログの昨年、私たちは最初に悪意のある自動更新の増加をしました。したがって、総脅威は未知または予期せぬ、この特定の攻撃の規模で破壊的な影響ではありませんでしたが、Solarwindsは長い間鳴ります。
継承されたアプリケーションが関与している組織における攻撃を防止または排除する方法
ここで大きな質問があります:どのように私たちの環境をアップグレードすることができて、安全ではない過度の特権を必要とするアプリケーションやアカウントに依存しませんか?
まず第一に、主にそのような継承アプリケーションでは、例えばスキャンテクノロジに基づくネットワーク管理または脆弱性管理のためのソリューションがすべて順番にあります。そのようなアプリケーションを実装するための古いテクノロジおよびセキュリティモデル。何かが変更されます。
SolarWinds違反がサイバーセキュリティの分野で発生した最悪のものであると思われる場合は、正しいことがあります。 Sasser、Blaster、Big Yellow、Mirai、Wannacryによって記憶されているサイバーセキュリティの分野の専門家のために、システムへの影響の量は匹敵するでしょうが、これらのワームのターゲットとペイロードはそれとの比較はありません。 SolarWinds攻撃
深刻な脅威はすでに数十年が存在していましたが、私たちが攻撃されるべきリソースを見たことがないので、潜在的な犠牲者と攻撃の影響はこれまでのところ私たちに知られていません。 SasserやWannacryがシステムに当たったとき、彼らの所有者はそれについて知っていました。大量のウイルスの場合でも、短期間の結果について学ぶでしょう。
SolarWindsに関連して、攻撃者の主な目標の1つは気付かれないままになることでした。そして今日も同じグローバルな問題が他の継承されたアプリケーションと存在することを忘れないでください。何千もの企業に対する攻撃の組織のために、私たちのメディアにおける世界的な共有管理特権を持つ他のアプリケーションを使用することができ、それは恐ろしい結果につながります。
残念ながら、これは訂正を必要とする脆弱性ではなく、むしろこれらの特権を必要とするアプリケーションの機能の不正な使用に使用されていません。
それでどこから始めるべきですか?
まず第一に、私たちはそのような過剰な特権が必要な私たちの環境のすべてのアプリケーションを識別して検出する必要があります。
- エンタープライズクラス検出ツールを使用して、複数のシステムに同じ特権アカウントを持つアプリケーションを決定します。資格情報は最も一般的なものであり、水平配布に使用できます。
- ドメイン管理者グループグループのインベントリを作成し、存在するすべてのアプリケーションアカウントまたはサービスを識別します。ドメイン管理者の権限を必要とするアプリケーションはすべて高いリスクです。
- Global AntiVirus例外リストにあるすべてのアプリケーションを参照してください(特定のノードの例外と比較して)。彼らはあなたのエンドポイントセキュリティスタックの最初のそして最も重要なステップに関与します - マルウェアを防ぐ。
- 企業で使用されているソフトウェアのリストを参照して、アプリケーションが作業して自動更新を実行するのに必要な特権を決定します。これにより、ローカル管理者の権限が必要か、アプリケーションの正しい操作のためにローカル管理者アカウントがあるかどうかを判断するのに役立ちます。例えば、アプリケーションの特権を増やすための非密的なアカウントは、この目的のためにローカルノード上のアカウントを有することができる。
次に、必要最小限の特権に基づいてアプリケーションを管理することが可能な場所を実装する必要があります。アプリケーションのすべての過剰な特権の削除を意味します。しかしながら、上述したように、必ずしも可能ではない。最後に、グローバル共有特権アカウントの必要性を排除するためには、次のようになることがあります。
- アプリケーションを新しいソリューションに更新します
- 問題を解決するために新しいベンダーを選択してください
- ワークロードをクラウドまたは別のインフラストラクチャに変換します
管理の脆弱性の例として検討してください。従来の脆弱性スキャナーは、脆弱性を判断するための管理アカウントとしてターゲットと認証にリモート接続するためのグローバル共有特権アカウント(複数の)を使用します。ノードが悪意のあるソフトウェアスキャンによって危険にさらされている場合、認証に使用されるハッシュは、ネットワーク上の水平配信に集められ、絶え間ない存在を確立することができる。
脆弱性管理システムのヴェニンダはこの問題を認識しており、スキャンのために定数の管理アカウントを格納する代わりに、それらは走査を完了するための現在の特権アカウントを取得するために優先アクセス制御ソリューション(PAM)と統合されている。 PAMソリューションがない場合、脆弱性管理ツールのベンダーはリスクを減らし、APIを使用して許可スキャンのための単一の共有管理アカウントの代わりにAPIを評価できるローカルエージェントとツールの開発も減りました。
私の見解は簡単です:継承された脆弱性管理技術は、グローバルなアプリケーションアカウントに関連した巨大なリスクを持つ顧客に顧客を公開し、それらへのアクセスに伴うような方法で進化しました。残念なことに、他の多くのベンダーテクノロジは決定を変更していないため、古い解決策が交換または近代化されるまで脅威は残ります。
どのグローバル共有管理アカウントが必要かを管理するためのツールがある場合、2021のパラマウント重要度のタスクは、これらのツールまたはそれらの更新を置き換える必要があります。購入したソリューションがすでにこの脅威から配信するベンダーによって開発されていることを確認してください。
最後に、最小限の特権の原則に基づいてアプリケーションの特権を管理することについて考えてください。 PAMソリューションは、秘密を保存し、これらのアプリケーションで動作するように設計されていなくても、アプリケーションを最小限の特権レベルで動作させるように設計されています。
この例に戻ると、脆弱性管理ソリューションは、たとえそれらが独自の特権アクセスを提供していなくても、UNIXおよびLinux特権を使用して脆弱性スキャンを実行できます。特権管理ツールは、スキャナに代わってコマンドを実行して結果を返します。これは、最小の特権を持つスキャナコマンドを実行し、たとえばシステムをオフにするなど、不適切なコマンドを満たしていません。ある意味では、これらのプラットフォーム上の最小の特権の原則は、コマンドを呼び出すプロセスにかかわらず、特権を持つアプリケーションを制御、制限、および実行できます。これは、過剰な特権が必要な場合に最適化されたアプリケーションに特権アクセスを管理するための1つの方法であり、適切な置き換えが不可能です。
2021年のCiberianを減らし、さらに次の主な手順
任意の組織は侵入者のターゲットであり、過度の特権を持つアプリケーションを企業全体に対して使用することができます。 SolarWinds Inciestsは、その作業が過剰な特権アクセスのリスクに関連しているアプリケーションを修正して特定するように勧められなければなりません。今すぐ排除することが不可能であっても、脅威を柔らかくすることができる方法を決定しなければなりません。
最終的には、リスクを減らし、その結果を排除するためのあなたの努力は、アプリケーションまたはクラウドへの移行を交換することを可能にする可能性があります。間違いなく1 - 特権アクセス管理の概念は、アプリケーションや人々に適用されます。アプリケーションが正しく管理されていない場合、それらは企業全体の安全性を危険にさらすことができます。そしてあなたの環境で無制限のアクセス権を持つべきではありません。将来識別、削除、回避しなければならないという1つの弱いリンクです。
CISOCLUB.RUのより興味深い材料。私たちを購読する:Facebook | VK | Twitter | Instagramの|テレグラム|禅|メッセンジャー| ICQ NEW | YouTube |パルス。