Solarwinds Orion의 침투와 수천 명의 고객의 후속 타협에 관한 정교한 공격은 그 규모와 잠재적 결과로 눈에 띄는 것입니다.
잔인한 수업의 해에 대해이 공격은 매우 크고 불쾌한 알림으로 사용됩니다 - 누구도 해킹 할 수 있습니다. 누군가. 보안 제어, 소프트웨어, 프로세스 및 교육은 각 공격을 막을 수 없습니다. 항상 위험을 줄이기 위해 노력할 수는 있지만, 그들을 제거하는 것은 결코 성공하지 못할 것입니다.
우리는 또한 우리가 놀라운 디지털 인프라를 만들었고 환경과 비밀을 포착하는 경우, 우리의 세계에 엄청난 영향을 미칠 수있는 전 세계적으로 우리가 천천히 익숙한 경제와 삶에 엄청난 영향을 미칠 수 있습니다. 공격자의 경우,이 디지털 인프라는 비밀, 지적 재산권, 데이터 또는 협박에 대한 액세스 요구 사항뿐만 아니라 경쟁 업체 나 국가에 관계없이 상대방 계획의 방해물에 의해 거대한 재산을 축적하는 수단이기도합니다.
통신 공격 Solarwinds 및 응용 프로그램 권한
벤더는 그의 결정이 Solarwinds에 대한 공격을 완전히 막을 것이라고 보장 할 수 있으며 그러한 진술을주의해야합니다. 동시에 상속 된 인프라를 관리하는 근본적인 문제 중 하나를 실현하고 결정하면 미래에 이러한 유형의 공격을 방지하기 위해 전략 단계를 수행 할 수 있습니다. 이 기본 보안 문제는 모든 응용 프로그램이 네트워크에있는 모든 항목에 무제한 액세스 권한이 있거나 권한있는 액세스의 측면에서 관리자 또는 루트 권한이있는 글로벌 공유 액세스를 보장해야합니다.글로벌 공유 관리 액세스 란 무엇입니까? 이것은 환경에 대한 무제한 계정 액세스 (항목)입니다. 이는 일반적으로 제한없이 응용 프로그램이 보안 정책에 예외를 제외해야 함을 의미합니다. 예를 들어 계정은 응용 프로그램 제어 시스템 목록에 포함될 수 있으며 안티 바이러스 소프트웨어에서 제외되므로 차단되지 않고 플래그로 표시되지 않습니다. 계정은 사용자를 대신하여 사용자를 대신하여 시스템 자체 또는 환경의 모든 자산이나 자원에 대한 응용 프로그램을 사용할 수 있습니다. 많은 사이버 보안 전문가들은 이러한 유형의 액세스의 "신 특권"이라고 부르며 엄청난 이발적이지 않는 위험을 가지고 있습니다.
글로벌 공유 관리 액세스는 일반적으로 로컬 기술의 모니터링, 관리 및 자동화를 위해 상속 된 응용 프로그램에서 사용됩니다. 글로벌 공유 관리자 계정은 우리 환경에서 사내에서 설치되고 작업하는 많은 도구에서 서비스됩니다. 여기에는 네트워크 관리, 취약성 관리 솔루션, 모바일 장치 관리를위한 자산 및 솔루션을 탐지 할 수있는 솔루션이 포함되어 있으며, 이들은 여러 가지 예제 중 일부입니다.
주요 문제점은 올바르게 작동하려면이 관리 계정이 필요하므로 최상의 보안 실습 인 가장 낮은 권한으로 응용 프로그램 관리 개념을 사용하여 사용할 수 없습니다. 이러한 계정에 권한 및 사용 권한이 취소 된 경우 응용 프로그램은 일할 수 없을 가능성이 높습니다. 따라서 그들은 공격을위한 거대한 지역 인 일에 완전하고 무제한 접근을 제공합니다.
Solarwinds의 경우, 이것은 정확히 일어난 일입니다. 응용 프로그램 자체는 자동 업데이트를 통해 손상되었으며 공격자는이 응용 프로그램을 사용하여 피해자 환경에서 무제한 권한있는 액세스를 사용했습니다. 공격은 Solarwinds에서 위장한 거의 모든 작업을 수행 할 수 있으며 심지어 고급 공급 업체의 안전을 모니터링하고 보장하는 수단이있는 시스템에서 수행하지 않도록 매우 열심히 노력했습니다. 따라서 다음과 같이 분명 해집니다. 악의적 인 코드가 보안 솔루션을 회피하고 탐지를 피할 수있는 개체에서만 수행 할 수있을만큼 정교 해지면 글로벌 공유 관리 권한을 사용 하여이 작업을 수행합니다. 해결책은 그러한 공격을 탐지하고 차단할 수 없습니다.
작년 2020 년 동안 사이버 보안 예측을 주었던 블로그에서는 먼저 악의적 인 자동 업데이트가 증가했습니다. 따라서 총 위협이 알려지지 않았거나 예상치 못한 것으로 아니더라도,이 특정 공격의 솔루션 및 파괴적인 결과는 오래 동안 소리가납니다.
상속 된 응용 프로그램이 관련된 조직에서 공격을 예방하거나 제거하는 방법
여기에 큰 질문이 있습니다 : 우리는 환경을 업그레이드하고 안전하지 않은 과도한 권한이 필요한 응용 프로그램 및 계정에 의존하지 않습니까?
우선, 주로 이러한 상속 된 응용 프로그램을 통해 네트워크 관리 또는 취약성 관리를위한 솔루션, 예를 들어 스캔 기술을 기반으로 모두 순서대로 순서대로됩니다. 이러한 응용 프로그램을 구현하기위한 오래된 기술 및 보안 모델 무언가는 변화가 필요합니다.
Solarwinds 위반 사항이 사이버 보안 분야에서 일어난 최악의 상황이라고 생각되면 옳을 수도 있습니다. Sasser, Blaster, Big Yellow, Mirai 및 Wannacry가 기억하는 사이버 보안 분야의 전문가들에게는 시스템에 대한 영향의 양이 비슷하지만 이러한 웜의 목표와 페이로드는 Solarwinds 공격.
심각한 위협은 이미 수십 년이 존재했지만, 우리가 모든 잠재적 인 희생자들과 공격의 결과가 지금까지 우리에게 알려지지 않았던 모든 잠재적 인 희생자들과 공격의 결과가 알지 못하는 것을 보지 못했습니다. Sasser 또는 Wannacry가 시스템을 때리면 소유자가 알고있었습니다. 강압 바이러스의 경우에도 짧은 기간 동안 결과에 대해 배울 것입니다.
Solarwinds와 관련하여 공격자의 주요 목표 중 하나는 눈에 띄지 않는 상태를 유지하는 것이 었습니다. 그리고 오늘날 같은 글로벌 문제가 다른 상속 된 응용 프로그램과 동일한 글로벌 문제가 있음을 잊지 마십시오. 수천 명의 회사에 대한 공격 조직의 경우, 당사의 미디어의 글로벌 공유 관리자 권한이있는 다른 응용 프로그램을 사용할 수 있습니다. 이는 무서운 결과로 이어질 수 있습니다.
불행히도 이것은 보정이 필요한 취약점이 아니라 이러한 권한이 필요한 응용 프로그램의 기능을 무단으로 사용하는 취약점이 아닙니다.
그래서 어디에서 시작해야합니까?
우선, 우리는 과도한 권한이 필요한 환경에서 모든 응용 프로그램을 식별하고 탐지해야합니다.
- 엔터프라이즈 클래스 탐지 도구를 사용하여 여러 시스템에서 동일한 권한있는 계정이있는 응용 프로그램을 확인하십시오. 자격 증명은 일반적으로 일반적이며 수평 배포에 사용할 수 있습니다.
- 도메인 관리자 그룹 그룹의 인벤토리를 작성하고 모든 응용 프로그램 계정이나 서비스를 모두 식별하십시오. 도메인 관리자 권한이 필요한 모든 응용 프로그램은 위험이 높습니다.
- 글로벌 바이러스 백신 예외 목록에있는 모든 응용 프로그램을 찾습니다 (특정 노드의 예외와 비교). 그들은 엔드 포인트 보안 스택의 첫 번째 및 가장 중요한 단계에 참여할 것입니다. 맬웨어를 방지합니다.
- 엔터프라이즈에서 사용되는 소프트웨어 목록을 찾아서 응용 프로그램에서 작동하고 자동 업데이트를 수행하는 데 필요한 권한을 결정합니다. 이렇게하면 로컬 관리자의 권한이 필요하거나 응용 프로그램의 올바른 작동을위한 로컬 관리자 계정이 확인하는 데 도움이 될 수 있습니다. 예를 들어, 응용 프로그램의 권한을 증가시키는 비 인보 평액 계정은이 목적을 위해 로컬 노드에 계정을 가질 수 있습니다.
그런 다음 최소한의 필요한 권한을 기반으로 응용 프로그램을 관리 할 수있는 위치를 구현해야합니다. 응용 프로그램의 모든 과도한 특권을 제거하는 것을 의미합니다. 그러나 위에서 언급했듯이 항상 가능하지는 않습니다. 마지막으로 글로벌 공유 권한있는 계정의 필요성을 없애기 위해 다음과 같이 필요할 수 있습니다.
- 응용 프로그램을 최신 솔루션으로 업데이트하십시오
- 문제를 해결하려면 새 공급 업체를 선택하십시오
- 클라우드 또는 다른 인프라에서 작업량을 번역하십시오
예제 관리 취약점으로 간주하십시오. 전통적인 취약성 스캐너는 전역 공유 권한있는 계정 (때로는 둘 이상)을 사용하여 관리 계정으로 대상 및 인증에 원격으로 연결하여 취약성을 결정합니다. 노드가 악의적 인 소프트웨어 검색에 의해 손상된 경우 인증에 사용 된 해시를 수집하고 네트워크를 통해 수평 분포와 일정한 존재를 설정할 수 있습니다.
취약성 관리 시스템의 Venndors는이 문제를 실현하고 스캔을 위해 일정한 관리 계정을 저장하는 대신 PAM (Preferred Access Control Solution)과 통합되어 현재 권한있는 계정을 얻으려면 스캔을 완료합니다. PAM 솔루션이 없었을 때 취약성 관리 도구의 공급 업체는 인증 된 검색을 위해 단일 공유 관리 계정 대신 API를 사용하여 API를 사용할 수있는 로컬 에이전트 및 도구를 개발할 수 있습니다.
이 예제에서의 내 관점은 간단합니다. Inherited Vulnerability Management 기술은 더 이상 고객이 글로벌 응용 프로그램 계정과 관련된 엄청난 위험이있는 고객을 더 이상 노출시키지 않아도됩니다. 불행히도 다른 많은 공급 업체 기술은 결정을 변경하지 않았으며 이전 솔루션이 교체되거나 현대화 될 때까지 위협이 남아 있습니다.
Global Shared Administration 계정이 필요한 도구가있는 경우 2021에 대한 가장 중요한 중요성의 작업은 이러한 도구 또는 업데이트를 교체해야합니다. 구매하는 솔루션이 이미이 위협으로부터 전달되는 공급 업체가 개발한지 확인하십시오.
마지막으로 가장 적은 권한의 원칙에 따라 응용 프로그램의 권한을 관리하는 것에 대해 생각해보십시오. PAM 솔루션은 비밀을 저장하고 응용 프로그램이 원래이 응용 프로그램과 함께 작동하도록 설계되지 않은 경우에도 최소 권한 수준으로 응용 프로그램을 사용할 수 있도록 설계되었습니다.
예제로 돌아 가기, 취약성 관리 솔루션은 UNIX 및 Linux 권한을 사용하여 자신의 권한있는 액세스와 함께 제공되지 않은 경우에도 취약성 검사를 수행 할 수 있습니다. 권한 관리 도구는 스캐너를 대신하여 명령을 실행하고 결과를 반환합니다. 가장 작은 권한으로 스캐너 명령을 실행하고 부적절한 명령을 수행하지 않습니다 (예 : 시스템 끄기). 어떤 의미에서 이러한 플랫폼에 대한 가장 작은 권한의 원리는 sudo와 유사하고 명령을 호출하는 프로세스에 관계없이 권한이있는 응용 프로그램을 제어, 제한 및 실행할 수 있습니다. 이는 과도한 권한이 필요하고 적절한 교체가 불가능한 경우에 권한있는 액세스를 관리하는 한 가지는 한 가지 구식 응용 프로그램에 적용 할 수 있습니다.
2021 년에 Ciberian이 감소했고 추가로 다음 주요 단계
모든 조직은 침입자의 목표가 될 수 있으며, 과도한 권한이있는 모든 응용 프로그램을 전체 회사에 사용할 수 있습니다. Solarwinds 사건은 우리 모두가 과도한 권한있는 액세스의 위험과 관련된 응용 프로그램을 수정하고 식별 할 것을 권장해야합니다. 우리는 지금 그것을 제거 할 수없는 경우에도 위협을 부드럽게 할 수있는 방법을 결정해야합니다.
궁극적으로 위험을 줄이고 결과를 없애기위한 노력은 응용 프로그램을 교체하거나 클라우드로 전환 할 수 있습니다. 의심 할 여지없이 권한있는 액세스 관리의 개념은 응용 프로그램뿐만 아니라 사람들에게도 적용됩니다. 응용 프로그램이 제대로 제어되지 않으면 전체 엔터프라이즈의 안전을 위태롭게 할 수 있습니다. 그리고 귀하의 환경에서 무제한 액세스 권한이 없어야합니다. 이것은 우리가 미래에 식별, 삭제 및 피해야하는 약한 링크입니다.
cisoclub.ru에 더 흥미로운 자료. 에 동의쳐 저희 : Facebook | VK | 트위터 | Instagram (Instagram) 전보 | 젠 | 메신저 | ICQ 새로운 | YouTube | 펄스.