Sudėtinga ataka nukreipta į Solarwinds Orion skverbtis ir vėlesnis kompromisas tūkstančių savo klientų yra ryškus su savo mastu ir galimų pasekmių.
Dėl žiaurių pamokų šis išpuolis tarnauja kaip labai garsus ir nemalonus priminimas - kiekvienas gali įsilaužti. Kiekvienas. Nėra saugumo kontrolės, programinės įrangos, procesų ir mokymo negali užblokuoti kiekvieno atakos. Jūs visada galite ir turėtų stengtis sumažinti riziką, bet atsikratyti jų niekada nepavyks.
Mes taip pat priminėta, kad sukūrėme nuostabų skaitmeninę infrastruktūrą, kuri, jos kompromiso atveju ir užfiksuoti savo aplinką bei paslaptis, gali turėti didžiulį poveikį mūsų pasauliui, ekonomikai ir gyvenimui, į kurį mes lėtai pripratę prie pandemijos metu. Užuolikliui ši skaitmeninė infrastruktūra taip pat yra priemonė kaupti didžiulį turtą paslapčių vagyste, intelektinės nuosavybės reikalavimus, prieigą prie duomenų ar šantažo, taip pat priešininko planų sabotažas, ar konkurentas ar tauta.
Komunikacijos ataka SOLARWINDS IR TAIKYMO PRIVILEGES
Nė vienas pardavėjas negali garantuoti, kad jo sprendimas būtų visiškai užkirsti kelią užpuolimui prieš SOLARWINDS, ir turėtume saugoti tokius pareiškimus. Tuo pačiu metu įmonės gali imtis strateginių veiksmų, kad ateityje būtų išvengta šio tipo išpuolių ateityje, jei jie suvoktų ir nuspręstų vieną iš pagrindinių problemų, kaip valdyti paveldėjusią infrastruktūrą. Ši pagrindinė saugumo problema yra būtina užtikrinti, kad bet kokia paraiška būtų neribota prieiga prie visko, kas yra tinkle, arba, kalbant apie privilegijuotą prieigą, pasaulinę bendrą prieigą su administratoriumi ar šaknų teisėmis.Kas yra pasaulinė bendra administracinė prieiga? Tai neribota prieiga prie aplinkos (įrašai) į aplinką. Tai paprastai reiškia, kad taikymas be apribojimų turi būti išimčių saugumo politikos. Pavyzdžiui, sąskaita gali būti įtraukta į taikomųjų programų valdymo sistemų sąrašą ir neįtraukta į antivirusinę programinę įrangą, todėl jis nėra užblokuotas, o ne pažymėtas vėliava. Paskyra gali dirbti vartotojo vardu, pati sistema arba paraiška dėl bet kokio turto ar išteklių aplinkai. Daugelis kibernetinio saugumo specialistų vadina tokią prieigą "Dievo privilegijos", ji turi didžiulį, neįmanomą riziką.
Pasaulinė bendra administracinė prieiga paprastai naudojama paveldėtoms paraiškoms stebėti, valdyti ir automatizuoti vietos technologijų. Pasaulinės bendros administratoriaus sąskaitos yra aptarnaujantys daugelyje įrankių, kurie yra įdiegti ir dirbti mūsų aplinkoje. Tai apima sprendimus tinklo valdymui, pažeidžiamumo valdymo sprendimams, priemonėms nustatyti turtą ir sprendimus mobiliesiems įrenginiams valdyti, ir tai yra tik keletas kelių pavyzdžių.
Pagrindinė problema yra ta, kad šios administracinės sąskaitos su visišku prieiga reikalingi tinkamai dirbti, ir todėl jie negali dirbti naudojant programų valdymo koncepciją su mažiausiomis privilegijomis, kurios yra geriausia saugumo praktika. Jei šios sąskaitos atšaukė privilegijas ir leidimus, paraiška greičiausiai negalės dirbti. Taigi jie yra su visa ir neribota prieiga prie darbo, kuris yra didžiulis plotas ataka.
Solarwinds atveju būtent tai atsitiko. Pati programa buvo pakenkta per automatinį atnaujinimą, o užpuolikai naudojo neribotą privilegijuotą prieigą prie aukos aplinkoje naudojant šią paraišką. Attacking galėtų atlikti beveik visas užduotis, užmaskuotas SOLARWINDS, ir netgi stengėsi juos atlikti sistemose, kuriose yra priemonių stebėjimo ir pažangių pardavėjų saugos užtikrinimas. Taigi, jis tampa akivaizdu taip: jei kenksmingas kodas yra pakankamai sudėtingas, kad būtų apeiti saugumo sprendimai ir atlikti jį tik tiems objektams, kur jis gali išvengti aptikimo, tai padarys tai naudojant pasaulines bendrų administracinių privilegijų. Nė vienas sprendimas gali aptikti ir blokuoti tokį išpuolį.
Praėjusiais metais mūsų dienoraštyje, kuriame mes davėme kibernetinio saugumo prognozę 2020 m., Pirmiausia padidinome kenkėjiškų automatinių atnaujinimų padidėjimą. Taigi, nors bendra grėsmė nebuvo nežinoma ar netikėta, masto ir destruktyvių pasekmių šio konkretaus atakos Solarwinds bus skamba ilgą laiką.
Kaip užkirsti kelią arba pašalinti išpuolius organizacijoje, kurios yra paveldėtos programos
Čia yra didelis klausimas: kaip mes galime atnaujinti savo aplinką ir nepriklauso nuo programų ir sąskaitų, kurioms reikia pernelyg didelių privilegijų, kuri yra nesaugi?
Visų pirma, su daugeliu tokių paveldėtų programų, tinklo valdymo ar pažeidžiamumo valdymo sprendimai, pavyzdžiui, remiantis nuskaitymo technologija yra visų tvarka. Tik pasenusi technologijų ir saugumo modeliai tokių programų įgyvendinimui. Kažkas reikalauja pakeitimo.
Jei manote, kad Solarwinds pažeidimai yra blogiausias dalykas, kuris kada nors įvyko kibernetinio saugumo srityje, jums gali būti teisinga. Tiems specialistams kibernetinio saugumo, kuris yra prisiminti Sasser, Blaster, Big Yellow, Mirai ir Wannaciry, įtakos sistemos apimtis bus palyginama, tačiau šių kirminų taikinys ir apkrova neturi jokio palyginimo su Solarwinds ataka.
Rimtos grėsmės jau egzistavo dešimtys metų, bet niekada, kol mes nematėme išteklių būti užpuolė taip sudėtinga, kad visos potencialios aukos ir išpuolių pasekmės nėra žinoma mums iki šiol. Kai Sasser ar Wannakry nukentėjo nuo sistemos, jų savininkai žinojo apie tai. Net ir prievartavimo virusų atveju sužinosite apie pasekmes trumpą laiką.
Ryšium su SOLARWINDS Vienas iš pagrindinių užpuolikų tikslų buvo nepastebėti. Ir nepamirškite, kad šiandien egzistuoja ta pati pasaulinė problema su kitomis paveldimomis programomis. Už atakų organizavimą dėl tūkstančių įmonių, kitų programų su visuotinėmis bendromis administracinėmis privilegijomis mūsų žiniasklaidoje gali būti naudojama, o tai sukels siaubingus rezultatus.
Deja, tai nėra pažeidžiamumas, kuriam reikalinga korekcija, o neteisėtai panaudojant šias privilegijas, kurioms reikia šios privilegijų.
Taigi, kur pradėti?
Visų pirma, turime nustatyti ir aptikti visas paraiškas mūsų aplinkoje, kurioms reikia tokių pernelyg didelių privilegijų:
- Naudojant įmonės klasės aptikimo įrankį, nustatyti, kurios programos turi tą pačią privilegijuotą sąskaitą apie kelias sistemas. Įgaliojimai yra labiausiai tikėtini ir gali būti naudojami horizontalaus pasiskirstymo.
- Padarykite domeno administratorių grupės grupės sąrašą ir nustatykite visas pateiktas paraiškos sąskaitas ar paslaugas. Bet kokia programa, kuriai reikia domeno administratoriaus privilegijų, yra didelė rizika.
- Naršykite visas jūsų pasaulinės antivirusinės išimties sąraše esančias programas (palyginti su konkrečių mazgų išimtimis). Jie bus įtraukti į pirmąjį ir svarbiausią jūsų Endpoint saugumo kamino žingsnį - užkirsti kelią kenkėjiškų programų.
- Naršykite įmonėje naudojamo programinės įrangos sąrašą ir nustatykite, kurios privilegijos reikalingos paraiškoje dirbti ir atlikti automatinius naujinimus. Tai gali padėti nustatyti, ar reikalingi vietinio administratoriaus privilegijos arba vietos administratorius sudaro teisingą paraiškos veikimą. Pavyzdžiui, beasmenio sąskaita, skirta padidinti paraiškos privilegijas, šiam tikslui gali turėti sąskaitą vietiniame mazge.
Tada turime įgyvendinti, kur galima valdyti programas pagal minimalias būtinas privilegijas. Tai reiškia, kad visos perviršinės paraiškos privilegijos pašalinimas. Tačiau, kaip minėta pirmiau, ne visada įmanoma. Galiausiai, pašalinti pasaulinės bendros privilegijuotų sąskaitų poreikį, jums gali prireikti:
- Atnaujinkite programą į naujesnį sprendimą
- Pasirinkite naują pardavėją spręsti problemą
- Išversti darbo krūvį debesyje ar kitoje infrastruktūroje
Apsvarstykite kaip pavyzdio valdymo pažeidžiamumą. Tradiciniai pažeidžiamumo skaitytuvai naudoja pasaulinę bendrą privilegijuotą paskyrą (kartais daugiau nei vieną) nuotoliniu būdu prisijungti prie tikslo ir autentifikavimo kaip administracinė sąskaita, siekiant nustatyti pažeidžiamumą. Jei mazgas kenkia kenkėjiškam programinės įrangos nuskaitymui, tada autentifikavimui naudojamas maišymas gali būti renkamas ir naudojamas horizontaliai paskirstymui per tinklą ir nustatyti pastovų buvimą.
Vendors pažeidžiamumo valdymo sistemų supratau šią problemą ir vietoj saugoti pastovią administracinę sąskaitą nuskaitymui, jie yra integruoti su pageidaujamą prieigos kontrolės sprendimą (PAM) gauti dabartinę privilegijuotą paskyrą užbaigti nuskaitymą. Kai nebuvo PAM sprendimų, pažeidžiamumo valdymo įrankių pardavėjai taip pat sumažino riziką, kuriant vietinius agentus ir priemones, kurios gali naudoti API, kad būtų galima įvertinti, o ne vieną bendrą administracinę sąskaitą leidžiamam nuskaitymui.
Mano požiūris į šį pavyzdį yra paprasta: paveldėta pažeidžiamumo valdymo technologija išsivystė taip, kad nebebus klientams, turinčioms didžiulę riziką, susijusią su pasaulinėmis paraiškos sąskaitomis ir prieiga prie jų. Deja, daugelis kitų tiekėjų technologijų nesikeitė savo sprendimų, o grėsmė išlieka tol, kol bus pakeisti seni sprendimai arba modernizuoti.
Jei turite įrankių valdymui, kuriam reikalingas pasaulinės bendros administracinės sąskaitos, 2021 m. Svarbiausios svarbos užduotis turėtų pakeisti šias priemones arba jų atnaujinimą. Įsitikinkite, kad perkami sprendimai sukūrė pardavėjai, kurie jau pristatyti iš šios grėsmės.
Galiausiai pagalvokite apie paraiškų privilegijų valdymą pagal mažiausiai būtinų privilegijų principą. PAM sprendimai yra skirti saugoti paslaptis ir leisti programas dirbti su minimaliu privilegijos lygiu, net jei jie iš pradžių nebuvo sukurta dirbti su šiomis programomis.
Grįžimas į mūsų pavyzdį, pažeidžiamumo valdymo sprendimai gali naudoti "Unix" ir "Linux" privilegijas, kad būtų atlikta pažeidžiamumo nuskaitymas, net jei jie nebuvo suteikta su savo privilegijuotais prieiga. Privilegijos valdymo įrankis vykdo komandas skaitytuvo vardu ir grąžina rezultatus. Jis vykdo skaitytuvo komandas su mažiausiomis privilegijomis ir nesilaiko savo netinkamų komandų, pavyzdžiui, išjungus sistemą. Tam tikra prasme mažiausių privilegijų šiose platformose principas yra panašus į sudo ir gali kontroliuoti, riboti ir vykdyti paraiškas su privilegijomis, neatsižvelgiant į procesą, pavadintą komandą. Tai tik vienas būdas valdyti privilegijuotą prieigą galima taikyti kai kurioms pasenusiems prašymams tais atvejais, kai reikalingos pernelyg didelės privilegijos ir atitinkamas pakeitimas neįmanoma.
2021 m. Sumažintas Cibero ir toliau: šie pagrindiniai žingsniai
Bet kuri organizacija gali būti įsibrovėlių tikslas, o bet kokia programa su pernelyg privilegijomis gali būti naudojama prieš visą įmonę. Solarwinds incidentas turi paskatinti visus mums peržiūrėti ir nustatyti šias programas, kurių darbas yra susijęs su pernelyg didelės privilegijuotos prieigos rizika. Turime nustatyti, kaip galite sušvelninti grėsmę, net jei tai neįmanoma jį pašalinti dabar.
Galų gale, jūsų pastangos sumažinti riziką ir pašalinti jų pasekmes gali paskatinti pakeitus programas ar perėjimą prie debesies. Be abejo, privilegijuotų prieigos valdymo koncepcija taikoma programai ir žmonėms. Jei jūsų prašymai nėra tinkamai kontroliuojami, jie gali kelti pavojų visos įmonės saugumui. Ir niekas neturėtų turėti neribotos prieigos jūsų aplinkoje. Tai yra viena silpnoji nuoroda, kurią turime nustatyti, ištrinti ir vengti ateityje.
Įdomesnė medžiaga cisoclub.ru. Prenumeruokite mums: "Facebook" VK | Twitter | Instagram | Telegrama | Zen | Messenger |. ICQ New | "YouTube" | Pulsas.